De 2000 à nos jours

De 2000 à nos jours

* Depuis novembre 2023 à nos jours - TriFinance Luxembourg et Parklane Group - Group Information Security Officer

  • Responsable de la sécurité de l’information au niveau groupe, en charge de la définition, de la mise en œuvre et de la gouvernance stratégique des cadres de cybersécurité, de gestion des risques et de conformité réglementaire.

  • Réalisations clés

  • ✔ Mise en place d’un AIMS conforme à ISO/IEC 42001

    • Conception et déploiement d’un AI Management System (AIMS).
    • Adaptation du cadre de gestion des risques pour intégrer les risques liés à l’intelligence artificielle (IA), incluant les aspects éthiques, réglementaires et techniques.

  • ✔ Déploiement d’un SGSI conforme à ISO/IEC 27001

    • Conception du système de gestion de la sécurité de l’information (ISMS).
    • Rédaction et implémentation des politiques de sécurité, des contrôles obligatoires et des procédures opérationnelles.

  • ✔ Gouvernance & Politiques de Sécurité

    • Définition des politiques, standards, contrôles et directives de sécurité pour l’ensemble du groupe.
    • Conception et mise en œuvre d’un programme de sensibilisation à la cybersécurité pour tous les employés.

  • ✔ Gestion des risques & conformité

    • Élaboration d’un cadre de gestion des risques aligné sur :

      • ISO 27005, ISO 31000,
      • NIST SP 800‑53.

    • Analyse des risques liés à la chaîne d’approvisionnement TIC (Supply Chain Risk Management).

    • Évaluation de la conformité des fournisseurs (TIC, SaaS, infogérance, services cloud…).

    • ✔ Reporting stratégique
    • Production de rapports de sécurité détaillés à destination de la Direction Générale et des entités du groupe.
    • Recommandations stratégiques pour la réduction des risques et l’amélioration continue du niveau de sécurité.

* mars 2022 à novembre 2023 -Sogeti Luxembourg (a Capgemini) - CRG Leader - Auditeur de cybersécurité et conseil en gestion des risques

  • Développement de la pratique cybersécurité & risk management

    • Conception et développement de frameworks et méthodologies de gestion des risques : modélisation des risques, RSA, RCSA, registres des risques, matrices d’évaluation.
    • Création d’outils de gestion des risques et adaptation d’outils CSSF (version originale développée pour Semago SARL).
    • Mise en place de modèles de gouvernance et de reporting pour les équipes cyber & IT risk.

  • Chef de projet & Analyste des risques – Association nationale & lobby technologique (Belgique)

    • Pilotage de projets cybersécurité et gestion des risques pour des organisations nationales à forte visibilité.
    • Réalisation d’analyses de risques stratégiques, définition de plans de traitement et recommandations pour les organes de gouvernance.
    • Accompagnement sur la conformité, les politiques de sécurité et la maturité cyber.

  • Consultant Cybersécurité – Institution publique de santé (Luxembourg)

    • Renforcement de la posture de cybersécurité d’une institution publique critique.
    • Réalisation d’évaluations de sécurité, audits, analyses des processus et recommandations opérationnelles.
    • Contribution à la définition des contrôles, politiques et plans de continuité.

  • Analyste des risques (2e ligne de défense) – Banque internationale (Luxembourg)

    • Évaluation indépendante des risques IT & cyber pour une banque d’envergure internationale.
    • Réalisation de contrôles de 2e ligne : revue RCSA, analyse des contrôles clés, identification des lacunes et suivi des plans d’action.
    • Contribution au dispositif de conformité aux exigences réglementaires européennes (EBA, CSSF, DORA, ISO…).

* février 2020 à mars 2022 - SThree Luxembroug - Cybersecurity Risk Consultant

  • Consultant en cybersécurité et gestion des risques, assurant un rôle clé dans la conception, la mise en place et l’amélioration du cadre de gestion des risques au sein de la BCEE. Interventions en 2e ligne de défense, incluant la revue des contrôles, l’évaluation des risques et la conformité avec les standards européens et les exigences réglementaires du secteur financier.

  • Responsabilités principales

    • Analyse et gestion des risques
    • Réalisation d’analyses de risques IT & cyber, en ligne avec les frameworks internes et les exigences réglementaires du secteur bancaire.
    • Conception et mise en œuvre d’un nouveau modèle de risque (Risk Model) adapté aux enjeux cyber et opérationnels.
    • Création d’un nouvel assessment complet pour la prochaine campagne annuelle d’évaluation des risques.

  • Développement du cadre méthodologique

    • Conception du futur framework de gestion des risques basé sur :
    • ISO (incluant sécurité, confidentialité et gestion des risques),
    • ENSISA,
    • Exigences EBA, GDPR, et autres référentiels de conformité bancaire.
    • Développement d’un nouveau template standardisé pour les self-assessments.

  • Rôle en 2e ligne de défense

    • Réalisation de RCSA reviews (Risk and Control Self-Assessment).
    • Revue indépendante des contrôles et validation de l’efficacité du dispositif de maîtrise des risques.

* juillet 2017 à janvier 2020 - Semago - Fondateur et consultant

  • Consultant spécialisé en protection des données, gestion des risques et cybersécurité, intervenant en mode DPO as a Service et conseil stratégique. Expérience confirmée dans l’accompagnement de directions (CEO, IT management) sur les enjeux de conformité, de gouvernance et de sécurité de l’information. Capacité à concevoir des cadres méthodologiques basés sur les normes internationales (ISO 29100, 29154, 27701), à piloter des analyses de risques et à guider les organisations dans la mise en œuvre opérationnelle du RGPD.

  • Principales responsabilités

    • DPO as a Service
    • Assurer le rôle de DPO externe : suivi, reporting et conseils au CEO sur les problématiques de confidentialité, conformité et risques émergents.

  • Privacy & Risk Consulting

    • Concevoir un nouveau cadre méthodologique pour la fonction DPO, basé sur les normes ISO 29100, 29154 et 27701.
    • Réaliser des pré‑analyses de risques et des pré‑screenings sur les processus sensibles.
    • Apporter un conseil expert sur les bonnes pratiques réglementaires, les évolutions législatives et les exigences du RGPD.
    • Former les équipes IT et le top management à la conformité et aux obligations légales.

  • Cybersecurity Consulting

    • Analyse de sécurité, recommandations techniques et renforcement des contrôles de sécurité.
    • Conseil stratégique en cybersécurité pour l’amélioration continue et la gestion des incidents.

avril 2016 - spetembre 2017 Uptime ICT - Concultant Senior

  • Consultant senior spécialisé en conformité, gestion de projets et cybersécurité, intervenant pour de nombreux clients publics, privés et industriels. Responsable de missions GDPR, d’audits de conformité, de gestion de projets techniques et de gouvernance IT.

  • Responsabilités et réalisations majeures

    • 1. Conseil GDPR & Conformité
    • Organisation et animation de sessions de travail et d’information GDPR en collaboration avec Uptime-ICT et Cronos Security.
    • Vulgarisation du programme GDPR pour les clients afin de faciliter leur préparation et l’implémentation des actions nécessaires.
    • Audit complet de conformité GDPR de l’ensemble des sites web du groupe Uptime, incluant recommandations et plan d’alignement.

  • Exemples de missions :

    • Brussels South Airport (BSA) : Conseil et accompagnement pour la mise en œuvre du programme GDPR.
    • FN Herstal : Sensibilisation, définition des rôles et conception du programme GDPR.
    • Test Achats / Euroconsumers : Conseil GDPR et accompagnement à l’implémentation, incluant le déploiement d’une nouvelle infrastructure Wi-Fi.
    • BIO-Invest : Conseil GDPR dans le cadre d’un projet de migration vers le cloud.

  • 2. Gestion de projets IT & Cybersécurité

    • Direction de projets techniques : sauvegarde, infrastructure, migration cloud, gouvernance.
    • Organisation des kick-off meetings, planning, coordination, gestion documentaire et validation avec les clients.
    • Finalisation complète de projets : livraison, réception finale, clôture et validation officielle par les clients.

  • Exemples de projets livrés :

    • SPW – Service Public de Wallonie : Implémentation d’une nouvelle solution de sauvegarde ; Go final reçu et projet clôturé avec succès.
    • CHR La Citadelle : Gestion du lancement du projet, création du planning et communication sur son avancement.
    • CWAPE : Reprise d’un projet stratégique, pilotage de toutes les phases, migration infrastructure vers le cloud et validation finale.
    • Gardes Hospitaliers (GhDC) : Chef de projet pour la mise en place d’une nouvelle architecture Backup & Storage.
    • SWCS : Conseil GDPR pour le projet Active Directory (AD), gestion complète du projet, documentation et validation.

  • 3. Gouvernance IT

    • Reprise et restructuration d’un projet de gouvernance existant.
    • Définition d’un cadre de gouvernance basé sur COBIT 5.
    • Rédaction de la gouvernance liée à la CMDB, en intégrant COBIT, ITIL et les standards pertinents.

juillet 2015 - novembre 2016 - INTM Belgique - Consultant Senior

  • Consultant senior en gestion de projets, conformité et cybersécurité, intervenant pour plusieurs entités du secteur énergie et industrie dans le cadre de missions stratégiques pilotées par INTM. Responsable du management complet de projets, du conseil réglementaire, du suivi opérationnel et du pilotage d’équipes.

  • Projets stratégiques – ENGIE

    • Engie Generation Nuclear : Pilotage d’un projet de sécurité, obtention du Go formel, lancement, communication, coordination et mise en œuvre opérationnelle.
    • Engie Generation – Démantèlement d’une centrale : Gestion de projet de bout en bout, réception des livrables, validation finale et clôture officielle.
    • Engie Generation – Construction d’une centrale : Validation du périmètre, des résultats attendus et coordination complète du projet jusqu’à l’acceptation formelle et la fermeture administrative.
    • ENGIE IT : Suivi des consultants INTM, validation des compétences des chefs de projets, support à la gestion opérationnelle.

  • Projets réglementaires & sectoriels – Énergie (ORES)

    • Conseil sur la réglementation européenne du secteur de l’énergie.
    • Accompagnement complet pour la mise en place de la segregation of duties / segregation of network conformément aux exigences EU.
    • Coordination de l’implémentation sur plusieurs sites et obtention des validations clients à chaque étape.

  • Gestion de projet & Change Management

    • Gestion de projets de A à Z, depuis l’offre commerciale jusqu’à la clôture officielle.
    • Gestion de la relation client, communication et reporting régulier auprès de la direction.
    • Incident management, planification, priorisation et suivi des tâches.
    • Accompagnement au changement auprès des équipes internes et externes.

  • Activités internes INTM

    • Conception et déploiement de KPI de pilotage contractuel pour ENGIE en mode service.
    • Mise en place d’un capacity planning pour les consultants en mission.
    • Suivi opérationnel, reporting interne et coordination des ressources.
    • Validation des compétences et participation au développement du pôle Project Management.

Décembre 2013 – Juillet 2015 - The Porject Engineering Company - Project Manager

  • Project Manager IT en mission pour la DSI du groupe ENGIE, responsable de projets d’infrastructure réseau à grande échelle et de gouvernance sécurité. Intervention auprès de la direction (CEO, CIO, CISO) pour la validation, le pilotage et la livraison des projets stratégiques.

  • Réalisations clés

    • ✔ Programme NFG – Transformation des réseaux ENGIE (Belgique)
    • Pilotage complet du déploiement d’une nouvelle infrastructure réseau à l’échelle nationale.
    • Préparation et présentation du projet aux CEO des entités belges, au CIO et au CISO.
    • Obtention du Go officiel pour le lancement du programme.
    • Supervision des migrations réseau et réception finale du programme, incluant la clôture officielle.

  • ✔ Gouvernance & Sécurité – Projet Firewall Datacenters ENGIE

    • Reprise d’un projet de gouvernance sécurité axé sur l’implémentation d’une nouvelle solution firewall pour plusieurs datacenters du groupe.
    • Obtention du Go pour lancer le POC (Proof of Concept).
    • Projet mis en pause suite à la réorganisation stratégique du groupe ENGIE.

  • ✔ Migration d’infrastructure – Projets techniques

    • Migration des VIP depuis Cisco ISE vers F5.
    • Coordination des équipes techniques et documentation complète des activités.
    • Suivi de l’avancement, gestion des risques et validation des livrables.

Octobre 2012 à Octobre 2013 - The Porject Engineering Company - Project Manager

  • Responsable de l’analyse, de la refonte des processus et de la gestion de projets techniques et sécurité pour le département caretaking, les télécommunications internes, les réseaux et les infrastructures critiques. Interventions directes auprès des équipes techniques, de la sécurité et des fournisseurs.

  • Réalisations clés

  • ✔ Analyse et refonte complète des processus de gardiennage

    • Analyse de l’existant, redéfinition et réécriture intégrale de tous les processus opérationnels.
    • Tous les nouveaux processus ont reçu une validation formelle du client.

  • ✔ Projet de télécommunication interne – Réseau Walkie‑Talkie

    • Analyse du réseau de communication pour les équipes de sécurité.
    • Création d’une méthodologie complète pour :
      • l’analyse du spectre radio,
      • la vérification de la puissance du signal,
      • la modélisation de la couverture.
    • Présentation des résultats validée par le client, et recommandations acceptées par le fournisseur.
    • Revue du contrat de service et identification d’anomalies contractuelles.

  • ✔ Support contractuel & négociation

    • Accompagnement de BNP Paribas Fortis dans la renégociation du contrat de performance réseau.
    • Analyse technique et financière, identification des écarts contractuels et préparation des arguments pour les négociations.

  • ✔ Cybersécurité & protection de la vie privée

    • Détection de vulnérabilités de sécurité liées aux infrastructures et aux applications.
    • Conseil sur les risques de confidentialité et les impacts compliance lors de l’acquisition d’une solution SaaS pour les équipes de gardiennage.

  • ✔ Conseil sécurité pour un projet de datacenter

    • Analyse des risques liés à la sécurité d’un nouveau site datacenter en Belgique.
    • Élaboration de recommandations techniques et organisationnelles.
    • Validation des recommandations par le client.

Juil. 2002 – Juin 2012 - DBA Tach - Freelance Consultant

  • Consultant freelance polyvalent, intervenant auprès de PME, entreprises industrielles, sociétés de sécurité privée et acteurs logistiques. Spécialisé en gestion de projets IT, sécurité, privacy, infrastructure, processus et coordination opérationnelle.

  • Réalisations clés

  • ✔ Projets Web & Support aux PME

    • Conception et développement de sites web pour plusieurs organisations : Harley Luxembourg, Luxembourg HOG, Motorcycle Tours Luxembourg.
    • Recrutement pour PME et gestion de ressources externes.

  • ✔ Gestion de projets IT & Sécurité

    • Pilotage de projets informatiques : infrastructures, réseaux, sécurité et organisation.
    • Leadership d’équipes techniques et coordination des activités de livraison.
    • Gestion d’incidents, suivi, reporting et communication avec la direction.

  • ✔ Conseil Privacy & CCTV (Belgique – secteur logistique et industriel)

    • Conseil sur la législation en matière de vie privée appliquée aux systèmes de vidéosurveillance (CCTV).
    • Accompagnement pour la déclaration obligatoire auprès de la Commission Vie Privée.
    • Conception d’architectures réseau pour les systèmes de caméra, documentation et rapports destinés à la direction.

  • ✔ Conformité – Loi sur la sécurité privée (Tobback Law)

    • Mise en œuvre de processus, bonnes pratiques et procédures liés à la sécurité privée.
    • Élaboration du plan d’implémentation des caméras, du modèle de rétention et des obligations de formation légale.

  • ✔ Missions pour entreprises industrielles & de sécurité (SEVESO, Bio Wanze, Seris Security, Desmet Engineering)

    • Analyse des incidents, audits post‑incident et recommandations d’amélioration.
    • Rédaction de rapports pour le management et formalisation complète de la documentation de suivi.
    • Mise en place de processus de monitoring et de documentation opérationnelle.

Septembre 2001 - Septembre 2002 - IT Business Consulting (Groupe Altran) - Project Manager

  • Project Manager au sein d’IT Business Consulting (Groupe Altran), responsable de la gestion d’équipes, du développement commercial technique et de projets d’infrastructure IT pour différents clients au Luxembourg. Interventions couvrant le management, la conception d’architectures réseau, la sécurité, le pilotage opérationnel et la relation partenaires.

  • Responsabilités et réalisations principales

  • ✔ Management & Ressources

    • Encadrement de nouvelles recrues et supervision de l’équipe technique.
    • Gestion des ressources externes et coordination avec les partenaires locaux.

  • ✔ Pré‑vente & Pilotage de projets IT

    • Contribution aux activités de pré‑sales pour les projets d’infrastructure IT et de sécurité.
    • Présentation de solutions techniques aux clients, participation à la rédaction d’offres commerciales.

  • ✔ Architecture & Sécurité des réseaux

    • Conception de l’architecture de réseaux locaux (LAN) pour divers clients professionnels.
    • Recommandations sur la sécurité et validation technique des solutions proposées.

  • ✔ Gestion des SLA & Relation partenaires

    • Pilotage des SLA avec les partenaires et prestataires.
    • Support contractuel pour garantir la conformité des niveaux de service.

  • ✔ Audits & Reporting

    • Réalisation d’audits IT pour plusieurs PME au Luxembourg.
    • Rédaction de rapports complets incluant constats, vulnérabilités et recommandations.

Juin 2000 à juillet 2001 - Computer System Luxembourg - Project Manager

  • Project Manager responsable du déploiement d’infrastructures IT, de la gestion des incidents et de la mise en place de processus structurants pour la Spuerkeess. Intervention sur des projets réseau, serveurs et organisation IT.

  • Réalisations principales

  • ✔ Déploiement d’infrastructures IT & réseaux

    • Mise en place de nouvelles architectures réseau et de serveurs pour plusieurs clients.
    • Livraison complète des environnements, documentation technique et transfert de connaissances.
    • Définition du SLA de support 1er niveau pour les activités de helpdesk.

  • ✔ Gestion des incidents & pilotage opérationnel

    • Analyse et résolution des incidents matériels.
    • Planification des interventions et gestion des ressources techniques.
    • Mise en place d’un suivi opérationnel pour garantir la continuité du service.

  • ✔ Gouvernance & Processus

    • Création d’une nouvelle CMDB (Configuration Management Database).
    • Définition et documentation de nouveaux processus pour structurer les opérations IT.
    • Amélioration de la qualité des données et standardisation des procédures.

> Quelques projets sur cette période

Consultant GRC pour une association professionnelle belge

  • Assurer le rôle de SDM pour Capgemini, en assurant le suivi du programme de cybersécurité et l'évaluation de la maturité et des risques.
  • Gérer le calendrier des activités de tests d'intrusion en collaboration avec le client et le responsable des tests.
  • Rédiger des rapports mensuels.
  • Accompagner le client dans l'évaluation de la maturité et des risques, et fournir les outils RCSA pour l'auto-évaluation, basés sur la norme NIST v1.1 et en lien avec les normes ISO 27001:2013/2022.

Consultant Cyber sécurité et Risques pour le une administration publique dans le domaine de la santé

  • Coordination du contrat relatif à la cybersécurité.
  • Aide à la mise en œuvre de la gestion des risques selon la norme ISO 27001 et les meilleures pratiques.
  • Fourniture à LNS des outils RCSA et de la matrice des risques pour l'auto-évaluation et le reporting (registre des risques et matrice des risques).
  • Conseil sur les bonnes pratiques en cas de gestion des incidents et de leur poliques.
  • Processus de revue.

Deuxième ligne de défense contre les risques liés aux TIC – Pour une banque privée internationale au Luxembourg

  • Examen de l'analyse RCSA de la première ligne de défense.
  • Vérification des contrôles et des preuves.
  • Assurer le suivi du plan d'action relatif aux risques ouverts et aux contrôles en place pour réduire les risques.

Consultant en gestion des risques liés à la protection de la vie privée pour une société de services d'expertises dans les investismments alternatifs et les gestionnaires d'actifs.

  • Création d'un cadre pour les analyses d'impact relatives à la protection des données (AIPD)
  • Basé sur les normes ISO 29100, ISO 29134, ISO 29151, ISO 31010, ISO 27002, ISO 27005, etc.
  • Présélection de plus de 100 traitements éligibles à une AIPD.
  • Identification des 5 traitements prioritaires et définition d'une AIPD pour tous les autres.

Consultant en cybersécurité et la protection de la vie privée, pour une asbl travaillant dans l'IT d'une administration publique

  • Gouvernance de la sécurité pour la prestation de services.
  • Création d'une CMDB applicative pour faciliter la conception du contrôle d'accès basé sur les rôles (RBAC).
  • Procédure et processus de mise en conformité.
  • Conseils et assistance au DPO
  • Découverte électronique des données personnelles (PII) pour le RGPD
  • Mise en place d'une analyse d'impact relative à la protection des données (PIA)
  • Notification des violations de données, y compris la gestion des incidents
  • Gouvernance RGPD : processus et procédures
  • Informations relatives aux droits des personnes
  • Informations sur les droits des personnes
  • Analyse de l'ensemble du site web concernant la conformité au RGPD et à la réglementation électronique (ePR)
  • Catégorisation des données personnelles (PII) et association des risques à chaque catégorie
  • Registre des traitements par Semago® (Maintement BARELLA.APP®)