Responsable sécurité informatique F/H

Identification des risques et définition de la stratégie

• Réaliser des audits d’applications, CMS ou autres sites existants et plus largement s’assurer du bon fonctionnement de tout le système de sécurité afin de détecter les potentielles failles et les résoudre. 
• Établir tous les scénarios d’alerte, qui permettent le déclenchement de protocoles, grâce à une analyse pointue des risques et des marges d’améliorations et résoudre les événements de sécurité qu’ils soient internes ou externes.
• Définir la politique de sécurité des systèmes d’information pour atteindre des objectifs à court terme ou à long terme (5 ans). 
• Construire le plan de prévention des risques et fixer les mesures et les normes de sécurité de manière proactive ou de manière à respecter aussi les réglementations en vigueur suivant les risques auxquels l’entreprise est confrontée spécifiquement.
• Vérifier la conformité dans le renouvellement des normes (telle que la norme 27001, LDS ou ISA3402) afin de répondre à des critères juridiques et de s’assurer de bons comportements.
• Définir les dispositifs les plus appropriés aux besoins de l’entreprise (antivirus, firewall, authentification…) pour répondre de manière efficace aux risques repérés.
• Rapporter auprès des comités de direction les bilans d’activités c’est-à-dire justifier les stratégies choisies et faire un compte-rendu des résultats des actions mises en place et des projets en cours. 

Mise en œuvre et suivi du dispositif de sécurité

• Mettre en place opérationnellement la stratégie définie par la création des méthodes et outils de sécurité adaptés et accompagner leur implémentation auprès des différents utilisateurs.
• Proposer des solutions et résoudre les incidents sécurité afin de rétablir rapidement les différents services. 
• Analyser les causes des incidents et consolider les mesures de sécurité attaquées. 
• Gérer les projets d’implémentation et de création d’infrastructures de nature sécuritaire. Avoir une vision globale et réorganiser au besoin l’architecture des différentes infrastructures.
• Assurer une posture de conseil vis-à-vis des projets des autres équipes afin d’évaluer et limiter les risques.
• Rédiger un cahier des risques répertoriant tous les risques identifiés et les solutions associées trouvées. Maintenir à jour ce cahier en fonction des améliorations apportées au système mais aussi de l’apparition de nouveaux risques.
• Élaborer et tenir à jour les tableaux de bord et les KPIs tels que la couverture antivirus du site, le patching ou le taux de sensibilisation. Assurer un suivi des différents incidents rencontrés et des solutions trouvées systématiquement.

Sensibilisation auprès des équipes

• Communiquer auprès des équipes métiers les potentielles escroqueries ou menaces dont ils peuvent faire l’objet comme l’utilisation de mails frauduleux de mieux en mieux confectionnés.
• Transmettre les différentes informations auprès des populations IT (développeurs…) dans un langage technique et réaliser des campagnes de formations (ou inscrire les collaborateurs à des formations) auprès des équipes métiers de manière plus abordable. Travailler avec l’équipe en charge de la communication interne pour améliorer son impact.
• Réaliser un suivi du taux de sensibilisation des différents sujets de tous les salariés de l’entreprise à travers l’envoi de questionnaires pour vérifier les connaissances ou connaître l’avancement dans des formations e-learning.
• Prévenir via des actions de communication (validées par les responsables et la Direction) les salariés des dommages causés par une attaque ou lorsque les conditions de réalisation d’un risque repéré comme majeur sont réunies. 

Assurer une veille technologique, juridique et des risques

• Réaliser une veille technologique : connaître les outils les plus modernes qui pourront mieux protéger le service informatique ou permettre d’avoir moins de failles.
• S’informer des actualités juridiques : se tenir au courant, à l’aide du service associé, des nouvelles normes réglementaires afin de rester dans le cadre légal et garantir la conformité du système d’information et ainsi ne pas risquer d’amende. Par exemple, les règles RGPD ont pu se durcir ces dernières années concernant la protection des données notamment pour éviter leur vol contre rançon.
• Faire une veille des risques : surveiller l’évolution des techniques, des outils, l’apparition de nouveaux virus mais aussi les actualités et contextes géopolitiques pouvant justifier des cyberattaques.

Management des équipes

• Assurer toutes les fonctions d’un manager en définissant les objectifs, estimant les besoins en formation de chacun, gérant les prises de congés ou en dirigeant les entretiens annuels. 
• Organiser les équipes entre les différents projets et attribuer à chacun des tâches spécifiques tout en élaborant les plannings.
• Effectuer le suivi du budget dédié à la sécurité des services informatiques ainsi que l’avancée et la qualité des différents projets.
• Sélectionner, avec les autres responsables, les sous-traitants : réaliser une évaluation de l’entreprise et de son système de sécurité, participer à la rédaction des appels d’offres, analyser les réponses et faire passer les entretiens des candidats choisis en shortlist.

ACTIVITÉS ÉVENTUELLES

• Encadrer au sein de son équipe des analystes, des experts sécurité ainsi que des technicien.ne.s ou administrateur.trice.s réseaux.
• Animer des formations auprès des équipes métiers, à l’attention d’utilisateurs initiés ou non-initiés. 
• Participer à des séminaires/webinaires, lieux d’échanges de bonnes pratiques.

VARIABILITÉ DES ACTIVITÉS  

Le Responsable Sécurité informatique verra ses activités varier selon : 

Le secteur de la structure : 
Certains secteurs tels que la finance, la banque ou la défense place la sécurité de leur système informatique au centre de leurs stratégies. En conséquence, les enjeux sont bien plus forts et les moyens octroyés pour s’assurer de la bonne atteinte des objectifs plus élevés qu’à l’accoutumée. Les budgets et les équipes sont bien plus importants. On compte davantage d’experts dans leur domaine qui peuvent pour certains être davantage techniques lorsque d’autres seront plus fonctionnels. Le RSI travaille de manière bien plus transverse. Les attentes en termes de connaissances sur les architectures réseaux et S.I sont plus élevées. 

Plus précisément, selon le secteur, les normes juridiques sont plus ou moins poussées. Par exemple, dans le secteur bancaire le RSI interagit avec la Commission bancaire.

La taille de l’entreprise :
Dans les grands groupes avec des filiales à l’international, le RSI possède un rôle de centralisation et d’application des normes décidées par le groupe concernant la sécurité. Le choix des dashboards et autres systèmes de suivi sont plus limités. Il doit surtout se conformer aux directives, tout en pouvant être force de proposition et faire des recommandations ainsi que des remontées terrains, et faire des analyses sur les critères de sélection et de compréhension du top management. L’encadrement est élargi auprès d’homologues d’autres pays. Les problématiques de communication et de formation touchent les salariés de son site mais aussi ceux. du reste du groupe.

Les grandes entreprises se dotent d’un RSI qui a en charge la gestion totale de toute la sécurité de tous les réseaux informatiques avec des budgets et des équipes plus ou moins grandes avec davantage de prestataires.

Les PME n’ont pas forcément le besoin d’internaliser cette ressource. En effet, composées d’un réseau moins complexe et moins exposé aux risques, elles font en majorité le choix de recourir à des agences/cabinets/freelances qui viennent réaliser des audits de façon régulière en donnant des recommandations sur des logiciels, solutions informatiques ou en les orientant vers des formations sur les types d’attaques basiques et en agissant sur les actions simples telles que le renouvellement d’antivirus ou la mise en place de pare-feu. 

Le type d’entreprises :
Certains RSI évoluent dans des ESN (Entreprises des Services Numériques) leur donnant une double casquette. D’une part, il réalise les différentes missions évoquées pour leur propre entreprise. D’autre part, il assure ce travail pour leur client en vérifiant les solutions vendues ainsi que leur intégration dans les systèmes informatiques. Ce travail ne s’arrête pas une fois la vente réalisée, le RSI réalise régulièrement des audits pour vérifier que la solution est toujours protégée mais aussi former les personnes l’utilisant car un des principaux risques informatiques reste un piratage via une mauvaise utilisation de l’utilisateur.

RATTACHEMENT HIÉRARCHIQUE

• Directeur de la Sécurité Informatique F/H
• Directeur des Systèmes d’Information F/H
• Chief Technical Officer F/H
• Directeur de la production/exploitation de l’informatique F/H
• Directeur des risques F/H

CONTEXTE ET FACTEURS D’ÉVOLUTION DU MÉTIER

Les enjeux liés à la sécurité informatique se sont accrus ces dernières années. En effet, la grande majorité des entreprises travaillent aujourd’hui avec le Web, le travail collaboratif via des applications web. De même, la plupart des contrats sont aujourd’hui signés via des échanges de mails sans que les deux personnes contractantes ne se soient jamais rencontrées en personne. Il est aussi à noter le nombre important de rendez-vous et réunions plus ou moins confidentiels qui peuvent être intégrées par des personnes malveillantes sans qu’elles ne soient remarquées.

Ainsi, le rôle du la responsable sécurité informatique est central pour toute entreprise d’un nombre significatif de salariés et dont l’architecture réseau et informatique s’est complexifiée rapidement. 

La législation, notamment concernant tout ce qui touche à la RGPD, est plus complexe et demande la mise en place de certains processus assurant la sécurité des données qui vont au-delà du besoin de l’entreprise. De même, le contexte très changeant et évolutif du digital oblige les RSI à une veille constante sur les thématiques juridiques mais aussi technologiques car l’apparition de nouveaux types de risques s’accompagne de meilleurs outils permettant d’élaborer des escroqueries ou des attaques de moins en moins repérables facilement. De plus, le contexte géopolitique fragilisé met en alerte les entreprises qui pourraient être les premières cibles de cyberattaques, potentielle nouvelle arme.

Donc, le besoin des entreprises en sécurité et plus précisément en RSI tend à s’accroître. Ce rôle pourra évoluer sur un périmètre de potentiels risques plus large et devra accentuer son travail de sensibilisation auprès de tous les salariés et interlocuteurs.

Diplômes requis

• Formation de niveau bac +2/3 : 
  • BTS informatique et réseaux pour l'industrie et les services techniques
  • BTS informatique de gestion, option administration de réseaux locaux d'entreprise
  • DUT/BUT informatique
• Formation de niveau bac+5 :
  • Master, spécialisé en sécurité informatique, sécurité des systèmes informatiques et des réseaux, sécurité, codage de l’information, informatique appliquée
  • Diplôme d’école d’ingénieur (informatique, télécoms, généralistes…)

Durée d’expérience

Une expérience entre 6 ans minimum est généralement souhaitée.

Compétences techniques

• Connaissances du système d’information global, de l’architecture du SI et des interfaces de programmation d’applications. 
• Excellentes connaissances de l’environnement de la sécurité informatique et maîtrise des outils et des technologies qui s’y rapportent : firewall, antivirus, serveurs d’authentification, tests d’intrusion…
• Bonnes connaissances des principaux prestataires du marché de la sécurité informatique (éditeurs, sociétés de service…) 
• Connaissances des outils d’évaluation et de maîtrise des risques et notions des risques majeurs potentiels. 
• Bonnes connaissances juridiques en matière de sécurité et de droit informatique, mais aussi en termes de normes (ISO par exemple) 
• Maîtrise du fonctionnement de l’entreprise, de son organisation, des différentes équipes et leurs interactions afin de pouvoir mieux interpréter les besoins réseaux et les risques liés à ces connexions.
• Maîtrise de l’anglais

Aptitudes professionnelles

• Confidentialité 
• Rigueur et organisation 
• Esprit d’analyse 
• Anticipation, et capacité d’adaptation 
• Pédagogie 
• Diplomatie
• Sens de l’écoute et de communication 
• Sens de la négociation 
• Capacité à gérer les situations de crise
• Intérêt pour les nouvelles technologies et les problématiques techniques.
• Force de proposition et de conviction
• Vision stratégique 
• Capacités rédactionnelles 
• Capacité à animer des équipes transverses 

Rémunération annuelle brute (fixe + variable) proposée dans les offres d'emploi : 80 %  sont comprises entre 40 k€ et 80 k€  (moyenne 58 k€)