Jeremy Canale Sécurité agentique
Travaillons ensemble
Expert mondial de la sécurité des agents IA

Jeremy Canale Je conçois

Douze années passées à sécuriser les industries les plus régulées au monde : la banque, l'assurance, la défense. Aujourd'hui, je bâtis le périmètre de sécurité des agents IA autonomes, des infrastructures MCP et des plateformes cloud qui les hébergent.

Me contacter Profil LinkedIn
  • 12+années en cybersécurité
  • 8clients du Fortune 500
  • 25+certifications professionnelles
  • 3continents · SG · EAU · UE
Missions menées pour
  • Swiss Re
  • AXA
  • BNP Paribas
  • Standard Chartered
  • Thomson Reuters
  • Société Générale
  • Seddiqi Holding
  • NusaVest
  • Thales
  • Dassault Systèmes
  • Veolia
  • Baxter
  • Gemalto
Certifications

Certifié sur l'ensemble de la chaîne agentique

De l'AI Fluency d'Anthropic au NVIDIA Generative AI LLMs, en passant par les certifications ISACA CISM et CRISC et l'intégralité des parcours Microsoft Cybersecurity Architect et AWS Security.

Microsoft2025

Building Secure Agents for Public Sector Services

Cursus de sécurité de l'automatisation par agents IA.

Agentic
NVIDIA2026

Certified Professional · Agentic AI

Agentic
NVIDIA2026 → 2028

Certified Associate · Generative AI LLMs

GenAI
Anthropic2026

AI Fluency Framework & Foundations

ud6tp3nbypsc

AI Trust
Anthropic2026

Claude Code in Action

bqps2dqo8oaa

Anthropic2026

Introduction to Claude Cowork

qn62hbyfx7ky

Anthropic2026

Claude Code 101

cyrei883psj9

Anthropic2026

Claude 101

pok9weot8j3p

Palo Alto Networks2023 → 2025

Prisma Certified Cloud Security Engineer

Microsoft2023 → 2024

Cybersecurity Architect Expert

EAB47D8F4EDC1058

Microsoft2023 → 2024

DevOps Engineer Expert

D7EF2C23EF149EA4

Microsoft2023 → 2024

Azure Developer Associate

A6B7126C06F9C786

Microsoft2023 → 2024

Security Operations Analyst Associate

8B08474D2BE410E8

Microsoft2023

Security, Compliance & Identity Fundamentals

BD23427E7A5DF944

Microsoft2023

Azure Fundamentals

B7635962A1631A02

Microsoft2020 → 2022

Azure Security Engineer Associate

H344-1450

ISACA2023

CISM, Certified Information Security Manager

ISACA2023

CRISC, Risk & Information Systems Control

Amazon Web Services2019 → 2021

AWS Certified Security, Specialty

6S5MRC92DFR11RCW

Amazon Web Services2018 → 2020

AWS Certified SysOps Administrator, Associate

FZN3QCE2J21E1N5F

Amazon Web Services2018 → 2020

AWS Certified Cloud Practitioner

WH8FRT11JNBQQXCM

Amazon Web Services2017 → 2019

AWS Certified Developer, Associate

4NBMCXH12EVEQB36

Amazon Web Services2016 → 2018

AWS Certified Solutions Architect, Associate

AWS-ASA-14402 · 3Z8KF6HK22VQQ83R

Coursera · Google Cloud2020

Managing Security in Google Cloud Platform

Coursera · Google Cloud2020

Google Cloud Platform Fundamentals · Core Infrastructure

Scrum.org2019

Professional Scrum Master I

Cisco2007 → 2009

Cisco Certified Network Associate (CCNA)

Domaines d'intervention

Là où j'interviens, à la pointe

De la sécurisation des agents IA autonomes à la tarification du cyber-risque pour les grands assureurs, mes missions se situent à la croisée des industries régulées et de l'intelligence artificielle émergente.

Sécurité des agents IA

Sécurisation de bout en bout des agents LLM autonomes : serveurs MCP, autorisation des appels d'outils, défense contre l'injection d'instructions, isolation des sous-agents et garde-fous à l'exécution.

  • MCP
  • Claude / GPT
  • Sub-agents
  • Tool auth
  • Guardrails
Spécialité phare

Gouvernance et confiance de l'IA

Mise en œuvre opérationnelle de la norme ISO/IEC 42001, du référentiel NIST AI RMF et du Règlement européen sur l'IA. Intégration du cadre AI Fluency d'Anthropic dans la cartographie des risques de l'entreprise.

  • ISO 42001
  • NIST AI RMF
  • EU AI Act
  • Model risk

Sécurité du cloud et CSPM

Architectures de sécurité multi-cloud pour AWS, Azure et GCP. Déploiement mondial de Prisma Cloud chez AXA. Parc Cloudflare chez Thomson Reuters. Architectures de référence durcies, infrastructure-as-code et pratiques SRE.

  • AWS
  • Azure
  • GCP
  • Prisma
  • Cloudflare

Quantification du cyber-risque

Fondateur et président de Rankiteo, la première plateforme de bureau de souscription cyber pilotée par l'IA. Tarification, mesure de l'exposition et analyses de portefeuille pour les assureurs et les réassureurs.

  • Rankiteo
  • CRQ
  • Underwriting
  • Actuarial AI

Gouvernance, risque et conformité

Certifications ISO/IEC 27001 au niveau du groupe, SOC 2, HIPAA, DORA, NIS2, PDPL Émirats arabes unis et Arabie saoudite. Conception du programme GRC de Seddiqi Holding et de la feuille de route de maturité de BNP Paribas.

  • ISO 27001
  • SOC 2
  • DORA
  • NIS2
  • PDPL

Renseignement sur les menaces et offensive

Travaux de recherche OWASP publiés dans le magazine Hakin9. Tests d'intrusion, prédiction des exploits, renseignement sur la surface d'attaque et chronique des incidents cyber de Rankiteo (plus de 100 000 incidents).

  • OWASP
  • Pentest
  • Threat intel
  • Hakin9
La confiance dès la conception

Un seul architecte. Tous les référentiels qui comptent.

De la norme ISO/IEC 27001 au Règlement européen sur l'IA, mes missions font le pont entre l'ingénierie et la régulation. Je traduis les référentiels en contrôles déployables, et j'en apporte la preuve par une assurance mesurable.

  • Maturité cyber portée de 0 à 30 % en moins de douze mois pour BNP Paribas Asset Management.
  • Déploiement mondial de Prisma CSPM sur l'ensemble des entités d'AXA.
  • Programme ISO 27001 à l'échelle du groupe Seddiqi Holding, aligné sur les PDPL Émirats arabes unis et Arabie saoudite.
  • Garant de l'architecture de sécurité chez Swiss Re et Thomson Reuters.
Parcours

Douze années à la tête de la sécurité d'entreprises régulées

Des fonctions opérationnelles, de vice-président chez Swiss Re à responsable adjoint de la sécurité des systèmes d'information chez BNP Paribas Asset Management, et aujourd'hui président d'une société de souscription cyber pilotée par l'IA.

  1. 2026 → aujourd'hui

    Fractional CISO · NusaVest

    Singapore · À distance

    Stratégie cyber et système de management de la sécurité de l'information pour une plateforme sud-est-asiatique de titres adossés à des actifs (SC Ventures · Standard Chartered).

  2. 2022 → aujourd'hui

    Founder & CEO · Rankiteo

    Palo Alto, California · À distance

    Conception de la première plateforme de bureau multi-OS de souscription cyber pilotée par l'IA. Notations cyber, gestion du risque tiers et modélisation de l'exposition, distribuée nativement en MCP vers Cursor, Claude Desktop, ChatGPT et n8n.

  3. 2025 → 2026

    AI GRC Lead · Seddiqi Holding

    Dubai, UAE · Hybride

    Programme de certification ISO/IEC 27001 à l'échelle du holding tout entier. Cartographie des risques, déclaration d'applicabilité et mise en conformité avec les PDPL Émirats arabes unis et Arabie saoudite, département par département.

  4. 2023 → 2025

    Deputy CISO · GAMBIT / BNP Paribas Asset Management

    Liège, Belgium · À distance

    Mise sur pied, en partant de zéro, d'un programme de cybersécurité fondé sur le NIST. À la suite de l'acquisition par BNP Paribas, conduite de la transformation de la maturité, de 0 à 30 %, au sein du référentiel du groupe.

  5. 2023 → 2024

    Head of Cloud Security GRC & CSPM · AXA

    Paris, France · À distance

    Responsable technique du déploiement mondial de Palo Alto Prisma CSPM sur l'ensemble des entités d'AXA. Alignement des standards du groupe avec les contraintes réglementaires locales.

  6. 2022 → 2023

    Cloud & Product Security Lead · Thomson Reuters

    Zug, Switzerland

    Garant de l'architecture de sécurité au sein de la gouvernance d'architecture d'entreprise. Déploiement mondial de Cloudflare. Conseil en souscription cyber, à la croisée de l'ingénierie et de l'assurance.

  7. 2020 → 2022

    Vice-President · Cloud Security & GRC · Swiss Re

    Zurich, Switzerland

    Sécurité dès la conception à l'échelle de l'entreprise. Revue d'architecture pour chaque programme majeur. Architectures de référence réutilisables pour le cloud, les applications et les infrastructures.

  8. 2018 → 2019

    AI CyberSecurity Architect · Société Générale

    Paris, France

    Définition et application du référentiel de sécurité cloud de la banque. Gouvernance cloud fondée sur les risques et sécurité dès la conception pour chaque initiative cloud.

  9. 2015 → 2018

    Architecte de solutions de sécurité · plusieurs entreprises du Fortune 500

    Thales · Baxter · Gemalto · Veolia · Dassault Systèmes

    Migrations cloud sous PCI-DSS, HIPAA et autres environnements régulés. Infrastructure-as-code, architectures de référence durcies, automatisation de la gestion des vulnérabilités et authentification unique cloud native.

Conseil

Un conseil opérationnel pour les entreprises nativement IA

Conseil et mise en œuvre de bout en bout sur l'ensemble de la chaîne de sécurité des agents IA, de la stratégie présentée au conseil d'administration aux plans d'architecture, jusqu'aux garde-fous en production sur Azure AI Foundry, LangGraph, NeMo, SageMaker et Prisma Cloud.

Phase 01 · Stratégie

Stratégie de sécurité des agents IA

Diagnostic présenté au conseil d'administration sur votre parc d'agents IA. Architecture cible, posture réglementaire et feuille de route à douze mois pour y parvenir.

  • Modélisation des menaces pour chaque agent et chaque appel d'outil
  • Mise en correspondance avec NIST AI RMF, ISO 42001 et le Règlement européen sur l'IA
  • Modèle de risque et de coût prêt à présenter au RSSI
Phase 02 · Construction

Construction et durcissement

Ingénierie en immersion sur votre socle technique. Garde-fous, isolation des sous-agents, autorisation des appels d'outils et observabilité Langfuse, livrés jusqu'en production.

  • Architecture de référence sur Azure AI Foundry ou AWS Bedrock
  • Flux LangGraph et LangChain dotés de garde-fous
  • Intégration Prisma Cloud et Cloudflare
Phase 03 · Assurance

Audit et assurance

Audit indépendant de sécurité agentique. Exercices en équipe rouge ciblant l'injection d'instructions, l'abus de chaîne d'outils et l'exfiltration de données. Dossier de preuves prêt à être présenté au conseil d'administration.

  • Équipes rouges sur les couches invite, outils et données
  • Mise en correspondance SOC 2 / ISO 27001 / DORA / NIS2
  • Tableaux de bord Langfuse d'assurance continue
01

Plateformes d'agents IA et orchestration

02

Mise à disposition de modèles et inférence

03

Sécurité du cloud et CSPM

04

Observabilité, évaluations et garde-fous

05

Gouvernance, risque et conformité

Prêt à sécuriser votre plateforme d'agents IA ? Premier échange de cadrage, d'une trentaine de minutes en général, sans engagement.
contact@jeremycanale.com
Études de cas

Une sélection de missions à la pointe de la sécurité des agents IA

Synthèses anonymisées de missions récentes en cyber-assurance, sécurité multi-cloud et gouvernance de groupe. Les détails varient selon le secteur et restent volontairement généraux, par respect de la confidentialité des clients.

Cyber-assurance

Plateforme de souscription cyber pilotée par l'IA

Enjeu

Les assureurs et les réassureurs avaient besoin de données de cyber-risque en temps réel, fondées sur la preuve, pour remplacer les questionnaires statiques et accélérer la tarification.

Démarche

Conception et livraison d'une application de bureau multi-OS adossée à un moteur de notation par IA, avec une distribution MCP native vers les principaux clients d'assistants, le tout reposant sur un corpus d'incidents de référence.

Résultat

Une plateforme de niveau production, reconnue sur le marché de la cyber-assurance.

Groupe d'assurance mondial

Déploiement mondial du CSPM

Enjeu

Un assureur multinational présent dans des dizaines d'entités affichait une posture de sécurité cloud hétérogène, sans vision unifiée.

Démarche

Pilotage technique du déploiement mondial. Ateliers transversaux entre entités, alignement des standards de sécurité du groupe sur les contraintes réglementaires locales, puis traduction en contrôles concrets.

Résultat

Un signal CSPM unique à l'échelle du groupe entier, avec un alignement réglementaire par juridiction.

Gestion d'actifs, banque de premier plan

Maturité cyber après acquisition

Enjeu

Une entité récemment acquise devait formaliser un programme cyber aligné sur le référentiel du groupe acquéreur, avec des preuves de progression à la fois mesurables et défendables.

Démarche

Mise sur pied, en partant de zéro, d'un programme de cybersécurité fondé sur le NIST. Contrôles, politiques et procédures, cartographie des risques, comptes rendus structurés aux parties prenantes du groupe.

Résultat

Une progression de maturité validée au sein du référentiel du groupe acquéreur.

Holding diversifié, Golfe

Certification ISO 27001 à l'échelle du groupe

Enjeu

Un holding multi-métiers ne disposait d'aucun système de management de la sécurité de l'information unifié, tout en évoluant sous des lois régionales de protection des données.

Démarche

Conceptions de haut niveau, évaluations des risques informatiques au niveau applicatif, cadre de politiques de groupe, déclaration d'applicabilité et mise en conformité avec les exigences réglementaires régionales.

Résultat

Préparation à l'ISO 27001 à l'échelle du groupe, avec une assurance structurée pour chaque département.

Fournisseur mondial d'informations financières

Garant de l'architecture de sécurité

Enjeu

Une entreprise mondiale exigeait une démarche de sécurité dès la conception, cohérente sur l'ensemble de ses initiatives numériques majeures.

Démarche

Rôle de garant de l'architecture de sécurité au sein de la gouvernance d'architecture d'entreprise, avec des architectures de référence réutilisables pour le cloud, les applications et les infrastructures.

Résultat

Une livraison sécurisée accélérée et une maturité des contrôles à la fois plus solide et plus homogène.

Asie du Sud-Est, titres adossés à des actifs

Mandat de RSSI à temps partagé

Enjeu

Une plateforme d'investissement émergente avait besoin d'une direction cyber expérimentée pour définir sa stratégie de sécurité de l'information et son SMSI dès le premier jour.

Démarche

Mandat de RSSI à temps partagé couvrant le modèle opérationnel cible, l'appétence au risque, le catalogue de contrôles et la feuille de route réglementaire, en coordination avec une maison mère bancaire mondiale.

Résultat

Une posture cyber défendable, prête à soutenir l'examen des investisseurs et des régulateurs.

Publications et reconnaissance

Une décennie de contribution au débat public

Recherche sur les vulnérabilités OWASP, un moteur de recherche pour les réseaux sociaux pionnier salué au plus haut niveau, et une couverture médiatique soutenue des travaux de souscription cyber pilotée par l'IA.

Manifeste

Les agents autonomes appellent un nouveau périmètre de sécurité.

La sécurité historique a été pensée pour des humains qui cliquent sur des boutons. Les agents, eux, en cliquent des milliers à la minute, font appel à des outils externes, déclenchent des sous-agents et enchaînent des décisions à travers les systèmes d'information. La zone d'impact n'est plus une session : c'est un flux de travail tout entier.

Mon travail consiste à réancrer le périmètre là où l'intention rencontre l'exécution : l'appel d'outil. Je conçois l'autorisation, l'observabilité et les garde-fous de politique qui rendent les agents autonomes auditables, réversibles et dignes de confiance à l'échelle de l'entreprise.

« À l'ère des agents, la question n'est plus de savoir si l'IA peut exécuter une action. Elle est de savoir si elle le doit, et si nous pourrons l'établir a posteriori. »
Questions fréquentes

Les questions posées par les entreprises avant chaque mission

Réponses brèves aux questions les plus fréquemment soulevées par les conseils d'administration, les RSSI et les équipes plateformes IA au moment de cadrer leur première mission de sécurité des agents IA.

Qu'est-ce que la sécurité agentique et pourquoi est-elle décisive aujourd'hui ?

La sécurité agentique est la discipline qui consiste à sécuriser les agents IA autonomes ainsi que les infrastructures qu'ils sollicitent. À la différence d'un agent conversationnel, un agent IA raisonne, planifie, invoque des outils, génère des sous-agents et enchaîne des décisions à travers les systèmes d'information. Chaque appel d'outil est une action exécutable aux conséquences réelles : le périmètre de sécurité doit donc se déplacer de la session utilisateur vers l'invocation d'outil elle-même. Avec l'adoption rapide du Model Context Protocol, de LangGraph, de LangChain et de cadres tels qu'Azure AI Foundry, les entreprises mettent des agents en production plus vite que leurs équipes de sécurité ne parviennent à suivre. La sécurité agentique vient précisément combler cet écart.

En quoi se distingue-t-elle de la sécurité traditionnelle de l'IA ou des LLM ?

La sécurité des LLM dite traditionnelle se concentre sur l'invite et la sortie du modèle : contournements, injections d'instructions, hallucinations, fuites de données à l'inférence. La sécurité agentique étend ce périmètre à tout ce que l'agent peut accomplir une fois qu'il a élaboré un plan : autorisation des appels d'outils, isolation des sous-agents, observabilité des flux à plusieurs étapes, réversibilité des actions, et exercices en équipe rouge contre les abus de chaîne d'outils et l'exfiltration de données. La zone d'impact n'est plus une réponse isolée, mais un flux de travail tout entier.

Quels types de mission proposez-vous ?

Trois grands types de mission. Stratégie : un diagnostic présenté au conseil d'administration sur votre parc d'agents IA, assorti d'une architecture cible et d'une feuille de route à douze mois. Construction : une ingénierie en immersion auprès de vos équipes pour mettre en œuvre garde-fous, isolation des sous-agents, autorisation des appels d'outils et observabilité Langfuse jusqu'en production. Assurance : un audit indépendant de sécurité agentique, comprenant des exercices en équipe rouge et un dossier de cartographie réglementaire prêt à être présenté au conseil. Des mandats de RSSI à temps partagé sont également proposés aux plateformes émergentes.

Quels secteurs accompagnez-vous ?

Les secteurs régulés à forts enjeux : banque, assurance et réassurance, gestion d'actifs, fournisseurs d'informations financières, défense, santé et secteur public. Douze années de missions à travers l'Europe, le Golfe et l'Asie, avec une expérience de terrain pour Swiss Re, AXA, BNP Paribas, Standard Chartered, Thomson Reuters, Société Générale, Seddiqi Holding, NusaVest, Thales, Dassault Systèmes, Veolia, Baxter et Gemalto.

Sur quels référentiels et quelles réglementations vous appuyez-vous ?

La norme ISO/IEC 42001 pour les systèmes de management de l'IA, le référentiel NIST AI Risk Management Framework et le Règlement européen sur l'IA pour la gouvernance propre à l'IA. ISO/IEC 27001 et 27701, SOC 2 Type II, HIPAA, PCI DSS, DORA, NIS2, ainsi que les régimes régionaux tels que les PDPL Émirats arabes unis, PDPL Arabie saoudite et le RGPD pour la sécurité de l'information et la protection des données à caractère personnel. Mes missions traduisent systématiquement ces référentiels en contrôles déployables, plutôt qu'en empilement documentaire.

Où êtes-vous basé et comment travaillez-vous ?

Mon activité se répartit entre Singapour, Dubaï, Paris et Palo Alto, avec des missions en cours sur trois continents. La grande majorité du travail s'effectue à distance, les déplacements sur site étant cadrés au cas par cas selon la mission. Les projets s'étendent généralement de quelques semaines, pour une stratégie ou un audit, à plusieurs trimestres, pour des chantiers complets ou des mandats de RSSI à temps partagé.

Comment démarre-t-on une mission ?

Un court échange de cadrage, d'une trentaine de minutes en général, et sans engagement. Cet entretien permet de clarifier votre parc d'agents, votre exposition réglementaire et le résultat attendu. La plupart des missions s'engagent par un diagnostic structuré et une proposition écrite, remis sous dix jours ouvrés.

Discutons

Sécuriser votre plateforme d'agents IA commence par une conversation.

Conseils d'administration, RSSI, assureurs, équipes plateformes IA : si vous déployez des agents autonomes, des charges de travail multi-cloud, ou que vous bâtissez une capacité de souscription cyber, je peux vous accompagner.

contact@jeremycanale.com LinkedIn
  • Singapour
  • Dubaï
  • Paris
  • Palo Alto