Jeremy Canale Je conçois ▍
Douze années passées à sécuriser les industries les plus régulées au monde : la banque, l'assurance, la défense. Aujourd'hui, je bâtis le périmètre de sécurité des agents IA autonomes, des infrastructures MCP et des plateformes cloud qui les hébergent.
- Swiss Re
- AXA
- BNP Paribas
- Standard Chartered
- Thomson Reuters
- Société Générale
- Seddiqi Holding
- NusaVest
- Thales
- Dassault Systèmes
- Veolia
- Baxter
- Gemalto
Certifié sur l'ensemble de la chaîne agentique
Du parcours Build with Claude API d'Anthropic au NVIDIA Generative AI LLMs, en passant par les certifications ISACA CISM et CRISC, et l'intégralité des parcours Microsoft Cybersecurity Architect et AWS Security.
IA
Certified Associate · Generative AI LLMs
Build with Claude API
Sécurité
Prisma Certified Cloud Security Engineer
Cybersecurity Architect Expert
EAB47D8F4EDC1058
Security Operations Analyst Associate
8B08474D2BE410E8
Security, Compliance & Identity Fundamentals
BD23427E7A5DF944
Azure Security Engineer Associate
H344-1450
CISM, Certified Information Security Manager
CRISC, Risk & Information Systems Control
AWS Certified Security, Specialty
6S5MRC92DFR11RCW
Managing Security in Google Cloud Platform
Cloud
DevOps Engineer Expert
D7EF2C23EF149EA4
Azure Developer Associate
A6B7126C06F9C786
Azure Fundamentals
B7635962A1631A02
AWS Certified SysOps Administrator, Associate
FZN3QCE2J21E1N5F
AWS Certified Cloud Practitioner
WH8FRT11JNBQQXCM
AWS Certified Developer, Associate
4NBMCXH12EVEQB36
AWS Certified Solutions Architect, Associate
AWS-ASA-14402 · 3Z8KF6HK22VQQ83R
Google Cloud Platform Fundamentals · Core Infrastructure
Général
Professional Scrum Master I
Cisco Certified Network Associate (CCNA)
Là où j'interviens, à la pointe
De la sécurisation des agents IA autonomes à la tarification du cyber-risque pour les grands assureurs, mes missions se situent à la croisée des industries régulées et de l'intelligence artificielle émergente.
Sécurité des agents IA
Sécurisation de bout en bout des agents LLM autonomes : serveurs MCP, autorisation des appels d'outils, défense contre l'injection d'instructions, isolation des sous-agents et garde-fous à l'exécution.
Spécialité phareGouvernance et confiance de l'IA
Mise en œuvre opérationnelle de la norme ISO/IEC 42001, du référentiel NIST AI RMF et du Règlement européen sur l'IA. Intégration du cadre AI Fluency d'Anthropic dans la cartographie des risques de l'entreprise.
Sécurité du cloud et CSPM
Architectures de sécurité multi-cloud pour AWS, Azure et GCP. Déploiement mondial de Prisma Cloud chez AXA. Parc Cloudflare chez Thomson Reuters. Architectures de référence durcies, infrastructure-as-code et pratiques SRE.
Quantification du cyber-risque
Fondateur et président de Rankiteo, la première plateforme de bureau de souscription cyber pilotée par l'IA. Tarification, mesure de l'exposition et analyses de portefeuille pour les assureurs et les réassureurs.
Gouvernance, risque et conformité
Certifications ISO/IEC 27001 au niveau du groupe, SOC 2, HIPAA, DORA, NIS2, PDPL Émirats arabes unis et Arabie saoudite. Conception du programme GRC de Seddiqi Holding et de la feuille de route de maturité de BNP Paribas.
Renseignement sur les menaces et offensive
Travaux de recherche OWASP publiés dans le magazine Hakin9. Tests d'intrusion, prédiction des exploits, renseignement sur la surface d'attaque et chronique des incidents cyber de Rankiteo (plus de 100 000 incidents).
Un seul architecte. Tous les référentiels qui comptent.
De la norme ISO/IEC 27001 au Règlement européen sur l'IA, mes missions font le pont entre l'ingénierie et la régulation. Je traduis les référentiels en contrôles déployables, et j'en apporte la preuve par une assurance mesurable.
- Maturité cyber portée de 0 à 30 % en moins de douze mois pour BNP Paribas Asset Management.
- Déploiement mondial de Prisma CSPM sur l'ensemble des entités d'AXA.
- Programme ISO 27001 à l'échelle du groupe Seddiqi Holding, aligné sur les PDPL Émirats arabes unis et Arabie saoudite.
- Garant de l'architecture de sécurité chez Swiss Re et Thomson Reuters.
Douze années à la tête de la sécurité d'entreprises régulées
Des fonctions opérationnelles, de vice-président chez Swiss Re à responsable adjoint de la sécurité des systèmes d'information chez BNP Paribas Asset Management, et aujourd'hui président d'une société de souscription cyber pilotée par l'IA.
-
2026 → aujourd'hui
Fractional CISO · NusaVest
Stratégie cyber et système de management de la sécurité de l'information pour une plateforme sud-est-asiatique de titres adossés à des actifs (SC Ventures · Standard Chartered).
-
2022 → aujourd'hui
Founder & CEO · Rankiteo
Conception de la première plateforme de bureau multi-OS de souscription cyber pilotée par l'IA. Notations cyber, gestion du risque tiers et modélisation de l'exposition, distribuée nativement en MCP vers Cursor, Claude Desktop, ChatGPT et n8n.
-
2025 → 2026
AI GRC Lead · Seddiqi Holding
Programme de certification ISO/IEC 27001 à l'échelle du holding tout entier. Cartographie des risques, déclaration d'applicabilité et mise en conformité avec les PDPL Émirats arabes unis et Arabie saoudite, département par département.
-
2023 → 2025
Deputy CISO · GAMBIT / BNP Paribas Asset Management
Mise sur pied, en partant de zéro, d'un programme de cybersécurité fondé sur le NIST. À la suite de l'acquisition par BNP Paribas, conduite de la transformation de la maturité, de 0 à 30 %, au sein du référentiel du groupe.
-
2023 → 2024
Head of Cloud Security GRC & CSPM · AXA
Responsable technique du déploiement mondial de Palo Alto Prisma CSPM sur l'ensemble des entités d'AXA. Alignement des standards du groupe avec les contraintes réglementaires locales.
-
2022 → 2023
Cloud & Product Security Lead · Thomson Reuters
Garant de l'architecture de sécurité au sein de la gouvernance d'architecture d'entreprise. Déploiement mondial de Cloudflare. Conseil en souscription cyber, à la croisée de l'ingénierie et de l'assurance.
-
2020 → 2022
Vice-President · Cloud Security & GRC · Swiss Re
Sécurité dès la conception à l'échelle de l'entreprise. Revue d'architecture pour chaque programme majeur. Architectures de référence réutilisables pour le cloud, les applications et les infrastructures.
-
2018 → 2019
AI CyberSecurity Architect · Société Générale
Définition et application du référentiel de sécurité cloud de la banque. Gouvernance cloud fondée sur les risques et sécurité dès la conception pour chaque initiative cloud.
-
2015 → 2018
Architecte de solutions de sécurité · plusieurs entreprises du Fortune 500
Migrations cloud sous PCI-DSS, HIPAA et autres environnements régulés. Infrastructure-as-code, architectures de référence durcies, automatisation de la gestion des vulnérabilités et authentification unique cloud native.
Un conseil opérationnel pour les entreprises nativement IA
Conseil et mise en œuvre de bout en bout sur l'ensemble de la chaîne de sécurité des agents IA, de la stratégie présentée au conseil d'administration aux plans d'architecture, jusqu'aux garde-fous en production sur Azure AI Foundry, LangGraph, NeMo, SageMaker et Prisma Cloud.
Stratégie de sécurité des agents IA
Diagnostic présenté au conseil d'administration sur votre parc d'agents IA. Architecture cible, posture réglementaire et feuille de route à douze mois pour y parvenir.
- Modélisation des menaces pour chaque agent et chaque appel d'outil
- Mise en correspondance avec NIST AI RMF, ISO 42001 et le Règlement européen sur l'IA
- Modèle de risque et de coût prêt à présenter au RSSI
Construction et durcissement
Ingénierie en immersion sur votre socle technique. Garde-fous, isolation des sous-agents, autorisation des appels d'outils et observabilité Langfuse, livrés jusqu'en production.
- Architecture de référence sur Azure AI Foundry ou AWS Bedrock
- Flux LangGraph et LangChain dotés de garde-fous
- Intégration Prisma Cloud et Cloudflare
Audit et assurance
Audit indépendant de sécurité agentique. Exercices en équipe rouge ciblant l'injection d'instructions, l'abus de chaîne d'outils et l'exfiltration de données. Dossier de preuves prêt à être présenté au conseil d'administration.
- Équipes rouges sur les couches invite, outils et données
- Mise en correspondance SOC 2 / ISO 27001 / DORA / NIS2
- Tableaux de bord Langfuse d'assurance continue
Plateformes d'agents IA et orchestration
Mise à disposition de modèles et inférence
Sécurité du cloud et CSPM
Observabilité, évaluations et garde-fous
Gouvernance, risque et conformité
Une sélection de missions à la pointe de la sécurité des agents IA
Synthèses anonymisées de missions récentes en cyber-assurance, sécurité multi-cloud et gouvernance de groupe. Les détails varient selon le secteur et restent volontairement généraux, par respect de la confidentialité des clients.
Plateforme de souscription cyber pilotée par l'IA
Les assureurs et les réassureurs avaient besoin de données de cyber-risque en temps réel, fondées sur la preuve, pour remplacer les questionnaires statiques et accélérer la tarification.
Conception et livraison d'une application de bureau multi-OS adossée à un moteur de notation par IA, avec une distribution MCP native vers les principaux clients d'assistants, le tout reposant sur un corpus d'incidents de référence.
Une plateforme de niveau production, reconnue sur le marché de la cyber-assurance.
Déploiement mondial du CSPM
Un assureur multinational présent dans des dizaines d'entités affichait une posture de sécurité cloud hétérogène, sans vision unifiée.
Pilotage technique du déploiement mondial. Ateliers transversaux entre entités, alignement des standards de sécurité du groupe sur les contraintes réglementaires locales, puis traduction en contrôles concrets.
Un signal CSPM unique à l'échelle du groupe entier, avec un alignement réglementaire par juridiction.
Maturité cyber après acquisition
Une entité récemment acquise devait formaliser un programme cyber aligné sur le référentiel du groupe acquéreur, avec des preuves de progression à la fois mesurables et défendables.
Mise sur pied, en partant de zéro, d'un programme de cybersécurité fondé sur le NIST. Contrôles, politiques et procédures, cartographie des risques, comptes rendus structurés aux parties prenantes du groupe.
Une progression de maturité validée au sein du référentiel du groupe acquéreur.
Certification ISO 27001 à l'échelle du groupe
Un holding multi-métiers ne disposait d'aucun système de management de la sécurité de l'information unifié, tout en évoluant sous des lois régionales de protection des données.
Conceptions de haut niveau, évaluations des risques informatiques au niveau applicatif, cadre de politiques de groupe, déclaration d'applicabilité et mise en conformité avec les exigences réglementaires régionales.
Préparation à l'ISO 27001 à l'échelle du groupe, avec une assurance structurée pour chaque département.
Garant de l'architecture de sécurité
Une entreprise mondiale exigeait une démarche de sécurité dès la conception, cohérente sur l'ensemble de ses initiatives numériques majeures.
Rôle de garant de l'architecture de sécurité au sein de la gouvernance d'architecture d'entreprise, avec des architectures de référence réutilisables pour le cloud, les applications et les infrastructures.
Une livraison sécurisée accélérée et une maturité des contrôles à la fois plus solide et plus homogène.
Mandat de RSSI à temps partagé
Une plateforme d'investissement émergente avait besoin d'une direction cyber expérimentée pour définir sa stratégie de sécurité de l'information et son SMSI dès le premier jour.
Mandat de RSSI à temps partagé couvrant le modèle opérationnel cible, l'appétence au risque, le catalogue de contrôles et la feuille de route réglementaire, en coordination avec une maison mère bancaire mondiale.
Une posture cyber défendable, prête à soutenir l'examen des investisseurs et des régulateurs.
Une décennie de contribution au débat public
Recherche sur les vulnérabilités OWASP, un moteur de recherche pour les réseaux sociaux pionnier salué au plus haut niveau, et une couverture médiatique soutenue des travaux de souscription cyber pilotée par l'IA.
-
2013Magazine, recherche OWASP
Hakin9, magazine international de sécurité informatique
Travaux de recherche approfondis sur des vulnérabilités issues du référentiel OWASP affectant des plateformes majeures, publiés dans un magazine international reconnu en sécurité informatique.
-
2012Produit, distinction
AnoSearch, moteur de recherche pour les réseaux sociaux
Création d'un moteur de recherche pour les réseaux sociaux, pionnier en son temps, extrayant un signal pertinent de plus d'une vingtaine de réseaux. Distingué meilleur projet informatique français de l'année et présenté à des dirigeants de premier plan ainsi qu'au ministre français de la Défense.
-
2024Presse professionnelle
Couverture internationale de Rankiteo dans la presse de la réassurance
Prises de parole reprises sur la souscription cyber pilotée par l'IA et l'assurance cyber fondée sur les données, dans les principaux médias internationaux de la réassurance.
-
2025Open source, MCP
Documentation MCP publique pour l'outillage de notation cyber
Documentation et intégrations ouvertes d'un serveur MCP natif de notation cyber, déployable dans les principaux clients d'assistants et plateformes d'automatisation.
-
2025Mise en avant en place de marché
Serveur MCP de notation cyber mis en avant sur Smithery.ai
Référencé comme serveur MCP de référence pour les flux de notation cyber dans l'un des principaux annuaires de découverte MCP.
Les agents autonomes appellent un nouveau périmètre de sécurité.
La sécurité historique a été pensée pour des humains qui cliquent sur des boutons. Les agents, eux, en cliquent des milliers à la minute, font appel à des outils externes, déclenchent des sous-agents et enchaînent des décisions à travers les systèmes d'information. La zone d'impact n'est plus une session : c'est un flux de travail tout entier.
Mon travail consiste à réancrer le périmètre là où l'intention rencontre l'exécution : l'appel d'outil. Je conçois l'autorisation, l'observabilité et les garde-fous de politique qui rendent les agents autonomes auditables, réversibles et dignes de confiance à l'échelle de l'entreprise.
« À l'ère des agents, la question n'est plus de savoir si l'IA peut exécuter une action. Elle est de savoir si elle le doit, et si nous pourrons l'établir a posteriori. »
Les questions posées par les entreprises avant chaque mission
Réponses brèves aux questions les plus fréquemment soulevées par les conseils d'administration, les RSSI et les équipes plateformes IA au moment de cadrer leur première mission de sécurité des agents IA.
Qu'est-ce que la sécurité agentique et pourquoi est-elle décisive aujourd'hui ?
La sécurité agentique est la discipline qui consiste à sécuriser les agents IA autonomes ainsi que les infrastructures qu'ils sollicitent. À la différence d'un agent conversationnel, un agent IA raisonne, planifie, invoque des outils, génère des sous-agents et enchaîne des décisions à travers les systèmes d'information. Chaque appel d'outil est une action exécutable aux conséquences réelles : le périmètre de sécurité doit donc se déplacer de la session utilisateur vers l'invocation d'outil elle-même. Avec l'adoption rapide du Model Context Protocol, de LangGraph, de LangChain et de cadres tels qu'Azure AI Foundry, les entreprises mettent des agents en production plus vite que leurs équipes de sécurité ne parviennent à suivre. La sécurité agentique vient précisément combler cet écart.
En quoi se distingue-t-elle de la sécurité traditionnelle de l'IA ou des LLM ?
La sécurité des LLM dite traditionnelle se concentre sur l'invite et la sortie du modèle : contournements, injections d'instructions, hallucinations, fuites de données à l'inférence. La sécurité agentique étend ce périmètre à tout ce que l'agent peut accomplir une fois qu'il a élaboré un plan : autorisation des appels d'outils, isolation des sous-agents, observabilité des flux à plusieurs étapes, réversibilité des actions, et exercices en équipe rouge contre les abus de chaîne d'outils et l'exfiltration de données. La zone d'impact n'est plus une réponse isolée, mais un flux de travail tout entier.
Quels types de mission proposez-vous ?
Trois grands types de mission. Stratégie : un diagnostic présenté au conseil d'administration sur votre parc d'agents IA, assorti d'une architecture cible et d'une feuille de route à douze mois. Construction : une ingénierie en immersion auprès de vos équipes pour mettre en œuvre garde-fous, isolation des sous-agents, autorisation des appels d'outils et observabilité Langfuse jusqu'en production. Assurance : un audit indépendant de sécurité agentique, comprenant des exercices en équipe rouge et un dossier de cartographie réglementaire prêt à être présenté au conseil. Des mandats de RSSI à temps partagé sont également proposés aux plateformes émergentes.
Quels secteurs accompagnez-vous ?
Les secteurs régulés à forts enjeux : banque, assurance et réassurance, gestion d'actifs, fournisseurs d'informations financières, défense, santé et secteur public. Douze années de missions à travers l'Europe, le Golfe et l'Asie, avec une expérience de terrain pour Swiss Re, AXA, BNP Paribas, Standard Chartered, Thomson Reuters, Société Générale, Seddiqi Holding, NusaVest, Thales, Dassault Systèmes, Veolia, Baxter et Gemalto.
Sur quels référentiels et quelles réglementations vous appuyez-vous ?
La norme ISO/IEC 42001 pour les systèmes de management de l'IA, le référentiel NIST AI Risk Management Framework et le Règlement européen sur l'IA pour la gouvernance propre à l'IA. ISO/IEC 27001 et 27701, SOC 2 Type II, HIPAA, PCI DSS, DORA, NIS2, ainsi que les régimes régionaux tels que les PDPL Émirats arabes unis, PDPL Arabie saoudite et le RGPD pour la sécurité de l'information et la protection des données à caractère personnel. Mes missions traduisent systématiquement ces référentiels en contrôles déployables, plutôt qu'en empilement documentaire.
Où êtes-vous basé et comment travaillez-vous ?
Mon activité se répartit entre Singapour, Dubaï, Paris et Palo Alto, avec des missions en cours sur trois continents. La grande majorité du travail s'effectue à distance, les déplacements sur site étant cadrés au cas par cas selon la mission. Les projets s'étendent généralement de quelques semaines, pour une stratégie ou un audit, à plusieurs trimestres, pour des chantiers complets ou des mandats de RSSI à temps partagé.
Comment démarre-t-on une mission ?
Un court échange de cadrage, d'une trentaine de minutes en général, et sans engagement. Cet entretien permet de clarifier votre parc d'agents, votre exposition réglementaire et le résultat attendu. La plupart des missions s'engagent par un diagnostic structuré et une proposition écrite, remis sous dix jours ouvrés.
Sécuriser votre plateforme d'agents IA commence par une conversation.
Conseils d'administration, RSSI, assureurs, équipes plateformes IA : si vous déployez des agents autonomes, des charges de travail multi-cloud, ou que vous bâtissez une capacité de souscription cyber, je peux vous accompagner.
- Singapour
- Dubaï
- Paris
- Palo Alto