1/26
ÉRIC CLAIRVOYANT, ADM.A, T.P.
Coordonnateur et conseiller en sécurité
390, chemin du Domaine Martel
Saint-Prime (Québ...
2/26
FORMATIONS
Diplôme de 2e cycle en gouvernance, audit et sécurité des T.I., Université de Sherbrooke (2009)
DEP, Techn...
3/26
RÉSUMÉ DE L’EXPÉRIENCE
Ayant à son actif une expérience en informatique de plus de trente (30) années, monsieur Clair...
4/26
SOMMAIRE DES RÉALISATIONS
# EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE
RÉFÉRENCE
TÉLÉPHONE
ENVERGURES RESSOURCE
PROJ...
5/26
# EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE
RÉFÉRENCE
TÉLÉPHONE
ENVERGURES RESSOURCE
PROJET
CLIENT
(EN J-P)
CONTRAT...
6/26
# EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE
RÉFÉRENCE
TÉLÉPHONE
ENVERGURES RESSOURCE
PROJET
CLIENT
(EN J-P)
CONTRAT...
7/26
# EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE
RÉFÉRENCE
TÉLÉPHONE
ENVERGURES RESSOURCE
PROJET
CLIENT
(EN J-P)
CONTRAT...
8/26
# EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE
RÉFÉRENCE
TÉLÉPHONE
ENVERGURES RESSOURCE
PROJET
CLIENT
(EN J-P)
CONTRAT...
9/26
# EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE
RÉFÉRENCE
TÉLÉPHONE
ENVERGURES RESSOURCE
PROJET
CLIENT
(EN J-P)
CONTRAT...
10/26
# EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE
RÉFÉRENCE
TÉLÉPHONE
ENVERGURES RESSOURCE
PROJET
CLIENT
(EN J-P)
CONTRA...
11/26
# EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE
RÉFÉRENCE
TÉLÉPHONE
ENVERGURES RESSOURCE
PROJET
CLIENT
(EN J-P)
CONTRA...
12/26
DESCRIPTION DES RÉALISATIONS PROFESSIONNELLES AU COURS DES CINQ (5) DERNIÈRES ANNÉES
NO CLIENT : Commission de la co...
13/26
NO CLIENT : Société d’habitation du Québec (SHQ)
72 PROJET : Réalisation de travaux en gestion de projets technologi...
14/26
Gestionnaire de contenu - Typo3; Solution d'impression à données variables – PlanetPress. Plate-forme bureautique No...
15/26
Il a tenu à jour et analysé les statistiques de qualité et a formulé au supérieur immédiat les mesures correctives à...
16/26
Biens livrables
 Orientations et principes de sécurité ;
 Documentation de l'infrastructure de sécurité cible ;
 ...
17/26
par le secteur de la santé et des services sociaux, et en évalue la conformité et assure leur évolution et s’assure ...
18/26
l'évaluation de la conformité du cadre normatif en sécurité de l’information par rapport à la norme ISO 27002, Cobit...
19/26
rédigés durant la conception, les essais et l’implantation pour valider leur conformité aux besoins de sécurité. En ...
20/26
l’accompagnement en conseil stratégique, en architecture d’entreprise et en élaboration de solutions d’affaires aupr...
21/26
 Des meilleures pratiques en cours ;
 Des exigences légales ;
 Des normes et standards gouvernementaux ;
 De l’e...
22/26
NO CLIENT : Faurecia
62 PROJET : Plan de continuité des affaires et plan de relève informatique
FONCTION : Conseille...
23/26
Cette norme de sécurité PCI DSS, développée par les compagnies de cartes de crédit majeures, visait à protéger l’inf...
24/26
 Faire la reddition de compte pour les aspects de sécurité du MTQ.
Biens livrables
 Avis de sécurité ;
 Analyse d...
25/26
 Participer à la rédaction d'un document visant à établir une orientation stratégique pour répondre aux besoins en ...
26/26
 Établir le positionnement ayant trait à la destruction des informations dans le cadre des projets et élaborer une ...
Prochain SlideShare
Chargement dans…5
×

Clairvoyant Éric - CP- Techno et Sécurité_GASTI - 13 sept 2016

44 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
44
Sur SlideShare
0
Issues des intégrations
0
Intégrations
10
Actions
Partages
0
Téléchargements
1
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Clairvoyant Éric - CP- Techno et Sécurité_GASTI - 13 sept 2016

  1. 1. 1/26 ÉRIC CLAIRVOYANT, ADM.A, T.P. Coordonnateur et conseiller en sécurité 390, chemin du Domaine Martel Saint-Prime (Québec) G8J 0A4 Cell. : (418) 932-4412 Courriel : eric@gasti.ca CURRICULUM VITÆ
  2. 2. 2/26 FORMATIONS Diplôme de 2e cycle en gouvernance, audit et sécurité des T.I., Université de Sherbrooke (2009) DEP, Techniques juridiques, Institut professionnel de Montréal, 1998 DEC, Programme - Technicien en moteur d'avion piston-réacteur (aéronautique), Forces armées canadiennes, 1979 CERTIFICATIONS RECONNUES INTERNATIONALEMENT Certifié « Veridion - ISO 27005 Risk Manager » Certifié « ISO 24762 IT Lead Disaster Recovery » Certifié Veridion - Méhari avancé Certifié « ISO 27002 : 2013 – Manager » Certifié « Certified Risk and Information Systems Control - ISACA (CRISC) » Certifié « ISO 27002 : 2013 – Lead Manager » L’Ordre des administrateurs agréés du Québec - (Adm.A.) Certifié « ISO 27035 Lead Security Incident Professional » L’Ordre des technologues professionnels du Québec - (T.P.) Certifié « ISO 28000 Supply Chain Security Management » Certifié « ISO 27001 : 2013 Lead Implementer » Certifié « ISO 29100 Lead Privacy Implementer » Certifié « ISO 27001 : 2013 Lead Auditor » Certifié « ISO 31000 Risk Manager » Certifié « ISO 27001 Master » Certifié « ISO 31000 Lead Risk Manager » Certifié « PECB - ISO 27005 Risk Manager » Certifié « ISO 37500 Lead Outsourcing Manager » Certifié « PECB - ISO 27005 Lead Risk Manager » Certifié « ISO 38500 Corporate Governance Manager IT » Certifié « PECB - Méhari avancé » Certifié « ISO 38500 Lead Corporate Governance Manager IT » Certifié « Risk Assessment with EBIOS » Certifié « International PECB Certified Trainer » Certifié « ISO 9001 : 2008 Lead Auditor Quality Management System » Certifié « ISO 22301 Lead Implementer Business Continuity Management System » Pour vérification : https://www.pecb.com/trainer/trainerList Certifié « ISO 24762 IT Disaster Recovery » AUTRES RECONNAISSANCES MÉTHODOLOGIES Attestation de rédaction de rapports techniques – Université de Montréal COBIT Gestion de projets 1 - Introduction à la gestion de projet et démarrage GUIDE VERT Gestion de projets 2 - Planification, exécution et suivis de projets ISO 9001 :2008, ISO 17799-2005, ISO 19770-1, ISO 20000 ISO 22301, ISO 24762, ISO 27001:2013, ISO 27002:2013, ISO 27005, ISO 27035, ISO 28000, ISO 29100, ISO 31000, ISO 37500, ISO 38500. Gestion de projets 3 - Fermeture, indicateurs clés de performance et tableaux de bord EBIOS Plus de 30 certificats et attestations de Microsoft et d’Oracle MÉHARI CONNAISSANCES LINGUISTIQUES NIST Langues parlées : Français, anglais PSI-DSS Langues écrites : Français, anglais WEB TRUST 2.0 TECHNOLOGIES UTILISÉES MS OFFICE PROFESSIONNEL, XP, 2010, 2003, 2000, WINDOWS 7/8 PROFESSIONNEL, VISIO, MS PROJECT, MS SQL, NOVELL, ORACLE, BIZTALK, LINUX, WEB (INTERMÉDIAIRE), DATACOM, APEX, LIVELINK, MOSS 2010, WSS 3.0, WEBEX, VMWARE ESX, EXCHANGE 2010 et 2000, GROUP WISE 8, LOTUS NOTES, ZENWORKS, EDIRECTORY, CISCO ET BROCADE, FILTRAGE WEB WEBSENSE, MCAFEE, CLAMAV, LOGICIEL DE GESTION DE COPIE DE SÉCURITÉ COMMVAULT, SYNCHRONISATION BLACKBERRY, REDHAT, CENTOS, WINDOWS SERVEURS, ACTIVE MQ, SPRING, CAMEL, LANGUAGES FORMS, PHP, JAVA, PL/SQL, SERVEURS D’APPLICATIONS APACHE, WEBLOGIC, JBOSS, BASES DE DONNÉES ORACLE, CICS, IMS DB, DATACOM, IMS DC, PL/1, ULTIM, GESTIONNAIRE DE RAPPORTS – BUSINESS OBJECT, REPORTS, TYPO, CONCEPT DRAW, OX MAVERICK, LASER, PARE-FEU, PIX, RÉSEAU, RÉSEAU INTERNET, RÉSEAU IP, DMR PUBLISHER, LOG ANALYSER, IIS, IIS 6, IRC, NTP, ORACLE APPLICATION SERVER 10 G (OAS), SHAREPOINT, SHAREPOINT 2007, PASSERELLE, PC TOOLS, ALFRESCO, ETHEREAL, HYENA, LIVELINK, MINDMANAGER, NETBACKUP, SAP, VNC, WEBSPHERE COMMERCE SUITE, WEBSPHERE PORTAL SERVER, XTREE, MICROSOFT FOREFRONT IDENTITY MANAGER 2010 (FIM), AS/400, COMMODORE AMIGA, HP, MICRO VAX I, II, -785, PLATEFORME CENTRALE, SAN UN STORAGE 9980, BIOMÉTRIE, CAMÉRA NUMÉRIQUE, COMPAQ, DEC ALPHA, HUBS, LEXMARK PRINTER, MAC, MACINTOSH, PLATEFORME CLIENT/SERVEUR, AIGUILLEUR, COMMUTATEUR, RÉPÉTEUR, ROUTEUR, SAN AIGUILLEUR ET COMMUTATEURS CISCO PIX.
  3. 3. 3/26 RÉSUMÉ DE L’EXPÉRIENCE Ayant à son actif une expérience en informatique de plus de trente (30) années, monsieur Clairvoyant se spécialise particulièrement en sécurité informatique depuis près de quinze (15) ans, à titre de coordonnateur, de conseiller sénior en gouvernance, en audit et en sécurité informatique ainsi qu’en gestion des ressources humaines comme directeur et coordonnateur. Son expérience approfondie en sécurité informatique couvre les secteurs gouvernementaux, paragouvernementaux, privés et des municipalités. Au cours des dernières années, c’est au sein de ministères et d’organismes d’envergure que monsieur Clairvoyant a œuvré tels que la Commission de la construction du Québec (CCQ), la Société d’habitation du Québec (SHQ), le ministère de la Justice - Montréal (MJQ), la Direction des poursuites criminelles et pénales (DPCP), la Régie de l'assurance maladie du Québec (RAMQ / DSQ), la Direction générale des solutions d’affaires en gestion intégrée des ressources (DGSAGIR), l’Office de la Protection du Consommateur (OPC), le ministère des Transports du Québec (MTQ), la Commission administrative des régimes de retraite et d'assurances (CARRA), le ministère des Services gouvernementaux (MSG), le ministère des Ressources naturelles et de la Faune (MRNF), Services Québec, Investissement Québec, ministère de la Défense nationale (MDN), etc. Il y a coordonné et réalisé des travaux en gestion de projets technologiques et de sécurité, en migration de plate-forme, architecture technologique et de sécurité, en gouvernance et accompagnement en sécurité de l’information. Ses travaux étaient également liés à l'entretien, à l'évolution et au développement de la gestion opérationnelle de la sécurité de l'information. Monsieur Clairvoyant est familier avec le contexte gouvernemental québécois, notamment en ce qui a trait aux meilleures pratiques, aux directives, aux orientations et à l’AGSIN. Dans le cadre de plusieurs mandats, monsieur Clairvoyant a rédigé des politiques, directives, processus et procédures en plus de présenter des dossiers de nature stratégiques à la haute direction. Il y a réalisé plusieurs biens livrables tels qu’analyses préliminaires, architectures technologiques et de sécurité, orientations en matière de sécurité, plans triennal, audits de sécurité, analyses de risques, plans d’affaires, plan de travail, au sein de projets d’ampleur considérable allant jusqu’à 4000 j-p. De plus, il a été impliqué à titre de chargé de projet dans des déploiements technologiques, dans des mises à jour de système (Serveurs, postes de travail), de plateformes centrales ainsi que des infrastructures afin de soutenir les opérations militaires de la base militaire (DMS-CF 18). Monsieur Clairvoyant est également intervenu efficacement au sein d’entreprises privées d’envergure et en croissance telles que MBIS (Algérie), Faurecia (Tunisie), Pleasant Holidays, Véolia environnement, ADS Texel, Corem, Maibec, Bombardier Produits Récréatifs, Alcan, Xstrata Nickel. En 2011, il a été en mandat à l’international plus précisément en Tunisie à titre de consultant en sécurité et en février 2013, en Algérie à titre de formateur ISO 27005 et Méhari. Il est intervenu en sécurité informatique notamment, dans le domaine financier et des assurances, au sein d’entreprise telles que BCH Unique, Industrielle Alliance, Banque Laurentienne, La Capitale, Girard, Lavoie, Mooney, Hamel, comptables agréés. Il y a œuvré pendant plus de cinq (5) ans à titre de Conseiller sénior en gouvernance, en audit et en sécurité informatique et en tant que formateur en sécurité informatique. Monsieur Clairvoyant y a participé à l’élaboration de programmes de sensibilisation en plus de donner la formation chez différents clients. Il a participé à la réalisation d’analyses de risques basées sur les normes internationales (ISO 27001, 27005 et ISO 27002) et le cadre de référence CobiT. Monsieur Clairvoyant réalise régulièrement des activités d’orientations stratégiques en matière de sécurité de l’information conformément aux lois, aux règlements et aux meilleures pratiques de l’industrie en collaboration avec les intervenants concernés. Il possède une expérience pratique de l’application des exigences des lois applicables en sécurité, notamment la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (PRP) ainsi que la Loi sur le cadre juridique des technologies de l’information. En plus de ses qualités professionnelles, monsieur Clairvoyant est un conseiller qui s’intègre facilement aux équipes de travail. Il fait preuve d’un esprit d'équipe et d’une habileté à communiquer efficacement dans un grand nombre de situations. Il favorise le partage des connaissances, le transfert d’expertise et excelle dans les projets complexes et les projets multidisciplinaires. Il reconnaît les efforts et les succès individuels. Mentionnons que monsieur Clairvoyant est également membre en règle de l’Ordre des administrateurs agréés du Québec (Adm.A.), de l’Ordre des technologues professionnels du Québec (T.P.) et est certifié ISO 27001 Master. Monsieur Clairvoyant est nommé commissaire à l’assermentation par le ministère de la Justice depuis mai 2013. La certification T.P., permet de reconnaître les connaissances supplémentaires reliées au domaine des sciences et de la technologie et permet à monsieur Clairvoyant d'exécuter de nombreuses tâches telles que la résolution de problèmes complexes, la conception, la gestion de projet et la planification, la préparation de devis techniques ainsi que l'analyse et l'interprétation de résultats scientifiques. La certification ISO 27001 Master témoigne d’acquis d’un minimum de 500 heures dans les activités d’audit et d’un minimum de 500 heures dans les activités de gestion de projet. Il possède plusieurs certifications reconnues internationalement qui lui permettent d’accomplir sa tâche de façon professionnelle et à la satisfaction du client. Ses compétences, son expérience, sa capacité de travail, sa facilité de travailler en équipe, la qualité de ses communications et son implication dans le travail font de lui une ressource très recherchée pour réaliser les mandats les plus complexes et les plus délicats qui se présentent dans les organisations en croissance.
  4. 4. 4/26 SOMMAIRE DES RÉALISATIONS # EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE RÉFÉRENCE TÉLÉPHONE ENVERGURES RESSOURCE PROJET CLIENT (EN J-P) CONTRAT (EN J-P) FONCTION EFFORTS (EN MOIS/JOURS) 73 Commission de la construction du Québec (CCQ) Gouvernance en sécurité Mars 2016 à aujourd’hui Philippe Laferrière 514 341-7740, poste 6442 220 220 Conseiller sénior en gouvernance et sécurité informatique 3/12 72 Société d’habitation du Québec (SHQ) Réalisation de travaux en gestion de projets technologiques, migration de plate-forme, architecture technologique et sécurité Octobre 2015 à mars 2016 François Douillard 418 643-1208 1 836 330 Conseiller sénior en sécurité informatique 6 71 Ministère de la Justice - Montréal Conseil en gestion opérationnelle et des technologies Juin 2015 à octobre 2015 Christian Boisvert 514 393.2535, poste 51015 150 150 Conseiller sénior en sécurité informatique et spécialiste en gestion des TI 5 70 Alithya inc. Contrôle qualité ISO 9001 :2008 Février 2015 à novembre 2016 Michel Tardif 418 650.6414 poste 2259 220 n.d Directeur qualité 9001 9 69 Direction des poursuites criminelles et pénales (DPCP) Réaliser l’architecture d’entreprise et le segment sécurité Septembre 2014 à janvier 2015 Éric Giguère 418 643-9059 poste 21561 1 000 500 Conseiller sénior en sécurité informatique 3 68 Régie de l'assurance maladie du Québec RAMQ / DSQ Gouvernance en sécurité Septembre 2013 à août 2014 Lyne Roy 418 682-5150, poste 5515 1 120 n.d. Conseiller sénior en gouvernance et sécurité informatique 12 67 MBIS (Algérie) Formateur ISO 27005 et MÉHARI Février 2013 Éric Lessard 514 418-2550 5 n.d. Formateur et conseiller sénior en sécurité informatique 0,25 66 Direction générale des solutions d’affaires en gestion intégrée des ressources (DGSAGIR) Accompagnement au Service de la sécurité de l’information, du contrôle et de la PRPC Novembre 2012 à septembre 2013 Éric Labbé 418 646-4646, poste 2438 220 n.d. Conseiller sénior en sécurité informatique/chef d’équipe 10 65 L’Office de la Protection du Consommateur (OPC) Architecture de sécurité de l’information numérique Août 2012 à décembre 2012 Jocelyne Marcil 418 643-1484, poste 3242 22 22 Conseiller en sécurité informatique 3
  5. 5. 5/26 # EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE RÉFÉRENCE TÉLÉPHONE ENVERGURES RESSOURCE PROJET CLIENT (EN J-P) CONTRAT (EN J-P) FONCTION EFFORTS (EN MOIS/JOURS) 64 L’Office de la Protection du Consommateur (OPC) Audit de sécurité Février 2012 à avril 2012 Jocelyne Marcil 418 643-1484, poste 3242 20 20 Conseiller en sécurité informatique 1 63 Direction générale des solutions d’affaires en gestion intégrée des ressources (DGSAGIR) Plan triennal 2011-2014 Novembre 2011 à octobre 2012 Max Chassé 418 646-4646, poste 2367 220 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 11 62 Faurecia (Tunisie) Plan de continuité des affaires et plan de relève informatique Août 2011 à octobre 2011 n.d. 120 n.d. Conseiller sénior en sécurité informatique 3 61 Pleasant Holidays Conformité au standard de sécurité PCI DSS chez Pleasant Holidays Mai 2011 n.d. 20 n.d. Conseiller sénior en sécurité informatique 1 60 Ministère des Transports du Québec (MTQ) Plan triennal de la sécurité de l'information 2007-2011 - Volet Gouvernance I Janvier 2011 à avril 2011 Richard Pagé 418 646-1769, poste 3280 1 783 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 3 59 Ministère des Transports du Québec (MTQ) Plan triennal de la sécurité de l'information 2007-2011 - Volet Gouvernance II Janvier 2011 à mars 2011 Richard Pagé 418 646-1769, poste 3280 1 783 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 1 58 Université Laval Chargé de cours en sécurité de l'information Janvier 2011 à mars 2011 Daniel Pascot 418 656-3153 60 n.d. Formateur et conseiller en sécurité informatique 1 57 Ministère des Transports du Québec (MTQ) Plan triennal de la sécurité de l'information 2007-2011 - Volet Gouvernance III Octobre 2010 à mars 2011 Richard Pagé 418 646-1769, poste 3280 1 783 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique et chargé de projet 5 56 Régie de l'assurance maladie du Québec (RAMQ) Travaux liés à l'entretien, l'évolution et au développement de la gestion opérationnelle de la sécurité de l'information numérique Octobre 2010 à novembre 2010 Lucie Quintal 418 682-5140, poste 5275 1 300 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 1
  6. 6. 6/26 # EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE RÉFÉRENCE TÉLÉPHONE ENVERGURES RESSOURCE PROJET CLIENT (EN J-P) CONTRAT (EN J-P) FONCTION EFFORTS (EN MOIS/JOURS) 55 Services Québec Accompagnement en développement et en gouvernance en matière de sécurité de l’information Octobre 2010 à mars 2011 Sylvie Lauzier 418 644-9852 1000 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique et chargé de projet 5 54 Divers clients (30 étudiants) Téluq - (l'UQAM) - Préparation du programme de maîtrise en gouvernance, audit et sécurité des technologies de l'information Juin 2010 à mars 2011 Louise Bertrand Professeure Télé‐université bertrand.louise@tel uq.ca Tél. : 418‐657‐2747 poste 5250 60 n.d. Concepteur et conseiller en sécurité informatique 1 53 Commission administrative des régimes de retraite et d'assurances (CARRA) Plan corporatif de surveillance des actifs informationnels Avril 2010 à juin 2010 Sophie Vaillancourt 418 644-1025 90 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 3 52 Divers clients (70 étudiants) Formation en gouvernance et sécurité de l'information Janvier 2010 à novembre 2010 n.d. 20 n.d. Formateur en gouvernance et sécurité de l’information 0,5 51 Commission des normes du travail (CNT) Réalisation d'études et de travaux spécifiques en sécurité de l'information à la CNT Janvier 2010 à mars 2010 André Lachance 418 525-1659, poste 4559 1 000 n.d. Conseiller sénior en sécurité informatique 2 50 Société d'habitation du Québec (SHQ) Audit des vulnérabilités avant la mise en production Janvier 2010 Rogé Côté 20 n.d. Conseiller sénior en sécurité informatique 0,5 49 Régie du logement du Québec (RLQ) Réalisation d'une étude d'arrimage à la solution d'affaires SISTA Novembre 2009 à avril 2010 Jean-Yves Benoît 514 864-5853 2 000 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 1,5 48 Divers clients (à leur domicile) Installation d'infrastructures sans fil - WLAN Juillet 2009 n.d. 20 n.d. Conseiller sénior en sécurité informatique 0,5 47 Société d'habitation du Québec (SHQ) Ingénierie sociale Avril 2009 Rogé Côté 30 n.d. Conseiller sénior en sécurité informatique 0,5
  7. 7. 7/26 # EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE RÉFÉRENCE TÉLÉPHONE ENVERGURES RESSOURCE PROJET CLIENT (EN J-P) CONTRAT (EN J-P) FONCTION EFFORTS (EN MOIS/JOURS) 46 Commission administrative des régimes de retraite et d'assurances (CARRA) Gouvernance de la sécurité de l'information 2009-2011 Mars 2009 à juin 2010 Sophie Vaillancourt 418 644-1025 1 750 n.d. Chef d’équipe et conseiller sénior en gouvernance de la sécurité informatique 9 45 Commission d’accès à l’information Réalisation d'une architecture préliminaire en regard de la solution d'affaires en élaboration à la CLP - SISTA Janvier 2009 à avril 2009 Denis Charland 418 643-2505 1 500 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 2 44 Commission administrative des régimes de retraite et d'assurances (CARRA) Plan triennal et gestion de la sécurité 2007-2009 Septembre 2008 à octobre 2008 Marc Lainé 418 528-0587 4 000 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 0,5 43 Ministère des Services gouvernementaux (MSG) Outil de destruction sécuritaire de l'information Septembre 2008 Mohamed Darabid 514 873-0415 20 n.d. Conseiller sénior en sécurité informatique 0,5 42 Commission des lésions professionnelles Architecture préliminaire pour la modernisation des systèmes de mission - SISTA Juillet 2008 à février 2009 Francis Lachance 418 644-5662 600 n.d. Conseiller sénior en sécurité informatique 1 41 Ministère des Ressources naturelles et de la Faune (MRNF) Architecture et implantation du Bureau du Forestier en chef (BFEC) Juin 2008 à septembre 2008 Claude Bouchard 418 627-6266, poste 4218 150 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 1 40 Ministère des Transports du Québec (MTQ) Plan triennal de la sécurité de l'information 2007-2010 - Volet Gouvernance Mai 2008 à février 2009 Richard Pagé 418 646-1769, poste 3280 1 783 n.d. Conseiller sénior en gouvernance de la sécurité informatique 3,5 39 Ministère du Développement économique, de l'Innovation et de l'Exportation Réalisation des tests d'intrusion de sécurité de l'information et audit des mesures de sécurité de l'information - TI- 12 Mai 2008 Mathieu Belle 418 644-0144 400 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 0,5 38 BCH Unique Analyse de conformité ISO 17799:2005 Avril 2008 à mai 2008 n.d. 20 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 0,5
  8. 8. 8/26 # EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE RÉFÉRENCE TÉLÉPHONE ENVERGURES RESSOURCE PROJET CLIENT (EN J-P) CONTRAT (EN J-P) FONCTION EFFORTS (EN MOIS/JOURS) 37 Véolia environnement Plan de relève informatique Avril 2008 n.d. 20 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 0,5 36 Girard, Lavoie, Mooney, Hamel, comptables agréés Analyse de conformité ISO 17799:2005 Février 2008 à mars 2008 n.d. 30 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 1 35 Investissement Québec Conseil en sécurité Février 2008 n.d. 200 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 0,5 34 Ministère des Transports du Québec (MTQ) Plan triennal de la sécurité de l'information 2007-2010 - Volet Architecture Janvier 2008 à février 2009 Richard Pagé 418 646-1769, poste 3280 1 782 n.d. Conseiller sénior en sécurité informatique 3 33 ADS Texel Analyse de conformité ISO 17799:2005 Décembre 2007 à janvier 2008 n.d. 30 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 1 32 Ministère de la Culture, des Communications et de la Condition féminine Plan de relève informatique et plan de continuité des affaires Novembre 2007 à mars 2008 n.d. 20 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 0,5 31 Société de transport de la communauté urbaine de Montréal (STM) Plan de relève informatique Octobre 2007 à novembre 2007 n.d. 500 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 0,5 30 Corem Analyse de conformité ISO 17799:2005/Risques Septembre 2007 à novembre 2007 n.d. 30 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 1
  9. 9. 9/26 # EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE RÉFÉRENCE TÉLÉPHONE ENVERGURES RESSOURCE PROJET CLIENT (EN J-P) CONTRAT (EN J-P) FONCTION EFFORTS (EN MOIS/JOURS) 29 Ministère des Affaires municipales et des Régions (MAMR) Conseil en sécurité Août 2007 à janvier 2008 n.d. 30 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 1 28 Société d'habitation du Québec (SHQ) Plan de relève informatique et plan de continuité des affaires Août 2007 à janvier 2008 Rogé Côté 750 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 1 27 École nationale de police du Québec Catégorisation des actifs et plan de continuité des affaires Juillet 2007 à août 2007 n.d. 30 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 1 26 Port de Québec Analyse de conformité ISO 17799:2005 Juin 2007 à août 2007 n.d. 50 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 2 25 Institut de la Statistique du Québec Catégorisation des actifs informationnels Mai 2007 à juin 2007 n.d. 20 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 0,5 24 La Capitale Analyse de la sécurité informatique et tests de vulnérabilités Avril 2007 à juin 2007 n.d. 30 n.d. Conseiller sénior en sécurité informatique 1 23 MAIBEC Analyse de conformité ISO 17799:2005 Avril 2007 n.d. 20 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 0,5 22 Ville de Lévis Sensibilisation à la sécurité informationnelle Mars 2007 à avril 2007 n.d. 200 n.d. Formateur 0,5 21 Université du Québec à Québec (UQAQ) Analyse de vulnérabilités du réseau de l’externe Février 2007 à mars 2007 n.d. 30 n.d. Conseiller sénior en sécurité informatique 1 20 PH Tech Catégorisation des actifs, plan de relève informatique et plan de continuité des affaires Janvier 2007 à février 2007 n.d. 30 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 1
  10. 10. 10/26 # EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE RÉFÉRENCE TÉLÉPHONE ENVERGURES RESSOURCE PROJET CLIENT (EN J-P) CONTRAT (EN J-P) FONCTION EFFORTS (EN MOIS/JOURS) 19 Office de la Protection du Consommateur (OPC) Services-conseils en sécurité, gouvernance et conformité Janvier 2007 à mai 2008 Jocelyne Marcil 418 643-1484, poste 3242 250 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 1 18 Bombardier Produits Récréatifs Gestion des services de sécurité Novembre 2006 à janvier 2007 n.d. 300 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 1,5 17 Alcan Gestion des services de sécurité Septembre 2006 à novembre 2006 n.d. 800 n.d. Formateur en sécurité informatique 2,5 16 Fédération des caisses Desjardins du Québec (FCDQ) Gestion des services de sécurité Juillet 2006 à septembre 2006 n.d. 1 000 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 2,5 15 Industrielle Alliance Gestion des services de sécurité Mai 2006 à juillet 2006 n.d. 900 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 2,5 14 Banque Laurentienne Gestion des services de sécurité Mai 2006 à janvier 2007 n.d. 600 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 3 13 Xstrata Nickel Gestion des services informatiques Janvier 2005 à février 2006 n.d. 1 500 n.d. Directeur 14 12 OS4 Techno Architecture sécurisée Internet-intranet avec pare-feu Juillet 2004 n.d. 20 n.d. Conseiller sénior en sécurité informatique 0,5 11 OS4 Techno Analyse technique au niveau des serveurs Windows Juillet 2004 n.d. 100 n.d. Conseiller technique et conseiller en architecture technologique 0,5
  11. 11. 11/26 # EMPLOYEUR / CLIENT PROJET / MANDAT/ PÉRIODE RÉFÉRENCE TÉLÉPHONE ENVERGURES RESSOURCE PROJET CLIENT (EN J-P) CONTRAT (EN J-P) FONCTION EFFORTS (EN MOIS/JOURS) 10 Ministère de la Santé et des Services sociaux (MSSS) Audit de sécurité et catégorisation des actifs Mai 2004 à décembre 2004 Jean Laterrière 800 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 5 9 Ministère de la Santé et des Services sociaux (MSSS) Analyse de la sécurité informatique, tests de vulnérabilités internes et externes et tests d'intrusion Avril 2004 à septembre 2004 Jean Laterrière 120 n.d. Conseiller sénior en sécurité informatique 3 8 Ministère de l'Emploi et de la Solidarité (MES) Développement de services en technologies et en sécurité Janvier 2004 à mars 2004 n.d. 600 n.d. Conseiller sénior en sécurité informatique 3 7 Assemblée nationale Gestion de projet dans le cadre d'une migration de postes de travail Mai 2003 à août 2003 n.d. 600 n.d. Chargé de projet 4 6 Centre de recherche pour la défense Valcartier Sécurité informatique Septembre 2001 à décembre 2003 n.d. 2 000 n.d. Conseiller sénior en sécurité informatique 24 5 Ministère de la Défense nationale (MDN) Maintien et gestion du développement du système DMS CF 18 Janvier 1990 à avril 2001 Franco Zegarelli 1 514 942 2191 2 720 n.d. Directeur 136 4 Ministère de la Défense nationale (MDN) Chief Information Security Officer – CISO Novembre 1988 à décembre 1989 n.d. 2 160 n.d. Conseiller sénior en gouvernance, audit et sécurité informatique 13 3 Ministère de la Défense nationale (MDN) Réalisation de l’ensemble des activités de soutien technique Décembre 1984 à novembre 1986 n.d. 1 200 n.d. Administrateur de bases de données 24 2 Ministère de la Défense nationale (MDN) Administration de bases de données Novembre 1983 à décembre 1984 n.d. 500 n.d. Administrateur de bases de données 13 1 Divers clients Programmation et support technique Mai 1982 à novembre 1992 n.d. 620 n.d. Technicien en informatique 29 TOTAL : 398,75 mois (33,23 années)
  12. 12. 12/26 DESCRIPTION DES RÉALISATIONS PROFESSIONNELLES AU COURS DES CINQ (5) DERNIÈRES ANNÉES NO CLIENT : Commission de la construction du Québec (CCQ) 73 PROJET : Gouvernance en sécurité FONCTION : Conseiller sénior en gouvernance et sécurité informatique PROJET CLIENT : 220 j-p CONTRAT : 220 j-p PÉRIODE : Mars 2016 à aujourd’hui EFFORTS RESSOURCE : 3/12 mois Contexte et projet de l’organisation Créée en 1987, la Commission de la construction du Québec (CCQ) est responsable de l'application de la Loi sur les relations de travail, la formation professionnelle et la gestion de la main-d'œuvre dans l'industrie de la construction (Loi R-20) qui encadre cette industrie. Responsabilités et réalisation Dans le cadre de plusieurs projets, monsieur Clairvoyant devait consolider les orientations de sécurité définies lors des phases d'analyse préliminaire et d'architecture de système. Il devait orienter les travaux d'architecture du système concernant la sécurité et constituer le dossier de sécurité de l'architecture du système. Monsieur Clairvoyant a participé, à titre de conseiller sénior en gouvernance et sécurité informatique, à des projets tels :  Dépôt direct (paiement électronique) ;  Gestion des identités et des accès (GIA) ;  Gestion des environnements et des livraisons d’applications ;  Participation à la classification d’actifs informationnels ;  Rédaction de documents Macroscope ;  Analyse et évaluation des risques et des enjeux de sécurité de solutions dans différents environnements (infonuagique (CLOUD), Windows, IBM mainframe, etc.) ;  Définition et mise en place des processus, normes, exigences, directives et méthodes en matière de sécurité informatique ;  Expertise technique sur la mise en œuvre de solutions de sécurité ;  Formation aux nouveaux arrivants. Biens livrables Les biens livrables (P310S) ont été produits lorsque l'aspect sécurité, qui est un élément essentiel du projet ainsi que les orientations en matière de sécurité, ont été défini aux phases d'analyse préliminaire et d'architecture. Les P310S Sécurité des systèmes constituaient alors les dossiers de sécurité de l'architecture du système, et on s’y réfère en tant que tel. En plus, Monsieur Clairvoyant a exercé les fonctions et responsabilités suivantes :  Réaliser des demandes de conseils en sécurité provenant des différents projets d'affaires et technologiques;  Évaluer et proposer des solutions en fonction des orientations, des normes et des règles en matière informatique;  Conseiller les lignes d'affaires pour les solutions requérant la sécurité informatique;  Exercer un rôle-conseil auprès des gestionnaires et assumer un leadership quant aux orientations à privilégier;  Réaliser des évaluations des menaces et des risques afin d'identifier les principaux enjeux de sécurité associés à l'introduction d'une nouvelle technologie ou d'un nouveau service d'affaires;  Promouvoir et assurer le respect des normes et standards du client en matière de sécurité;  Les biens et livrables sont nombreux et variés, par exemple : o Avis et positionnement de sécurité; o Dossiers de sécurité; o Directives et exigences de sécurité; o Documents de présentation sur la sécurité informatique état de situation; o Sommaires exécutifs (ex.: évaluation de menace et risque). Environnements technologiques Microsoft Office professionnel, Windows 7 professionnel, Visio, MS Project et MS SQL. Méthodologies ISO27001 :2013, ISO27002 :2013, Macroscope et Guide vert
  13. 13. 13/26 NO CLIENT : Société d’habitation du Québec (SHQ) 72 PROJET : Réalisation de travaux en gestion de projets technologiques, migration de plate-forme, architecture technologique et sécurité FONCTION : Conseiller sénior en sécurité informatique PROJET CLIENT : 1 836 j-p CONTRAT : 330 j-p PÉRIODE : Octobre 2015 à mars 2016 EFFORTS RESSOURCE : 6 mois Contexte et projet de l’organisation Ce projet consistait à mettre en place le système de gestion intégrée des privilèges d'accès à la SHQ, permettant ainsi d'améliorer la gouvernance et de répondre aux obligations découlant de la Directive sur la sécurité de l’information gouvernementale et du plan stratégique triennal de la sécurité de l’information gouvernementale. Le projet concernait les données en sécurité de l'information à la SHQ et le développement des outils supportant la production automatisée du registre d'autorité d'accès et la production d'un tableau de bord des données de gouvernance en sécurité de l'information. Responsabilités et réalisation Le mandat de monsieur Clairvoyant visait, à titre de conseiller sénior en sécurité informatique, à participer à la mise à jour et à l’évolution de l'architecture de sécurité de l'entreprise et sa documentation en tenant compte des dimensions affaires, informations, applications et technologies. Notamment, il devait :  Coordonner et réaliser les activités sous sa responsabilité pour respecter des délais de livraison serrés ;  Rendre compte de l’avancement des travaux ;  Effectuer le recensement de tous les composants présents sur le central et devant faire partie de la migration ;  Participer à l’évaluation, à la sélection et à la présentation de(s) solution(s) de migrations disponibles sur le marché ;  Évaluer et mettre en place l’infrastructure technologique et de sécurité requise pour la preuve de concept et pour la solution cible ;  Participer aux échanges avec le ou les fournisseurs (s) ;  Développer des scripts pour l’extraction, la conversion et/ou la transformation et la migration des programmes et des données;  Effectuer la mise en place de l’environnement de développement de la solution cible ;  Identifier et migrer les échanges et/ou transferts d’informations du système central vers la solution cible ;  Valider et approuver les biens livrables du fournisseur ;  Superviser les essais de tous les systèmes migrés vers la plate-forme intermédiaire ;  Confirmer la conformité des systèmes convertis, en tant qu’expert technologique ;  Assurer le suivi post-implantation. Biens livrables Analyses préliminaires, architectures, guides, suivis, plans. Environnements technologiques Novell, Linux, Plateforme intermédiaire WEB Ntiers, base de données Oracle, APEX. Méthodologies ISO27001 :2013, ISO27002 :2013, Macroscope et Guide vert Technologies Plate-forme bureautique Novell (répertoire, messagerie, espace collaboratif), les plates-formes de services dont Oracle et Linux, les environnements de mobilité sont des composants de l'environnement à la SHQ; Plateforme intermédiaire de type WEB ou trois tiers, et dotée d'une base de données Oracle et principalement de l'outil de développement Oracle Application Express (APEX);Plateforme centrale Datacom; Logiciel réseau - Novell;Courrier électronique - GroupWise; Distribution d'applications et inventaire - ZENWorks; Métarépertoire - eDirectory; Plateforme client – Windows 8 / Microsoft Office; Infrastructure réseau et serveurs : Équipement de télécommunication: Cisco et Brocade; Filtrage Web : Websence; Logiciels antivirus : Mcafee, ClamAv; Logiciel de gestion de copie de sécurité: Commvault; Logiciel de synchronisation et gestion d'appareils de téléphonie mobile : Blackberry et Zenwork mobilité service; Stockage SAN; Virtualisation VMware et OracleVM; Système d'exploitation des serveurs : Redhat, SLES, Centos, Windows serveurs; Services d'échanges : Active MQ, Spring, Camel; Applicatifs : Environnement Plateforme intermédiaire : Langages de programmation - Forms, PHP, Apex, Java, PL/SQL; Serveurs d'applications - Apache, Weblogic, JBoss; Base de données - Oracle; Environnement Plateforme centrale : Moniteurs de télétraitement - CICS, IMS DB; Bases de données - Datacom, IMS DC; Langages de programmation - Ideal, PL/1, ULTIM; Outils et progiciels : Gestionnaire de rapport - Business Object, Reports; Progiciel comptable - Financiers d'Oracle;
  14. 14. 14/26 Gestionnaire de contenu - Typo3; Solution d'impression à données variables – PlanetPress. Plate-forme bureautique Novell (répertoire, messagerie, espace collaboratif), les plates-formes de services dont Oracle et Linux, les environnements de mobilité sont des composants de l’environnement à la SHQ. NO CLIENT : Ministère de la Justice (MJQ) - Montréal 71 PROJET : Conseil en gestion opérationnelle et des technologies FONCTION : Conseiller sénior en sécurité informatique et spécialiste en gestion des TI PROJET CLIENT : 110 j-p CONTRAT : n.d. PÉRIODE : Juin 2015 à octobre 2015 EFFORTS RESSOURCE : 5 mois Contexte et projet de l’organisation Le Ministère de la Justice (MJQ) sollicitait les services d’un conseiller sénior spécialiste en gestion des TI pour accompagner le Service des Infrastructures technologiques (SIT) dans le cadre de mandats structurants. Responsabilités et réalisation Le mandat de monsieur Clairvoyant visait à titre de conseiller sénior sécurité et en gestion des TI, l’amélioration de la délivrance des services technologiques et en sécurité informatique et par conséquent, améliorer la qualité du service à la clientèle. Lors de ce mandat, Monsieur Clairvoyant devait produire les livrables suivants : Biens livrables  Formaliser l’offre de service pour les services TI (services technologiques et en sécurité) qui sont supportés en dehors des heures (24/7) ;  Concevoir et implanter un registre des services TI (services technologiques et en sécurité) exploité par la SIT ;  Faire un état de situation du processus d’acquisition dans le cadre de la gestion des actifs. Méthodologies ITIL V3 ISO/CEI 19770-1 Technologies de l'information – Gestion des actifs ISO 2150 ISO 55001 Technologies Suite MS Office, Visio, MS Project, Virtual Parallel, Exchange 2010, ConceptDraw, OX Maverick, Windows XP, Windows 8.1. NO CLIENT : Alithya inc. 70 PROJET : Contrôle de qualité ISO 9001 :2008 FONCTION : Directeur qualité 9001 PROJET CLIENT : 220 j-p CONTRAT : n.d. PÉRIODE : Février 2015 à octobre 2015 EFFORTS RESSOURCE : 9 mois Contexte et projet de l’organisation Sous la responsabilité du vice-président Qualité, le directeur Qualité avait la responsabilité d’assurer la gestion du système de gestion de la qualité (SGQ) répondant à la norme ISO 9001:2008 de l’unité d’affaires de Québec. Le directeur était responsable de la gestion du système d’assurance qualité et du maintien de l’accréditation à la norme ISO 9001. Outre de s’assurer du respect des normes établies, il avait la responsabilité de la conformité et de la qualité tout au long du processus sa mise en œuvre. Responsabilités et réalisation Monsieur Clairvoyant, en plus d’assumer du service-conseil en clientèle en tant que conseiller en gouvernance, audit et sécurité des T.I., a agi à titre de directeur et a été responsable du service de contrôle qualité pour la compagnie Alithya. Il a établi avec le vice-président, les objectifs opérationnels de son service. Il s’est assuré le déploiement et la formation du personnel au système qualité dans chacun des services et a vu à la formation du personnel pour l’intégration, la compréhension et l’application du système qualité ISO 9001. Monsieur Clairvoyant s’est assuré de la mise en place des actions préventives et correctives retenues pour corriger les non-conformités et s’est assuré de la gestion des rapports de dérogations/non-conformité et les contrôles de changements.
  15. 15. 15/26 Il a tenu à jour et analysé les statistiques de qualité et a formulé au supérieur immédiat les mesures correctives à implanter pour éliminer les non-conformités. Biens livrables  Rapport à la haute direction ;  Présentation à la haute direction ;  Préparation des tableaux de bord ;  Donner de la formation aux employés. Méthodologies ISO 9001:2008 Technologies MS Office 2000 et 2003, Visio, Suite Microsoft 2010, MS Project, Exchange 2010, GroupWise 8, Lotus Notes, ConceptDraw, OX Maverick, Windows XP, Windows 8.1. NO CLIENT : Directeur des poursuites criminelles et pénales (DPCP) 69 PROJET : Réaliser l’architecture d’entreprise et le segment sécurité FONCTION : Conseiller sénior en sécurité informatique PROJET CLIENT : 1 000 j-p CONTRAT : 500 j-p PÉRIODE : Septembre 2014 à aujourd’hui EFFORTS RESSOURCE : 2 mois Contexte et projet de l’organisation Le présent mandat avait pour objectif de réaliser la première version de l’architecture d’entreprise du Directeur des poursuites criminelles et pénales (DPCP). Le mandat livrerait les principes, les orientations et les modèles architecturaux qui permettraient à l’organisation de faire des choix judicieux quant à l'évolution de la prestation de services et des ressources informationnelles et de prendre les décisions cohérentes en ligne avec les orientations stratégiques du DPCP. Responsabilités et réalisations Monsieur Clairvoyant avait le mandat de positionner l’architecture de sécurité et d’émettre un ensemble de recommandations :  Définir les principes directeurs et les orientations spécifiques du segment sécurité ;  Définir des exigences de sécurité pour le DPCP en respectant les certaines Lois du Québec. Entre autres, monsieur Clairvoyant devait évaluer les risques afin d’identifier les mesures de protection à mettre en place pour les réduire à un niveau acceptable tout en minimisant les impacts des mesures (coût, entrave à la réalisation de la mission, etc.). Pour y parvenir, il devait:  Maintenir la catégorisation de l’information à jour ;  Maintenir un portrait des menaces pour les personnes et les actifs ;  Mettre en œuvre des mesures de protection (administratives, techniques, matérielles, etc.) efficientes, proportionnelles aux risques et dûment documentées ;  Considérer tous les types de menaces et vulnérabilités (physique, logique, technique, humaine tant à l'intérieur qu'à l'extérieur de l'organisation, etc.) dans l’analyse des risques et dans le plan de gestion des risques qui en découle ;  Encadrer la mise en œuvre des mesures de protection combinant l’encadrement administratif, les processus et les procédures aux outils techniques pour assurer la protection optimale des actifs ;  Intégrer, lorsque pertinent, les mesures de sécurité dans l’organisation du travail ainsi que dans les systèmes automatisés (information, physique, etc.) ;  Mettre en œuvre des mécanismes de communication et de partage d’information concernant les enjeux et initiatives de sécurité ;  Maintenir en place un cadre de gestion de la sécurité définissant clairement les acteurs et zones d’action en matière de gestion de la sécurité;  Mettre en place des mécanismes de journalisation, de surveillance, d'alerte et de consultation nécessaires à l’investigation et la documentation d’incidents de sécurité.
  16. 16. 16/26 Biens livrables  Orientations et principes de sécurité ;  Documentation de l'infrastructure de sécurité cible ;  Guide de catégorisation des actifs ;  Politique de sécurité de l’information ;  Plan de délégation ;  Dossier stratégique présenté à la direction ;  Manuels de gestion de la sécurité (sécurité physique, sécurité des ressources informationnelles, etc.) ;  Programme de formation et de sensibilisation des employés du DPCP. Méthodologies ISO 27001, ISO 27005, ISO 27002:2013, COBIT, Méhari, ASIN, AGSIN Technologies MS Office 2000 et 2003, Visio, Suite Microsoft 2010, MS Project, Windows 8, Oracle, Biztalk, WebSphere, LiveLink, MOSS 2010, WSS 3.0, Webex, VMWare ESX, Exchange 2010, GroupWise 8, Lotus Notes, ConceptDraw, OX Maverick, Windows XP, Windows 8.1. NO CLIENT : Régie de l'assurance maladie du Québec RAMQ 68 56 PROJET : Gouvernance en sécurité/ Travaux liés à l'entretien, l'évolution et au développement de la gestion opérationnelle de la sécurité de l'information numérique FONCTION : Conseiller sénior en gouvernance, audit et sécurité informatique PROJET CLIENT : 1 120 j-p/ 1300 j-p. CONTRAT : 1 120 j-p/ n.d. PÉRIODE : Septembre 2013 à août 2014/ Octobre 2010 à novembre 2010 EFFORTS RESSOURCE : 12 mois + 1 mois Contexte et projet de l’organisation Le projet SécurSanté a livré en juin 2008 une solution partielle et transitoire qui a permis de supporter le projet expérimental du DSQ dans la région de la Capitale-Nationale. En décembre 2010, il a été convenu qu’il était nécessaire de concevoir une solution permanente basée sur les normes et standards du marché, et en respect des meilleures pratiques en matière d’infrastructure à clé publique (ICP). La solution permanente servirait de pierre d'assise pour soutenir l'ensemble des besoins du réseau de la santé et des services sociaux en matière d’authentification, de chiffrement et de signature que requiert l’utilisation des services d’une ICP. Responsabilités et réalisations Dans le cadre du contexte décrit ci-dessus, le mandat consistait pour monsieur Clairvoyant de compléter, en fonction des besoins de l’organisation et des bonnes pratiques du marché, les biens livrables en sécurité volet affaires pour la mise en place du nouveau système permanent et sa cohabitation avec le système transitoire utilisé présentement.  Agir à titre d’expert-conseil pour soutenir les gestionnaires, les vérificateurs, les chargés de projets, les architectes, les partenaires internes et externes sur tous les aspects reliés à la sécurité de l’information du (DSQ) ;  S'assurer que plusieurs mesures et mécanismes sont en place pour assurer un haut degré de disponibilité, d’intégrité, de confidentialité et de sécurité des renseignements de santé conservés par le Dossier Santé Québec (DSQ), tant au plan technologique qu’organisationnel ;  S’assurer d’être en ligne avec les différences lois de la Santé tel que : Loi sur les services de santé et de services sociaux, et la Loi concernant le partage de certains renseignements de santé ;  Participer activement à la mise en place des processus et des contrôles nécessaires à la sécurité de l’information et des opérations dans le cadre du développement et de l’exploitation du DSQ ;  Garantir une authentification forte avec la solution d’une ICP SécurSanté (infrastructure à clés publiques) FIM ;  Édicter les règles applicables aux services de certification et de gestion d'identité (WebTrust 2.0) ;  Orienter les actions de sécurité liées à SécurSanté ;  Rédiger des rapports de gestion et les présenter à la haute direction ;  Rédiger des évaluations de risques afin d’y détecter les risques résiduels dans le cadre du projet Webtrust 2.0 afin de décider des options et des montants à investir ;  Rédiger des rapports d’analyse et de situation ;  S’assurer du respect des exigences légales (PRPC), organisationnelles et techniques en matière de sécurité, il définit les différentes politiques, procédures, mesures, fonctions et mécanismes de sécurité entourant les systèmes d’information utilisés
  17. 17. 17/26 par le secteur de la santé et des services sociaux, et en évalue la conformité et assure leur évolution et s’assure des exigences de la certification WebTrust 2.0, ISO 27000, ISO 27002, ISO27005 et Cobit ;  Développer une vision globale de la sécurité du DSQ en collaboration avec l’ensemble des parties prenantes. Il participe à l’élaboration des politiques, directives et cadres de gestion nécessaires à l’exploitation sécuritaire des actifs liés au DSQ ;  Coordonner, contribuer et organiser des ateliers sur des travaux reliés à l’évaluation, la conception, l’implantation, l’application ou le maintien de pratiques recommandées, de standards, de normes ou de directives en matière de sécurité ;  Élaborer et mettre en œuvre les processus requis pour une gestion efficace et efficiente de la sécurité au niveau du secteur de la santé et des services sociaux ;  Participer au développement et au suivi du Plan directeur de la sécurité de l’information pour les actifs ciblés. Il contribue à l’élaboration et à l’évolution de diverses analyses et architectures de sécurité. Il effectue l’appréciation des menaces, des risques et des vulnérabilités et propose des recommandations ou des positionnements aux instances appropriées ;  Réaliser des activités de reddition de compte en matière de sécurité pour les autorités du Ministère ;  Animer des ateliers de travail et s’assurer des pratiques dans le cadre d’une responsabilité sociétale dans l’accomplissement des différentes tâches. Biens livrables  Avis de sécurité ;  Processus de gestion des incidents ;  Recommandations pour les appels d’offres (relations avec les fournisseurs) ;  Plan de communication ;  Plan de formation ;  Plan de relève au niveau affaires (continuité des affaires) ;  Dossiers d’analyse (analyse, piste de solutions, recommandations) ;  Présentations à la direction ;  Conseils à la gestion ;  Analyse de risque et bilan des impacts d'affaires (BIA) ;  Formulaires pour les entrevues, ainsi que les résultats finaux ;  Plan de continuité des affaires ;  Processus gestion des incidents ;  P270S – Plan de relève technologique ;  Plan de gestion ;  Plan de communication ;  Projet SécurSanté (ICP-Santé) ;  Plan d’action. Méthodologies ISO 26000, ISO 27001, ISO 27005, ISO 27002:2013, PCI-DSS, WebTrust 2.0, COBIT et le Guide vert comme cadre méthodologique Technologies Microsoft Forefront Identity Manager 2010 (FIM), MS Office, Visio, Suite Microsoft 2010, MS Project Travaux liés à l'entretien, l'évolution et au développement de la gestion opérationnelle de la sécurité de l'information numérique Le présent projet consistait à apporter à la RAMQ des services additionnels en sécurité de l’information numérique. Ces demandes traitaient principalement de sécurisation des applications développées par la RAMQ ainsi que l'analyse de pratiques en matière de sécurité des actifs informationnels. Responsabilités et réalisations À titre de conseiller sénior en sécurité, monsieur Clairvoyant a accompagné le client dans l'élaboration d'une nouvelle procédure administrative portant sur la destruction sécuritaire de l’information, une production de quatre (4) documents. Cette procédure contenait le plan de travail (organisation, stratégie) en lien avec un calendrier de réalisation. Monsieur Clairvoyant validait un document décrivant la situation actuelle (inventaire, processus d’affaires, type de support). Monsieur Clairvoyant a vu à la documentation d'une nouvelle procédure de destruction de l’information et l'évaluation des impacts de mise en œuvre dans l’organisation, les efforts ainsi que les coûts qui y sont associés (à titre indicatif, si requis, proposer des outils ou procédés). Monsieur Clairvoyant a accompagné le client dans
  18. 18. 18/26 l'évaluation de la conformité du cadre normatif en sécurité de l’information par rapport à la norme ISO 27002, Cobit. Ceci impliquait un document contenant le plan de travail (organisation, stratégie) en lien avec un calendrier de réalisation. Monsieur Clairvoyant a fait l'évaluation du cadre normatif en sécurité de l’information par rapport aux mesures énoncées dans la norme ISO 27002 (description des écarts constatés et de l’importance de ceux-ci) et a validé le rapport exécutif (sommaire du rapport détaillé). Il a vérifié les dispositifs d’authentification et d’autorisation de la plateforme client/serveur. Biens livrables  Plan de travail et accompagnement. Méthodologies ISO 27002, Cobit Technologies NET, Access, ACF2, Active Directory, GPO, Biztalk Server, Blaze Advizor, Cognos, Control-M, Edirectory, EFS, Excel, IBM Central, IDA PRO, IIS 6, Memory Dump, MQseries, Novell Netware, NTFS, OLLYDBG, Oracle 10g, Perl, Reflector.NET, Softice, SQL, Tandem, Teradata, Vbscript, Websphere, Windbg, Windows 2000 Server, Windows 2003 Server, Word, Z/OS NO CLIENT : MBIS (Algérie) 67 PROJET : Formation ISO 27005 et MÉHARI FONCTION : Formateur et conseiller sénior en sécurité informatique PROJET CLIENT : 5 j-p CONTRAT : 5 j-p PÉRIODE : Février 2013 à février 2013 EFFORTS RESSOURCE : 0,25 mois Contexte et projet de l’organisation La compagnie KÉRÉON requerrait les services d’un formateur ISO 27005 et MÉHARI pour un important client en Algérie. Cette formation permettrait de mener de bout en bout un processus de gestion du risque et de gérer son cycle de vie. Responsabilités et réalisations Dans le cadre de ce mandat, monsieur Clairvoyant a donné la formation sur la norme ISO 27005 qui aborde la gestion du risque de sécurité de l'information de façon générale ainsi que la méthode d’analyse de risque MÉHARI. Biens livrables  Documents de formation et d’accompagnement. Méthodologies ISO 27000, ISO 27002, ISO27005 et Méhari Technologies MS Office NO CLIENT : Direction générale des solutions d’affaires en gestion intégrée des ressources (DGSAGIR) 66 63 PROJET : Réalisation de travaux reliés à la conception de solutions technologiques et applicatives et à l’évolution de l’architecture d’entreprise / Plan triennal 2011-2014 FONCTION : Conseiller sénior en sécurité informatique/Chef d’équipe Conseiller sénior en gouvernance, audit et sécurité informatique PROJET CLIENT : 220 j-p/220 j-p. CONTRAT : n.d. PÉRIODE : Novembre 2012 à septembre 2013/ Novembre 2011 à octobre 2012 EFFORTS RESSOURCE : 10 mois +11 mois Contexte et projet de l’organisation Le Service de la sécurité de l’information, du contrôle et de la PRPC contribuait à la mission de la DGSAGIR en s’assurant de réduire à un niveau acceptable, les risques reliés à la disponibilité, l’intégrité et à la confidentialité des actifs informationnels de la solution SAGIR, conformément aux meilleures pratiques en matière de sécurité. La livraison 2 de SGR2 en cours permettrait de mettre en place un ensemble de fonctionnalités reliées à la gestion des ressources humaines. Afin d’assurer la sécurité de ces fonctionnalités, l’équipe de développement serait accompagnée par un conseiller spécialisé en sécurité qui aiderait les analystes et qui validerait les biens livrables
  19. 19. 19/26 rédigés durant la conception, les essais et l’implantation pour valider leur conformité aux besoins de sécurité. En plus du travail de validation, un ensemble d’autres documents spécifiques à la sécurité devaient aussi être rédigés par le conseiller en sécurité. Responsabilités et réalisations Monsieur Clairvoyant était le conseiller sénior en sécurité informatique et le chef d’équipe. Il accompagnait le Service de la sécurité de l’information, du contrôle et de la PRPC dans le cadre de la livraison 2 de SGR2 et il était responsable du respect des différentes lois en vigueur (Loi sur l’accès, cadre juridique de l’information, code civil du Québec. PRP, etc.). En tant que conseiller en sécurité et chef d’équipe, monsieur Clairvoyant s’est assuré de :  Concevoir, livrer des services, des déploiements technologiques et/ou des solutions suivant des critères en termes de délai de budget et au plus haut niveau possible de qualité, en identifiant les structures de gestion nécessaires aux projets, et en renforçant l'implication requise en gestion ;  Établir les plans, calendriers et contrôles des activités et des budgets tout au long du cycle de vie du projet ;  Réaliser l’étude des opportunités jusqu'à la mise en service ;  Gérer l'équipe du projet, piloter la motivation, la collaboration et les performances parmi tous les acteurs du projet ;  Maintenir la cohérence stratégique des projets en analysant les chartes et en assurant des revues avec les décisionnaires de gestion ;  Accompagner l’équipe de développement durant les travaux de développement en utilisant le guide vert (méthodologie de développement) ;  Participer aux rencontres de démarrage, d’analyse et de révision des biens livrable en ce qui concerne l’aspect sécurité ;  Réviser certains biens livrables afin de vérifier leurs conformités par rapport aux besoins de sécurité ;  Rédiger les biens livrables de sécurité de niveau architecture ;  Rédiger, au besoin, des avis de sécurité ;  Participer à la planification des tests d’intrusion et à la rédaction des rapports afférents une fois les tests complétés ;  Participer à l’analyse de risque ;  Élaborer et participer à la catégorisation des actifs informationnels ;  Rédiger et présenter au DG et au comité exécutif, l’état de la sécurité numérique dans le cadre du projet SGR2 – L2. Biens livrables  SC090 Mise à jour du plan global de sécurité ;  SC130 Mise à jour du bilan de la sécurité ;  SC501 Mise à jour de l’architecture de sécurité des systèmes et des applications ;  SC504 Mise à jour de l’architecture technologique de la sécurité ;  SC100 Mise à jour du plan de surveillance ;  SC125 Mise à jour du registre des pistes de vérification ;  SC125a Mise à jour de la révision des besoins d’audit ;  SC220 Mise à jour de la matrice responsabilités ;  Rédiger un plan d’action ;  Rédiger un rapport d’audit ;  Rédiger un plan et un rapport des tests d’intrusion ;  Rédiger et présenter des rapports de gestion pour la haute direction et des rapports d’analyse et de situation ;  Rédiger un rapport initial d’analyse de risques ;  Rédiger un rapport final d’analyse de risques. Méthodologies ISO 26000, ISO 27001, ISO 27002, ISO 27005, Méhari, Cobit et le Guide vert (méthodologie de développement) Technologies MS Office 2010, MS Project, Internet, Ms Project, Windows 7, Mac OS X lion Réalisation de travaux reliés à la conception de solutions technologiques et applicatives et à l’évolution de l’architecture d’entreprise La solution d’affaires SAGIR visait à implanter, de façon évolutive, des pratiques reconnues pour leur efficacité en gestion des ressources humaines, financières et matérielles supportées par le progiciel de gestion intégrée d’Oracle. Le présent mandat visait
  20. 20. 20/26 l’accompagnement en conseil stratégique, en architecture d’entreprise et en élaboration de solutions d’affaires auprès de la Direction de la planification et de l’intégration. Responsabilités et réalisations Le rôle de monsieur Clairvoyant était de soutenir la réalisation des différents projets de sécurité organisationnelle en cours et de maintenir la conformité de la politique de sécurité de l’information en vigueur au sein de l'organisation. Plus précisément, monsieur Clairvoyant, comme conseiller en gouvernance, audit et sécurité informatique, assurait un soutien de premier niveau sur les directives, règles et procédures de gouvernance en sécurité informationnelle et maintenait les mesures de sécurité informationnelle qui ont été mises en place en effectuant des contrôles trimestriels. Monsieur Clairvoyant participait à la révision annuelle du plan de gestion des incidents et du plan de continuité des affaires au sein de l'organisation. Il participait au programme de sensibilisation des utilisateurs et maintenait à jour la documentation de sécurité informationnelle. Monsieur Clairvoyant émettait des avis de sécurité pour les domaines technologiques et ce qui touche les renseignements personnels et confidentiels (PRPC). Il indiquait les règles à suivre pour favoriser l’implantation des orientations en matière de gestion de la sécurité de l'information dans le cadre du projet SGR2- L2. Monsieur Clairvoyant était également responsable d’élaborer un tableau de répartition des rôles et responsabilités pour l’ensemble de la DGSAGIR qui permettra de répondre aux lacunes soulevées dans l’ensemble des activités de sécurité de l’information de la DGSAGIR. Il présentait le résultat au comité de gestion ainsi qu’à la haute direction. Monsieur Clairvoyant a rédigé un guide pour la catégorisation des actifs informationnels de la DGSAGIR. Un mandat a aussi été confié à monsieur Clairvoyant afin de développer un guide avec une méthodologie d’analyse de risques basée sur la norme internationale de gestion des risques ISO 27005 et réalise l’analyse de risque en utilisant les scénarios de Méhari. Par la suite, Monsieur Clairvoyant a réalisé l’analyse de risques en utilisant cette méthodologie pour chacun des 25 actifs informationnels à la DGSAGIR identifiés dans le registre d’autorité. Biens livrables  Guide de catégorisation ;  Guide analyse de risques ;  Analyse de risque et bilan des impacts d'affaires (BIA) ;  Formulaires pour les entrevues, ainsi que les résultats finaux ;  Rédige des rapports d’analyse et de situation avec un plan d’action ;  Présente des rapports de gestion à la haute direction. Méthodologies ISO 27001, ISO 27002, ISO 27005, Méhari, Cobit et Guide vert (méthodologie de développement) Technologies MS Office, Internet, Ms Project, Windows 7, MAC OS X LION NO CLIENT : L’Office de la protection du consommateur (OPC) 65 64 PROJET : Architecture de sécurité de l’information numérique (ASIN)/ Audit de sécurité FONCTION : Conseiller en sécurité informatique PROJET CLIENT : 22 j-p/20 j-p. CONTRAT : 22 j-p/20 j-p. PÉRIODE : Août 2012 à décembre 2012/ Février 2012 à avril 2012 EFFORTS RESSOURCE : 3 mois + 1 mois Contexte et projet de l’organisation Pour assurer la protection de l’information dans ses processus d’affaires dont la gestion des technologies de l’information (TI), les données dont il est fiduciaire, les applications et l’infrastructure technologique, l’OPC devait se pourvoir d’une architecture de la protection de l’information (API) qui intègre l’ensemble des volets pouvant servir de guide, qu’il s’agisse de gestion de projet, de développement, d’amélioration, ou d’activités opérationnelles courantes. Ce document est un complément à l’architecture d’entreprise (AE) de l’OPC. Il se base sur les documents déjà en place tels que l’architecture gouvernementale de la sécurité de l’information du SCT. Responsabilités et réalisations Afin de supporter les activités courantes de l’OPC, les projets et les initiatives en cours et à venir, monsieur Clairvoyant rédigeait un document qui révise les travaux d’architecture de la protection de l’information de l’OPC. Il s’assurait que cette architecture de la sécurité de l’information numérique (ASIN) traduit cette nouvelle cible par des modèles et principes qui tiennent compte :
  21. 21. 21/26  Des meilleures pratiques en cours ;  Des exigences légales ;  Des normes et standards gouvernementaux ;  De l’expertise accumulée au CSPQ et à l’OPC. De plus, il s’assurait du rehaussement de la protection des ressources informationnelles actuelles en fonction d’une vision cible convenue. Monsieur Clairvoyant établissait des bases officielles et approuvées sur lesquelles les avis et autres documents officiels de sécurité pourraient s’appuyer. Le volet de l’architecture de sécurité s’inspirait des normes telles que la famille de normes ISO/IEC 27000, ainsi que d’autres normes reconnues en la matière. Le volet de « l’architecture des contrôles » s’appuyait sur COSO, certaines autres normes et du référentiel COBIT1 (Control Objectives for Information and related Technology – Objectifs de contrôle de l’Information et des technologies associées). Le volet de la PRPC s’appuyait sur la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels2 et sur le Code canadien de protection des renseignements personnels CAN/CSA-Q830-963. Biens livrables  Document d’architecture de sécurité de l’information numérique (ASIN). Méthodologies ISO 27000, ISO 27002, ISO 27005, Méhari et Cobit Technologies MS Office, Internet, Ms Project, Windows 7 Audit de sécurité L’objet du mandat consistait à évaluer dans un premier temps si les serveurs dans la zone interne comportent des vulnérabilités ainsi qu’à réaliser un audit de sécurité permettant de donner un portrait de la situation de la sécurité de l’information de l’OPC. Par la suite, il s’agissait d’effectuer une dernière vérification après l’application des recommandations et et de tenter des intrusions sur ces équipements. Des recommandations ont été présentées à l’intérieur d’un rapport exécutif selon les exigences en matière de sécurité de l’information et ainsi assurer la disponibilité, l’intégrité et la confidentialité (DIC) des systèmes d’informations et des actifs informationnels. Responsabilités et réalisations Monsieur Clairvoyant a effectué un audit de haut niveau basé sur la norme ISO 27002, Cobit et le CMMI (état de maturité). De plus, son intervention concernait spécifiquement l’établissement du portrait de la situation de la sécurité de l’information de l’organisation issue du cadre de référence basé sur ISO 27002-2005. En utilisant un tel cadre de référence, monsieur Clairvoyant a été en mesure de présenter un tableau de bord pour situer rapidement le niveau de développement et de maîtrise de la pratique sécurité de l’information qui servira ultérieurement à l'élaboration d’un plan d’action global répondant aux besoins de l’organisation. La norme ISO 27002 identifie des objectifs visant à assurer la sécurité de l’information selon trois critères : la disponibilité, l’intégrité et la confidentialité de l’information. Ces objectifs ont été regroupés au travers des onze (11) chapitres qui ont été utilisés dans ce mandat. Biens livrables  Un rapport d’audit de sécurité avec le plan d’action de type exécutif et présentation au comité de gestion. Méthodologies ISO 27005, ISO 27002, Méhari et Cobit Technologies MS Office, Internet, Ms Project, Windows 7
  22. 22. 22/26 NO CLIENT : Faurecia 62 PROJET : Plan de continuité des affaires et plan de relève informatique FONCTION : Conseiller sénior en sécurité informatique PROJET CLIENT : 120 j-p CONTRAT : n.d. PÉRIODE : Août 2011 à novembre 2011 EFFORTS RESSOURCE : 3 mois Contexte et projet de l’organisation Groupe d’ingénierie et de production d’équipements automobiles, Faurecia est un des chefs mondiaux dans chacune de ses activités : sièges, systèmes d’intérieur, technologies de contrôles des émissions et extérieurs d’automobile. Il a pour clients la quasi-totalité des constructeurs automobiles mondiaux, dont ceux des économies émergentes, Indiens, Chinois et Coréens. Reconnu pour l’efficience de sa gestion de programmes, Faurecia est proche de ses clients à travers 238 sites de production implantés dans 33 pays. Le mandat consistait à coordonner une équipe interne de plus de 100 personnes dont l'objectif était de s’assurer de la mission d’affaires de Faurecia. Responsabilités et réalisations Au « Centre de Compétence pour le Support, la Sécurité des T.I. et la Maintenance des Systèmes d’Information », Technopôle d'El Ghazala en Tunisie, monsieur Clairvoyant a déterminé les données et les processus d’affaires essentiels qui devaient fonctionner en cas de sinistre et maintenir les activités de l'entreprise à un niveau prédéterminé durant une urgence et rétablir rapidement les opérations aux niveaux habituels avec des tests en mode dégradé. Monsieur Clairvoyant a procédé à la mise en place de procédures, de KPI et d’un registre de traçabilité de la qualité des alertes avec les occurrences hautes, cela permettant d'améliorer la continuité du service dans une perception d'amélioration continue, de la prise en charge, de suivi et de fermeture des billets. De plus, monsieur Clairvoyant a suivi le plan d'action (PDCA), suite à l'audit de sécurité de la salle informatique. Il a identifié les opérations critiques de l’organisation, les impacts et les effets de la perte, de l’interruption ou de la perturbation de ces opérations critiques et a pris conscience des mesures à prendre pour augmenter la capacité d’adaptation de l’organisation vis-à-vis des opérations critiques, Dans le cadre de ce projet, monsieur Clairvoyant a utilisé à la fois la norme ISO 27002, le référentiel Cobit ainsi que la série des différents NIST. Biens livrables  Plan de continuité des affaires ;  Analyse de risque et bilan des impacts d'affaires (BIA) ;  Formulaires pour les entrevues, ainsi que les résultats finaux ;  Documenter la compréhension des besoins de l’organisation et des parties prenantes via une approche systémique globale ;  Documenter la définition et la mise en place des moyens, des plans, ainsi que les tests et exercices ;  Mettre en place les indicateurs pour permettre l’évaluation de la performance des moyens mis en œuvre et de l’efficacité du plan ;  S’assurer de documenter les interventions et leçons apprises dans le but de l’amélioration continue. Méthodologies ISO 26000, ISO 27005, ISO 27002, Cobit Technologies MS Office, SAP, Internet, Ms Project, Windows NO CLIENT : Pleasant Holidays 61 PROJET : Conformité au standard de sécurité PCI/DSS FONCTION : Conseiller sénior en sécurité informatique PROJET CLIENT : 20 j-p CONTRAT : n.d. PÉRIODE : Mai 2011 EFFORTS RESSOURCE : 1 mois Contexte et projet de l’organisation Dans le cadre de ce mandat, il s’agissait de s'assurer d'un standard de sécurité des données lors de l'utilisation et la manipulation de carte de paiement (12 règlements qui aident à protéger les données et à prévenir les fraudes soient en place chez Pleasant Holidays).
  23. 23. 23/26 Cette norme de sécurité PCI DSS, développée par les compagnies de cartes de crédit majeures, visait à protéger l’information personnelle de leur clientèle et à réduire le risque de fraudes. Responsabilités et réalisations À titre de conseiller en sécurité, monsieur Clairvoyant s'est assuré que Pleasant Holidays soit conforme avec les standards de sécurité informatique PCI. Il a validé la conformité des entités. Il a accompagné l’entreprise de façon stratégique et tactique en vue d’obtenir la conformité à la norme PCI-DSS ainsi que le standard exigé par Pleasant Holidays. La stratégie était de réaliser le tout en se basant entre autres sur les référentiels ISO 27001 et ISO 27002. Biens livrables  Documents d’accompagnement. Méthodologies ISO 27002, Cobit, PCI-DSS Technologies Websphere commerce suite, Websphere portal server, Windows NO CLIENT : Ministère des Transports du Québec (MTQ) 60 59 57 PROJET : Plan triennal de la sécurité de l’information 2007-2011 – Volet Gouvernance I, II, III FONCTION : Conseiller sénior en gouvernance, audit et sécurité informatique PROJET CLIENT : 1 783 j-p/1783 j-p./ 1783 j-p. CONTRAT : n.d. PÉRIODE : Janvier 2011 à avril 2011/ Janvier 2011 à mars 2011/ Octobre 2010 à mars 2011 EFFORTS RESSOURCE : 3 mois + 1 mois + 5 Plan triennal de la sécurité de l’information 2007-2011 – Volet Gouvernance I Le Plan 2007-2011 était intimement lié aux objectifs d’affaires relatifs à la gouvernance de la sécurité de l’information sous la responsabilité du MTQ. Il portait également de grands jalons qui visaient à répondre aux attentes du MSG en termes de gestion de la sécurité de l’information ainsi qu’à la mise en œuvre de la directive gouvernementale. Ce projet de 3 565 jours-personnes consistait à effectuer le passage de la «sécurité de l’information numérique» vers l’ère de la «sécurité de l’information», à encadrer la gouvernance de la gestion de la sécurité de l’information pour faciliter la prise en charge de l’ensemble des rôles et responsabilités, à l’identification des risques et la reddition de comptes, à mettre en place un encadrement stratégique, tactique et opérationnel qui permettrait au MTQ de gérer de façon cohérente l’ensemble des aspects de la sécurité de l’information et assurer une vision intégrée lors des changements (technologiques, applicatifs, processus, etc.) au MTQ. Ce mandat consistait donc à assurer l’encadrement stratégique de la sécurité de l’information au MTQ en révisant les politiques et directives, en réalisant la catégorisation des actifs, en effectuant la reddition de compte, en élaborant le plan de continuité des services, en effectuant la sensibilisation et en réalisant des analyses de risques. Responsabilités et réalisations Monsieur Clairvoyant a proposé des normes et des bonnes pratiques encadrant les technologies de l’information selon la nature des opérations du MTQ et en a fait la promotion auprès du personnel. Il a dirigé la mise en place des façons de faire en utilisant le modèle d’ISO 26000 et il a été tenu de :  Conseiller les équipes de réalisation et effectuer des audits de la sécurité des systèmes ainsi que des avis de sécurité en utilisant la norme ISO 27002 et le NIST;  Analyser les dysfonctionnements, évaluer les risques et proposer des correctifs le cas échéant ;  Réaliser le bilan de sécurité de l’information numérique ;  Informer immédiatement la direction de toutes situations à risques et produit mensuellement un sommaire exécutif regroupant les éléments qu’il jugeait d’intérêt à l’attention de la RSI ;  Assurer une veille technologique et réglementaire pour tout ce qui touche la sécurité de l’information numérique ;  Rédiger un ensemble de consignes, voire de recommandations dans la démarche à suivre et dans les solutions de sécurité à retenir pour l’utilisation d’une plate-forme de formation hébergée chez un tiers ;  S’assurer que la technologie utilisée est d’actualité telle que l’utilisation de Windows 2008 et que la programmation a été réalisée sous l’outil de développement .NET ;  Identifier, rassembler et gérer des architectes technos spécialisés pour réaliser les travaux requis ;  S’assurer que le niveau de sécurité est en accord avec la mission d’affaires du ministère des Transports (MTQ) et satisfait aux dispositions de sécurité, aux définitions de service et aux modalités de gestion du service prévues dans le contrat ;
  24. 24. 24/26  Faire la reddition de compte pour les aspects de sécurité du MTQ. Biens livrables  Avis de sécurité ;  Analyse de risque et bilan des impacts d'affaires (BIA) ;  Formulaires pour les entrevues, ainsi que les résultats finaux. Méthodologies ISO 26000, ISO 27002, Cobit Technologies Active Directory, ASP, ASP.NET, Azman, Biztalk Server 2004, Borland Together, C#, DMR Publisher, IIS 6, Livelink, MIIS, Office 2003, Oracle 10g, Oracle Application Server 10g (OAS), SAN SUN Storage 9980, SQL, SQL Server 2000, SQL Server 2005, Sun Solaris 10, Visio, Visual Basic, Visual Sourcesafe, Visual Studio 2005, W3AF, Windows 2000 Server Plan triennal de la sécurité de l’information 2007-2011 – Volet Gouvernance II Dans le cadre du parachèvement de l’autoroute 30 qui consistait à doter la région métropolitaine d’une voie de contournement par le sud afin de contribuer à décongestionner le réseau autoroutier de la métropole, le ministère des Transports devait implanter un site web décrit dans l’entente de partenariat entre le Ministère et le partenaire NA-30. Le MTQ devait s’assurer la confidentialité des renseignements qui sont fournis dans l’application des lois et règlements et ne permettre l’utilisation de ces renseignements qu’aux seules fins prévues par la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., chapitre A-2.1). Le ministère des Transports (MTQ) a utilisé le droit d’audit dont il disposait pour valider la mise en place et le fonctionnement des moyens et mécaniques implantés par le sous-traitant afin de s'assurer du respect des exigences de sécurité (disponibilité, intégrité et confidentialité). Responsabilités et réalisations Monsieur Clairvoyant a réalisé un audit de sécurité chez le partenaire afin de s’assurer que les points de contrôles sont atteints, selon la norme ISO 27002, Cobit au nombre de sept (7), que les fonctions de sécurité du DIC sont respectées ainsi que les exigences de sécurité. Monsieur Clairvoyant a également fait la reddition de compte pour les aspects de sécurité du MTQ. Biens livrables  Rapport d’audit ;  Analyse de risque et bilan des impacts d'affaires (BIA) ;  Formulaires pour les entrevues, ainsi que les résultats finaux. Méthodologies ISO 27002, Cobit Technologies Active Directory, ASP, ASP.NET, Azman, Biztalk Server 2004, Borland Together, C#, DMR Publisher, IIS 6, Livelink, MIIS, Office 2003, Oracle 10g, Oracle Application Server 10g (OAS), SAN SUN Storage 9980, SQL, SQL Server 2000, SQL Server 2005, Sun Solaris 10, Visio, Visual Basic, Visual Sourcesafe, Visual Studio 2005, W3AF, Windows 2000 Server Plan triennal de la sécurité de l’information 2007-2011 – Volet Gouvernance III Grâce à son expertise en sécurité, monsieur Clairvoyant a assisté le MTQ dans la réalisation d'analyses et de rédaction d'avis de sécurité sur les orientations ou les solutions technologiques et les mises à niveau technologiques proposées par un fournisseur, pour aider le MTQ dans son cheminement décisionnel. Responsabilités et réalisations Dans le cadre de ses interventions, monsieur Clairvoyant s’est assuré du respect des lois, telles la Loi sur l’accès aux documents des organismes publics et sur la PRP ainsi que la Loi sur le cadre juridique des technologies de l’information. Il a été tenu de :  Préparer et réaliser des catégorisations d'actifs informationnels afin de déterminer les seuils d’impact de chaque actif en matière de disponibilité, d'intégrité et de confidentialité, et ce, pour différents projets ;  Rédiger le bilan sur l’état de la situation en matière de sécurité de l’information, dans le cadre de l’application de la Directive sur la sécurité de l’information gouvernementale ;
  25. 25. 25/26  Participer à la rédaction d'un document visant à établir une orientation stratégique pour répondre aux besoins en matière de gestion de l’identité et des accès au MTQ ;  Réaliser une analyse de risque ainsi qu’une analyse d’impact (BIA) dans le but de relever les risques résiduels. Par la suite, les résultats ont été communiqués à la haute direction afin d’obtenir le budget nécessaire à la mise en place de la solution finale ;  Rédiger un document qui vise à établir les nouvelles exigences en matière de sécurité des technologies de l’information afin de soutenir les services en ligne ou communément appelées les prestations de services et d’échanges électroniques (PES) ;  Identifier la sévérité d'un impact suite à la révision d'une cote de sécurité de la PES et proposer une nouvelle cote de sécurité en fonction des objectifs d’une PES. Cette demande spécifique a été classée de niveau complexe, ce qui implique que plusieurs éléments doivent être pris en compte. Parmi ces éléments, on compte les risques, les enjeux et les impacts technologiques (Active directory et les GPOs), engendrés par une diminution de la cote de sécurité (DICAI) ;  Rédiger un document qui a pour objectif de présenter et de définir les stratégies de sécurité à mettre en place pour sécuriser la solution d’ingénierie routière et technologique du Ministère. Biens livrables  Avis de sécurité ;  Bilan de l’état de la sécurité pour la haute direction ;  Analyse de risque et bilan des impacts d'affaires (BIA) ;  Formulaires pour les entrevues, ainsi que les résultats finaux. Méthodologies ISO 27002, Cobit, Mehari, Guide vert Technologies Active Directory, GPO, ASP, ASP.NET, Azman, Backtrack, Biztalk Server 2004, Borland Together, Burpsuite, C#, DMR Publisher, Excel, IIS 6, Livelink, Mcafee Foundstone Products, MIIS, Nessus, Nmap, Office 2003, Oracle 10g, Oracle Application Server 10g (OAS), Powerpoint, SAN SUN Storage 9980, SQL, SQL 2000, SQL 2005, Sun Solaris 10, Visio, Visual Basic, Visual Sourcesafe, Visual Studio 2005, W3AF, Windows 2000 Server, Word, MS Project NO CLIENT : Services Québec 55 PROJET : Accompagnement en développement et en gouvernance en matière de sécurité de l’information FONCTION : Conseiller sénior en gouvernance, audit et sécurité informatique et chargé de projet PROJET CLIENT : 1000 j-p CONTRAT : n.d. PÉRIODE : Octobre 2010 à mars 2011 EFFORTS RESSOURCE : 5 mois Contexte et projet de l’organisation Ce projet consistait à déterminer les exigences de protection de renseignements personnels et de sécurité de l’information dans le cadre des projets associés à « Mon Dossier Citoyen », services en ligne pour les livraisons 2 et 3. De plus, pour ces projets, il s’agissait de déterminer les risques, en faire le suivi et de conseiller l’équipe de projet en matière de sécurité de l’information, en réaliser des travaux de positionnement pour la vision d’affaires 2011-2013 et en produire certains travaux d’ordre plus général pour la mise en place du cadre de référence en sécurité de l’information. Ce mandat consistait, entre autres, à produire les biens livrables : orientations et exigences en sécurité de l’information pour le dossier « Vision d’affaires 2011-2013 », registre des risques, architecture de sécurité à haut niveau, validation des livrables des projets en matière de sécurité de l’information et de PRP, essais intégrés et d’acceptation documentée pour le volet sécurité et PRP. Responsabilités et réalisations Monsieur Clairvoyant a eu comme principal mandat d’agir à titre de conseiller en sécurité et chargé de projet pour le Dossier citoyen :  Participer activement à la table PRP/Sécurité, à la table Sécurité et aux ateliers de travail des projets associés à « Mon Dossier Citoyen » pour orienter les travaux vers les bonnes pratiques en termes de sécurité en tenant compte des considérations apportées lors de la phase précédente ;  Rédiger les clauses et indicateurs de gestion dans le cadre d'entente de service avec un fournisseur (ex. : CSPQ) ;  Ce document présente des suggestions de clauses relatives aux services de sécurité dans les ententes de services avec les partenaires ;  Présenter le document Exigences de sécurité de l’information en matière de développement en utilisant le guide vert comme méthodologie aux différents intervenants et l’adapter suite aux commentaires et contribuer à son évolution ;
  26. 26. 26/26  Établir le positionnement ayant trait à la destruction des informations dans le cadre des projets et élaborer une directive en ce sens ;  Élaborer des exigences en sécurité de l’information afin d’établir les besoins de Services Québec dans le cadre de l’harmonisation des infrastructures avec l’impartiteur, le CSPQ ;  Participer à la finalité du processus de gestion des incidents. Plus particulièrement, il a terminé l’élaboration du processus de gestion des incidents en tenant compte des pratiques recommandées au niveau gouvernemental et de la situation spécifique de l’organisation en termes d’impartition et de responsabilités ;  Arrimer ce processus aux différents projets (ex : ClicSÉQUR, Mon dossier Citoyen, etc.) et le présenter aux différents intervenants ;  Accompagner, en matière de sécurité de l’information, les projets de développement Web de grande envergure et faire intervenir plusieurs organisations ;  Produire une architecture de sécurité à haut niveau et donne conseil sur les besoins de reddition de comptes et d’exigences en sécurité de l’information par rapport aux infrastructures technologiques. Il a utilisé dans certains cas, la méthodologie de développement (Centre DMR productivité-Guide vert), en rédigeant entre autres, un P310S- Sécurité du système ;  Rédiger un document décrivant les processus cibles pour assurer l’opérationnalisation et l’évolution de la gestion de l’identité et contrôle d’accès. Ce document s’adressait aux équipes de Services Québec et du responsable des IT (CSPQ, RAMQ, RQ, MRNF, DEC) impliquées dans les processus et qui auront à en assurer la mise en application. Dans le cadre de ce projet, la norme ISO 27002 et Cobit ont été sollicités. Biens livrables  Avis de sécurité et accompagnement ;  Rédiger le processus de gestion des incidents ;  Architecture de sécurité ;  Rédaction de directive. Méthodologies ISO 27002, Cobit et le guide vert comme méthodologie de développement Technologies Acrobat Professional, Acrobat Reader, Blackberry, Internet Explorer, Mac OS, Mac OS X, Mac OS X Snow Leopard, MS Project, Office 2007, Outils Bureautiques, Outlook, Project Web Access, Safari 3.X, Windows, Windows XP Professionnel Français Sp3 ____________________________________________________________________________________________________________ Précédant l’année 2010 ajoutons:  D’avril 2010 à septembre 2001 : Près de sept (7) années au sein d’organismes gouvernementaux comme conseiller sénior en sécurité CV # 53, 51, 50, 49, 47, 46, 43, 42, 41, 40, 39, 35, 34, 32, 31, 29, 28, 27, 26, 25, 22, 21, 19, 10, 9, 8, 7 et 6.  De juin 2010 à juillet 2004 : Plus de cinq (5) années au sein d’entreprises privées comme conseiller sénior en sécurité CV # 54, 52, 48, 45, 44, 38, 37, 36, 33, 30, 24, 23, 20, 18, 17, 16, 15, 14, 13, 12 et 11.  De janvier 1990 à avril 2001 : Plus de onze (11) années au sein de la Défense nationale comme directeur CV # 5.  De novembre 1983 à novembre 1988 : Plus de quatre (4) années au sein de la Défense nationale comme conseiller en sécurité et administrateur de bases de données CV # 4 à 2.

×