Consultant SI Sécurité confirmé (H/F)
-
Type de contrat : CDI
-
Temps de travail : Temps plein
-
Lieu Paris
L'entreprise
HESPERIE CONSEIL est un cabinet de conseil spécialisé en Finance des Marchés et Asset Management.
HESPERIE CONSEIL propose ses prestations haut de gamme aux institutions du monde de la finance, Banques de Financement et d’Investissement, Asset Managers et autres acteurs de «l’industrie financière».
Les expertises que nous proposons relèvent du
- Conseil en Organisation,
- Maitrise d’Ouvrage
- Maitrise d’œuvre spécialisée,
- Analyse Quantitative
- Risk Management
afin de répondre aux problématiques de nos clients, du front au back.s
Description du poste
Le “IT and Security Business Analyst” supporte le Responsable du support applicatif et workplace, sur un périmètre international de plusieurs entités, dans l’exécution locale du plan de remédiation sécurité afin de garantir un niveau de protection adapté des Métiers face aux menaces croissantes et aux évolutions des exigences règlementaires et Groupe applicables.
Il intervient notamment afin de :
• Fournir un soutien et une expertise en matière d'analyste des opérations informatiques aux parties prenantes internes.
• Soutenir l'équipe de projet pendant les étapes d'analyse, de planification et d'exécution du plan de remédiation.
• Assurer la liaison entre le département Business, Information Security et son département IT
• Faire des recommandations d’amélioration continue et contribuer à la maintenance des contrôles de sécurité informatique une fois mis en œuvre.
En étroite collaboration avec l’équipe projet du Programme Sécurité, le Responsable du support applicatif et workplace, le RSSI ainsi que les équipes IT locales et Groupe :
Analyse et mise en œuvre du programme de remédiation sécurité
1. Analyser les écarts :
a. Identifier et analyser les exigences réglementaires et Groupe dans le contexte
b. Évaluer la maturité des différentes entités par rapport à ces exigences et identifier les écarts.
c. Identifier les actions à mettre en œuvre pour combler les écarts.
2. Définir et exécuter les projets et actions de remédiation sous responsabilité IT :
a. Sur la base de l’analyse des écarts, définir le plan projet (étapes clés, planification, contributeurs, etc.).
b. Formaliser les spécifications fonctionnelles et / ou techniques.
c. Dérouler le plan de projet et les actions associées.
3. Fournir une expertise IT aux équipes Sécurité et aux Métiers pour la réalisation des projets et actions de remédiation sous leurs responsabilités :
a. Identification des exigences de sécurité applicables et apport d’expertise sécurité.
b. Revue des solutions techniques et fonctionnelles proposées pour vérifier que les objectifs de sécurité sont atteints et que la mise en œuvre est efficace.
c. Collecte et analyse régulière des traces d’audit associées.
4. Exemples de projets / actions à mettre en œuvre (liste non exhaustive) :
a. (Projets sous responsabilité Sécurité) Formalisation des politiques et procédures Sécurité ; Cartographie des risques ; Inventaire des données sensibles ; Revue sécurité des fournisseurs ; Pilotage des tests de vulnérabilités sur les systèmes critiques ; etc.
b. (Projets sous responsabilité IT) Gestion des correctifs de sécurité / Gestion des droits d'accès / Amélioration de la gestion des actifs digitaux ; Sécurité du développement des applications ; Sécurisation des configurations « hardening » infrastructures et réseaux, etc.
5. Reporting local et/ou Groupe et :
a. Contribuer à la définition et / ou à la mise à jour régulière des rapports / tableaux de bord.
b. Animer / assister à la gouvernance associée.
Maintien des contrôles IT sécurité :
1. Contribuer, avec le reste de l'équipe IT, à l'exécution périodique des contrôles/activités mis en œuvre dans le cadre du plan de remédiation afin de maintenir le niveau de sécurité.
2. Mettre en œuvre une démarche d’amélioration continue des processus et documentations associés à ces activités.
Résultats attendus :
Liste non exhaustive
• Qualité de l'analyse et des recommandations
• Le plan de remédiation sécurité est compris et expliqué aux différentes parties prenantes.
• Les actions / projets de remédiation sont mis en œuvre dans le planning et budget défini et les solutions mises en place permettent l’atteinte des objectifs de sécurité préalablement identifiés.
• Les points de non-conformité et de blocage sont identifiés et partagés au RSSI avec une proposition de plan d’actions.
• Les différentes parties prenantes sont clairement identifiées et une gouvernance est en place.
• Les reportings locaux et Groupes sont produits dans le planning imparti et avec un niveau d'information adapté
Transversal : démarche d’amélioration continue des processus et documentations mis en œuvre.
Compétences requises
Compétences et experience recherchées :
• Diplôme(e) d’une école d’ingénieurs informatique ou d’un équivalent universitaire, vous possédez une expérience d’au moins 5 ans dont 3 ans sur un poste similaire.
• Vous justifiez d’expérience dans le monde des projets informatiques et d’un solide socle technique IT.
• Vous disposez d’une appétence pour les sujets sécurité et de connaissances générales en sécurité IT.
• Une certification sécurité du marché est un plus (CISSP-ISSAP, CISM, ISO 27001 Lead Auditor, GIAC ou équivalente). La connaissance des normes ISO2700x est favorisée.
• Fortes qualités relationnelles et aptitudes à communiquer (à l’écrit et à l’oral) pour une audience variée (technique, métier, senior management)
• Dynamisme, proactivité et esprit d’initiative de développement des activités sécurité.
• Forte capacité de flexibilité et d’adaptation aux changements.
• Rigueur, organisation, respect des échéances et orientation résultats sont indispensables.
• Anglais bon niveau (interlocuteurs anglophones), Français courant.
Réf: 41393aec-b669-4235-8b5e-15df28c9368d
Le poste n'est plus à pourvoir.
