Présentation de Richard

Bonjour, Je m’appelle Richard, je suis cadre dirigeant dans la protection de l'information, ancien militaire des forces spéciales à l'armée de terre pendant 10 ans, dont 7 ans en mission d'opération spéciale et renseignement: - Protection de l’information (Information Protection) Objectif : protéger la valeur de l’information elle-même, quel que soit son support On parle du “quoi protéger”. - Sécurité de l’information (Information Security) Objectif : protéger l’information selon les 3 piliers CIA Confidentialité – Intégrité – Disponibilité On parle du “comment protéger l’information”, tous supports confondus. - Cybersécurité Objectif : protéger les systèmes d’information contre les menaces numériques On parle du “comment protéger le numérique contre l’attaque”. 1- La protection de l’information a pour objectif de préserver la valeur, la confidentialité, l’intégrité et la disponibilité de l’information, quels que soient sa source, son support, son format ou son mode de transmission. 2- La sécurité de l’information constitue un sous-ensemble de ce dispositif et fournit le cadre organisationnel, humain et technique permettant d’atteindre ces objectifs. 3- La cybersécurité en est une composante spécialisée, centrée sur les menaces numériques. Mon quotidien consiste avant tout à piloter la protection de l’information et la cybersécurité au service des enjeux métiers et institutionnels. Concrètement, je partage mon temps entre : - La gouvernance et la stratégie : définition des orientations cybersécurité et numériques, alignement avec la direction générale, les obligations réglementaires et les priorités métiers. - La gestion des risques et de la conformité : analyse des risques cyber, suivi des exigences réglementaires (NIS2, DORA, RGPD, CMMC, LPM, IGI1300, IGI6600, ITAR, LPD, OCYS etc.), arbitrage entre niveau de sécurité, continuité de service et contraintes opérationnelles. - Le pilotage des équipes et des partenaires : coordination des équipes IT, sécurité, data, ainsi que des prestataires et intégrateurs, avec un rôle fort de priorisation et de décision. - La gestion de crise et des incidents : préparation des dispositifs de réponse à incident, participation aux exercices de crise, prise de décision en situation dégradée. - L’accompagnement des projets de transformation : sécurisation des projets digitaux, cloud, data, IA, dès la conception (security by design). - La sensibilisation des décideurs et des équipes : vulgarisation des enjeux cyber, pédagogie auprès des directions métiers, acculturation à la gestion du risque. C’est un métier très transverse, à l’interface entre stratégie, management, réglementation, technologie et terrain, où il faut en permanence arbitrer entre sécurité, performance, coûts et acceptabilité opérationnelle. Après l’armée, j’ai choisi de me réorienter vers les systèmes d’information et la cybersécurité. J’ai suivi un Master en alternance, que j’ai ensuite complété par un MBA en management et stratégie, afin de renforcer ma capacité à piloter des organisations et des transformations complexes. Depuis deux ans, je poursuis deux Doctorats en Business Administration (DBA) en ligne au MIT et à Harvard, portant sur les nouveaux métiers du numérique et des technologies, l’impact des neurosciences et de la biologie sur les technologies, ainsi que la robotique et l’automatisation combinées à l’intelligence artificielle. Au fil des années, j’ai développé une expertise couvrant l’ensemble de la sécurité de l’information, des environnements cloud aux environnements industriels (usines, IoT, OT, IoMT, IIoT, cloud hybride), complétée par plusieurs certifications professionnelles. Mon parcours est atypique et unique car il combine sécurité physique et cybersécurité, tout en intégrant les enjeux de sécurité dans des contextes organisationnels complexes tels que les fusions, acquisitions, restructurations ou séparations d’entités. Je travaille au cœur de la gouvernance de la protection de l’information et du numérique, en lien étroit avec les directions générales, conseils d’administration, autorités de contrôle et régulateurs. Mes principaux domaines d’expertise sont : - Stratégie de protection de l’information, la sécurité physique, la sûreté et des actifs critiques - Gouvernance cyber et numérique - Coordination d’équipes pluridisciplinaires (IT, OT, IoMT, IoT, IIoT, sécurité, métiers, juridique, usines, R&D, conformité) - Sécurisation des infrastructures IT, OT, IoMT, IoT et industrielles - Protection des données, des identités et des usages - Gestion des incidents majeurs, des crises cyber et de la résilience (PCA / PRA) Programmes et projets structurants pilotés Je pilote ou ai piloté des programmes structurants tels que : - SOC / SIEM / SOAR/ITDR/IDS/IPS/xDR/EDR/NDR/DLP/CASB - SASE, SSE, Zero Trust, CSMA - Cloud sécurisé (IaaS, PaaS, SaaS, CaaS, DaaS) - IAM / PAM / PIM - Sécurité des environnements OT, IoT, IoMT - Sécurité des réseaux LTE 4G / 5G (SA & NSA) et anticipation 6G - Industrie 4.0 vers 5.0 (Industrie 4.0 se concentre sur la digitalisation et l’automatisation (IoT, robotique, données), tandis que l’Industrie 5.0 place l’humain au centre et combine IA, robotique et collaboration homme-machine pour créer de la valeur personnalisée et durable.) Normes et cadres réglementaires internationaux ISO / IEC et normes similaires : - ISO/IEC 27001 – Système de management de la sécurité de l’information (SMSI / ISMS) - ISO 31000 – Management du risque - ISO/IEC 27005 – Risques SSI - ISO/IEC 27034 – Sécurité applicative - ISO/IEC 27035 – Gestion des incidents - ISO 22341 – Sécurité des infrastructures - ISO 28000 – Sécurité de la supply chain - IEC 62443 – Sécurité des systèmes industriels - ISO 81001-1 – Cybersécurité des systèmes de santé NIST et standards américains : - NIST Cybersecurity Framework - NIST RMF – Risk Management Framework - NIST Privacy Framework - NIST AI RMF – Risques liés à l’IA - NIST SP 800-82 – ICS Security - NIST SP 800-64 – SDLC sécurisé Modélisation des menaces et cybersécurité opérationnelle : - MITRE ATT&CK - CERT / CSIRT Framework (RFC 2350) - CIS Controls Normes applicables aux dispositifs médicaux : AAMI TIR57 / TIR97 Supply chain et sécurité : SLSA – Supply Chain Security Sécurité cloud : CSA CCM, SecNumCloud, Guide Cloud de confiance Normes et réglementations sectorielles Santé : HDS, HIPAA, recommandations provinciales sectorielles (santé), ISO 81001-1, IoMT Finance : GLBA, DORA, CSSF Circulars (Luxembourg), FINMA (Suisse), FFIEC, NYDFS 23 NYCRR, PCI DSS, SOC2 Industrie et OT : IEC 62443, NIST SP 800-82, directives OTAN, sécurité industrielle Sécurité physique et alarmes : EN 50131 / 50136, PSIM standards Réglementations européennes et locales - RGPD, Directive NIS1 & NIS2, Cyber Resilience Act (CRA), AI Act - PGSSI-S, PSSI-E, Doctrine de réponse à incident de l’État français - Guides d’homologation de sécurité en France - RGS (Référentiel Général de Sécurité), RGA (accessibilité numérique) - OCyS – Ordonnance sur la cybersécurité, Suisse - LPD / OLPD – Protection des données personnelles, Suisse Autres cadres et référentiels - IGI n°1300 – Protection du secret de la défense nationale - IGI n°2102 / PSD – Protection des informations classifiées UE - II n°910 – Articles contrôlés de sécurité des SI (ACSSI) - II n°300 – Protection contre signaux compromettants (TEMPEST) - II n°2100 – Application du système de sécurité OTAN en France - FedRAMP – Autorisation de sécurité pour services cloud fédéraux - CMMC – Cybersecurity Maturity Model Certification, DoD supply chain - OWASP Top 10, ASVS, SAMM - Protection du Patrimoine Scientifique et Technologique (PPST) Spécificités secteurs régulés (banque, assurance, institutions) Je maîtrise pleinement les logiques de gouvernance et de contrôle dans les environnements fortement régulés, notamment : - 1ʳᵉ ligne de défense : métiers, IT, opérations - 2ᵉ ligne de défense : gestion des risques, conformité, RSSI, contrôle interne - 3ᵉ ligne de défense : inspection, audit interne et externe - Relations avec les autorités de supervision et de contrôle Sécurité globale : information, physique, numérique et humaine Mon parcours dans les forces spéciales et à la Gendarmerie m’amène à considérer la cybersécurité comme une brique d’un dispositif de sécurité globale, intégrant : - La protection de l’information (classifiée, sensible, stratégique) - La sécurité physique - La cybersécurité - Le renseignement et l’analyse de la menace - Le facteur humain - La gestion de crise et la résilience Cette approche est particulièrement critique pour : - Les infrastructures critiques - La santé et les dispositifs médicaux connectés (IoMT) - L’industrie et les environnements OT - Les réseaux télécoms (4G, 5G, demain 6G) - Les organisations souveraines et de défense Transmission & activités complémentaires En parallèle de mes fonctions principales : - J’interviens comme expert judiciaire auprès des juridictions pour aider les juges et la magistrats à la prise décision - J’enseigne dans plusieurs écoles d’ingénieurs et établissements d’enseignement supérieur en France et à l'étrangers - J’accompagne des dirigeants dans des missions de conseil stratégique Positionnement Mon rôle est volontairement transversal : - Stratégique : vision, gouvernance, aide à la décision - Opérationnel : terrain, gestion d’incidents, pilotage de projets - Pédagogique : transmission, vulgarisation, acculturation des décideurs