Date de publication : 08 mars Localisation : Paris, Paris Type de contrat : CDI Salaire :
Contexte et enjeux
RISK ORC ICT (Information and Communication Technology) couvre les risques de disponibilité & continuité, de sécurité, des changements, d'intégrité des données et d'externalisation liés à l'usage des technologies d'informations et de communication dans les Métiers du Groupe.
Les missions principales du département sont :
- collaborer avec la communauté des CRO (Chief Risk Officier) afin de gérer l'exposition aux risques ICT au sein de leurs entités, dans le cadre du « risk appetite » défini par le Groupe,
- développer et maintenir une vision stratégique et consolidée des risques ICT au sein du Groupe,
- élever le niveau de connaissance des risques ICT au sein de la communauté, via la responsabilisation, l'engagement et une gouvernance adéquate,
- assurer une constante préparation aux évènements négatifs en testant d'une manière continue les moyens de détection et de réaction et en améliorant les mesures de remédiation,
- s'assurer, en partenariat avec les première et troisième lignes de défense, de l'efficacité du dispositif de gestion des risques IT,
- conseiller les Métiers sur l'approche risques à adopter dans le cadre la Transformation Digitale.
Pour mener à bien ses missions, le département s'appuie sur plusieurs équipes internes. Le poste est au sein de l'équipe « Relationship Management » et vise à fournir aux CRO et équipes ORC des Fonctions Groupe une assistance effective sur le déploiement du dispositif ORC ICT, l'identification des risques et la mise en place des mesures, ainsi qu'à créer et coordonner la filière ORC ICT au sein des Fonctions Groupe.
Pour la réussite dans ce poste, le candidat devra justifier d'une expérience significative dans le développement et l'implémentation de programmes liés à la gestion de risques informatiques et technologiques. Il devra en particulier :
- être en mesure de communiquer sur les politiques, guidelines et standards de gestion des risques ICT et de s'assurer de la bonne identification et la gestion des risques de cyber-sécurité et technologiques,
- fournir des conseils et une assistance continue aux responsables au sein des Métiers concernant les tendances et bonnes pratiques relatives à l'IT et la cyber-sécurité,
- s'appuyer sur des exercices indépendants d'évaluation des risques et de testing techniques afin de valider l'efficacité des mesures en place et d'identifier les zones à investiguer,
- avoir une bonne connaissance de l'écosystème autour des menaces de cyber-sécurité ainsi que les environnements liés aux contrôles d'accès et autres mesures IT.
Vos missions
En tant que relationship manager, vous :
- Fournirez une assistance et un conseil adéquats aux équipes ORC du cluster Fonctions Groupe, tout en se positionnant comme l'interlocuteur privilégié vis-à-vis du dispositif et équipes de RISK ORC ICT. Cet objectif devra être atteint en :
? assistant les équipes ORC dans :
-le déploiement du dispositif de Risk ORC ICT, en mettant l'accent sur les principales priorités et activités critiques du cluster,
- la définition, la planification et la réalisation des exercices d'évaluation des risques ICT,
- la définition, la planification et la réalisation de tests techniques indépendants,
- l'identification et la revue des risques ICT majeurs au sein des grands programmes et des technologies émergentes,
- l'amélioration de leurs moyens de surveillance et de détection,
-la gestion et l'analyse des incidents et des crises liés à ICT.
? contribuant à la définition et la priorisation des mesures et actions de mitigation,
? contribuant à l'élaboration des supports liés aux risques ICT dans le cadre des comités stratégiques des filières risques et IT, tels que l'ICC (Internal Control Committee) et le CSSI (Comité de Suivi des Systèmes d'Information).
- Assurez le rôle de 2ème ligne de défense, au niveau du cluster, concernant l'efficacité du dispositif RISK ORC ICT et les risques ICT majeurs identifiés, et en fournir une vision consolidée. Cela devra en particulier être réalisé en corrélant les informations provenant de plusieurs sources : constats et rapports d'audits, incidents, collectes et analyses des données internes et externes, exercices de risk self-assessment, cartographie des processus Métiers, KRI & KPI, analyses comparatives et quantitatives, analyses des scénarios de menaces, etc.
- Coordonnez, au niveau du cluster, les réponses aux régulateurs ainsi que les audits internes et externes en rapport avec les risques ICT et assurez la cohérence d'ensemble.
- Créez, puis animez la communauté RSIK ORC ICT au sein du cluster des Fonctions Groupe, en lien étroit avec la communauté des ORC, afin de gérer l'exposition du cluster aux risques ICT dans le respect du risque appétit défini par le Groupe et échanger et partager les bonnes pratiques autour des risques ICT entre les entités opérationnelles du cluster. Cette animation devra notamment être réalisée à travers des comités réguliers et des espaces de partage dédiés.
L
ivrables attendus :
- Plannings et plans d'actions liés au déploiement du dispositif RISK ORC ICT.
- Plannings et résultats revus des exercices d'évaluation des risques.
- Plannings et rapports revus des tests techniques indépendants.
- Analyses des incidents et revues post-incidents.
- Cartographie des risques majeurs ICT par entité et vue consolidée au niveau cluster.
- Plans d'actions de mitigation revus et analysés.
- Synthèses et reportings liés aux risques ORC ICT dans le cadre des comités stratégiques.
- Chartes des comités, supports et comptes rendus liés à l'animation de la communauté ORC ICT.
Apports du poste
Vous pourrez acquérir une expérience pertinente dans un environnement dynamique et challenging.
Le poste vous apportera un enrichissement des connaissances Métiers des entités des Fonctions Groupe et une visibilité vis-à-vis du Management.
Vous participerez à l'aventure de création d'une nouvelle filière et une nouvelle communauté.
Vous êtes diplômé(e) d'un Bac+5 en informatique/gestion des risques/cyber sécurité/risques IT et justifiez d'une expérience de 5 années minimum en informatique ou gestion des risques.
Votre niveau d'anglais est courant et vous permet de parler et d'animer des comités avec des anglophones et de rédiger des documents en anglais.
Vous avez des connaissances solides des nouvelles technologies de l'information, des architectures et des outils associés.
Vous disposez de solides compétences sur les risques ICT (Information & Communication Technologies) : normes & standards IT et cyber-sécurité, composantes de gestion des risques (identification, évaluation, traitement, mitigation et monitoring)
Vous maîtrisez les outils GRC (Governance, Risk management and Compliance).
Une certification dans le domaine de la cyber-sécurité et/ou les risques IT sera fortement appréciée (ex : CISSP, CISM, CRISC, etc.)
Enfin vous faites preuve de capacité d'analyse et de rigueur et savez gérer les risques dans votre activité. De plus, votre capacité à communiquer et à vous adapter sera un atout supplémentaire pour mener à bien les missions.