Date de publication : 08 mars Localisation : Paris, Paris Type de contrat : CDI Salaire :
BNP Paribas est présent dans 75 pays avec plus de 185,000 collaborateurs dont 145,000 en Europe. Acteur de premier plan sur ses deux d'activités majeures: le financement des particuliers et le financement des entreprises et institutionnels.
Chez BNP Paribas, nous travaillons en continuellement pour nos clients en les accompagnants dans la réalisation de leurs projets partout dans le monde.
Une forte culture du risque associée à une gestion équilibrée, nous ont permis de devenir un groupe bancaire international majeur et de renforcer nos succès.
En nous rejoignant, vous ferez partie intégrante de cette dynamique qui embrasse les nationalités, les cultures et les expériences de personnes venues du monde entier et qui reflète notre engagement international.
Contexte et enjeux
Le département Information and Communications Technology Risk est intégré à la Fonction Risk de BNP Paribas. Il contribue à la seconde ligne de défense du groupe placé sous la responsabilité du Chief Cyber & Technology Risk Officer de la Banque. Le département a la responsabilité de l'identification des risques IT majeurs et d'accompagner les Métiers/Fonctions et leurs partenaires technologiques dans leur décision. Cela consiste en :
-l'évaluation, en liaison avec les équipes métiers et IT, des risques IT et de sécurité liés aux applications et aux infrastructures existantes et futures. La participation et le suivi des plans de mitigation associés ou d'acceptation du risque ;
-de manière horizontale, l'évaluation des risques IT transverses au groupe concernant un thème spécifique ou une technologie en particulier (le processus changement relatif aux firewall, les applications qui traitent plusieurs millions d'opérations par jour, le cloud, etc.),
-de manière verticale, l'évaluation des risques IT d'un produit, d'un service, d'une technologie ou d'une infrastructure. A titre d'illustration nous pouvons procéder à une analyse de risque de bout en bout de notre solution de télétravail ? infrastructure, applications, données, menaces,? - ou encore les connections du groupe à Internet.
-le développement d'un partenariat avec les Métiers/Fonctions et leur IT pour leur bonne compréhension de leur profil de risque IT et d'accompagner leurs décisions.
Vos missions
En tant que Governance Consultant vous serez responsable du développement et du déploiement d'un programme de gouvernance risque ICT à l'échelle du groupe. Le candidat devra justifier d'une expérience dans le développement et le déploiement de programmes dans des organisations de taille mondiale avec de fortes compétences liées aux technologies, risques, architecture. Une expérience dans le risque ICT (IT, cyber, fournisseur,?) et dans le domaine bancaire, sera nécessaire. Par ailleurs une expérience avec des outils de GRC et de gestion de risque serait un plus.
Vous devrez développer et communiquer des politiques de risques ICT afin de s'assurer de la bonne prise en compte de ces problématiques dans les différentes initiatives menées par le groupe. La banque est engagée dans un processus de transformation important, incluant l'externalisation de fonctions ou la refonte d'applications. Vous devrez piloter ces efforts d'un point de vue évaluation indépendante des risques de ces projets et présenter les rapports au board et comité exécutifs. Une grande aisance en présentation, écrite et orale est nécessaire. Une expérience dans la gestion des relations avec des régulateurs est également nécessaire.
Vous serez également en charge de :
?Créer un programme de gestion des risques IT et cyber pour la banque en prenant en compte le modèle des 3 lignes de défense afin d'être aligné avec le framework de gestion des risques du groupe ;
?Assurer le pilotage de l'implémentation et la communication des politiques et guidelines de gestion des risques opérationnels ;
?Créer et déployer un modèle de staffing pour le programme, recruter les ressources et exploiter des ressources issues des autres entités selon les besoins ;
?Fournir des éléments de décision et une vision concernant la gestion des risques cyber et technologiques des applications c?ur de métier.
?Etablir et superviser l'infrastructure de gestion des risques et s'assurer du respect des exigences tant métier que réglementaires.
?Fournir du conseil en gestion des risques IT et cyber aux métiers et équipes de production.
?Etablir un cadre de gouvernance de la gestion des risques, définir le planning et participer aux instances selon les besoins ;
?Etablir la supervision de la gestion des risques globaux des projets de transformation IT et Operations ;
Risk Management
?Identification et évaluation : Assurer de la bonne identification et évaluation des risques opérationnels au sein de l'organisation en exploitant différentes sources (audit findings, analyses des incidents internes et externes, résultats d'auto-évaluations, KPI & KRI, scénarios de risques, analyses comparatives,?
?Monitoring et reporting : Implémenter un processus pour monitorer les profils de risques opérationnels, l'exposition aux pertes et fournir les reporting appropriés au board, senior management et lignes métier. Proposer une amélioration continue de la collecte des données et du reporting du risque opérationnel pour améliorer les politiques et procédures de gestion des risques.
?Contrôles et mitigation : améliorer l'efficacité des programmes de contrôle interne via la revue des contrôles, des procédures d'évaluation des risques, ? Evaluer les stratégies de réponse aux risques opérationnels, valider les options de transfert de risque.
Vous êtes diplômé(e) d'un Bac+5 et justifiez d'une expérience de 7 années minimum dans les évaluations de sécurité et de technologies et disposez d'une expertise reconnue en matière de cyber-sécurité (threat intelligence, IAM, data protection, résilience).
Vous êtes reconnu(e) pour vos capacités à intégrer des technologies de sécurité ou de protection de données variées au sein d'une architecture cohérente propre à couvrir de façon efficace les risques de l'entreprise.
Vous maîtrisez les fondamentaux applicables à l'environnement Cyber, aux cyber risques et aux cyber menaces
Pour réussir sur le poste vous disposez d'une :
?Bonne compréhension technique des technologies de sécurité, incluant de façon non exhaustive, intrusion détection / prévention, corrélation d'évènements, firewall, antivirus, anti-spam, renforcement des politiques, patch management et gestion des configurations, audit, technique de développement applicatif sécurisé, etc.
?Bonne compréhension des protocoles de gestion des risques et du concept des « 3 lignes de défense »
?Bonne maîtrise des concepts liés aux infrastructures réseaux et à la sécurité de l'information, incluant les menaces émergentes et les méthodologies d'attaque, en particulier:
Sécurité réseau, Configuration des équipements réseau, Protocoles réseau, Standards réseau, Supervision, « Conceptual Skills », « Decision Making », « Informing Others », expertises fonctionnelle et technique, fiabilité, Politique de sécurité de l'information
?Compréhension approfondie des standards d'authentification et d'habilitation tels qu'OAuth, OpenID et SAML.
?Connaissance des standards cryptographiques en matière de chiffrement, de signature électronique, d'infrastructure de gestion de clé (PKI)
?Compréhension approfondie des dispositifs de sécurité natifs de plates-formes ou d'applications communes telles que (liste non exhaustive): UNIX, Linux, Windows, Androïd, iOs, Oracle, MS SQL, Microsoft Outlook, J2EE et applications .NET
?Connaissance des problématiques de sécurité et des contrôles associés liés aux services d'hébergement ou de cloud computing. La connaissance du service AWS d'Amazon est privilégiée.
?Bonne maîtrise des fondamentaux applicables à l'environnement Cyber, aux cyber risques et aux cyber menaces ;
?Bonne compréhension des protocoles de gestion des risques et du concept des « 3 lignes de défense »
?Connaissance des framework de contrôle et des prérogatives de la Conformité
Une connaissance des produits suivants serait un plus:
o Archer Technologies SmartSuite Framework
o Tufin Operations Management
Qualification professionnelle reconnue dans le domaine de la sécurité de l'information telle que CISSP, CISM, CRISK, CEH ou Security+
Vous disposez d'une bonne capacité à produire et présenter des livrables formels tels que présentations, rapports ou procédures.
Vous avez une bonne maîtrise de MS Office.
Une expérience concrète et une connaissance des applications intégrées à des architectures d'entreprise orientées « services », supportant l'approche multi-canal et les interfaces de type Web, Mobile, Tablette ; etc?sera fortement appréciée.
Enfin, vous faites preuve de capacité d'analyse et de synthèse. De plus, votre capacité d'initiative ainsi que votre capacité à communiquer et à vous adapter vous permettront de réussir sur le poste.