Ce grand groupe bancaire évolue dans un environnement fortement régulé, où la sécurité du système d’information, la maîtrise des risques et la conformité aux standards internationaux constituent des enjeux majeurs. L’organisation s’appuie sur un modèle d’infogérance structurant pour opérer et maintenir son SI, dans un contexte de transformation continue des infrastructures.
Au moment de la mission, plusieurs vulnérabilités de sécurité avaient été identifiées sur différents périmètres techniques, traduisant la nécessité de renforcer certains dispositifs existants.
C’est dans ce contexte que Luca Giusti, Consultant Colibee, est intervenu en tant que Directeur de projet sécurité SI, avec pour objectif de piloter un programme stratégique de transformation et de sécurisation du système d’information en mode outsourcing.
La mission devait permettre au groupe de reprendre la maîtrise opérationnelle de la gestion des vulnérabilités, tout en s’inscrivant dans un cadre contractuel existant et contraint. L’enjeu n’était pas uniquement technique, mais également organisationnel et stratégique, avec la nécessité de clarifier les responsabilités, de renforcer la gouvernance et d’objectiver les décisions auprès des instances de direction.
Il s’agissait également d’aligner durablement les pratiques de sécurité avec les référentiels de place tels qu’ISO 27001:2022, NIST et COBIT, dans un environnement hybride reposant notamment sur Microsoft Active Directory et Entra ID.
Luca Giusti a apporté une double expertise technique et stratégique, lui permettant d’aborder la problématique de sécurité de manière globale et structurée. Son solide background en infrastructure et en sécurité des systèmes d’information lui a permis de repartir des fondamentaux techniques pour comprendre précisément l’ampleur et l’origine des vulnérabilités.
Sa maîtrise des cadres normatifs et de gouvernance a permis de repositionner les enjeux de sécurité dans une logique de conformité et de pilotage des risques. Par ailleurs, son expertise en analyse de contrats d’infogérance et en pilotage de la performance des prestataires a été déterminante pour objectiver les échanges avec les équipes de gouvernance et les instances dirigeantes.
Enfin, son approche collaborative, exigeante et bienveillante a facilité l’adhésion des équipes internes, du RSSI et des parties prenantes, dans un contexte marqué par une forte pression opérationnelle.
Luca Giusti s’est vu confier la responsabilité du programme de gestion des vulnérabilités. Il a engagé une analyse approfondie de la situation existante, en s’appuyant sur une compréhension détaillée des environnements techniques et de l’architecture du SI. Cette démarche a permis de qualifier précisément les vulnérabilités, au-delà des constats déjà connus.
Dans un contexte de débats prolongés autour d’un avenant contractuel, le Consultant Colibee a obtenu l’accès au contrat d’infogérance en vigueur ainsi qu’à l’ensemble de ses mises à jour. L’analyse détaillée de ces documents a permis d’établir que les exigences de sécurité et de remédiation des vulnérabilités étaient déjà couvertes contractuellement.
Cette étude a conduit à un constat partagé avec le comité de direction : l’enjeu principal ne résidait pas dans la renégociation du contrat, mais dans le non-respect des SLA existants et dans l’insuffisance des mécanismes de contrôle et de pilotage du prestataire.
Avec l’accord du RSSI, Luca Giusti a structuré une gouvernance unifiée du programme de gestion des vulnérabilités. Des processus clairs ont été mis en place pour prioriser les domaines d’intervention, suivre régulièrement les indicateurs et challenger les écarts constatés par rapport aux attentes contractuelles.
Des procédures et workflows ont été élaborés afin de clarifier les rôles des équipes opérationnelles et d’améliorer la coordination entre le groupe et son prestataire d’infogérance. Dans ce contexte, le consultant a joué un rôle déterminant dans l’amélioration de la dynamique de communication entre les deux parties. Il a renforcé les exigences relatives à la précision et à la complétude des informations fournies par l’infogéreur, ce qui a permis de réduire les imprécisions, de limiter les décalages opérationnels et de fluidifier la relation de travail.
En six mois, le programme piloté par Luca Giusti a permis de réduire de 90 % le volume de vulnérabilités, sans impact budgétaire ni renforcement des équipes d’infogérance. La maîtrise des SLA et l’amélioration du pilotage ont permis d’obtenir des résultats rapides et durables.
Au‑delà de ces gains opérationnels, la mission a renforcé la maturité du groupe en matière de gouvernance de la sécurité du SI. Elle a consolidé les pratiques existantes et apporté une structuration claire des priorités.
Le consultant a également contribué à la réflexion stratégique autour de la roadmap sécurité, en proposant des orientations permettant d’enrichir les arbitrages et d’élargir les perspectives, même si la responsabilité opérationnelle relève d’un autre périmètre.
Enfin, il a assuré la relecture des principales politiques et directives de sécurité, apportant un regard méthodique tout au long du processus.
L’ensemble de ces interventions s’inscrit dans un effort global visant à doter le groupe d’une gouvernance de sécurité plus robuste et mieux alignée sur les enjeux de risque.