POSTES A POURVOIR Responsable de la Sécurité des Systèmes d'information (France) LA SOCIETE - Une union mutualiste de groupe organisée sur la base d'un GIE opérant dans la protection sociale complémentaire, la santé et la prévoyance, née en 2022 dans les suites de l'union de deux mutuelles. - Un chiffre d’affaires annuel de l’ordre des 120 millions d’euros en 2025 réalisé sur le marché des assurances santé et prévoyance des particuliers et des collectivités. - Une structure de plus de 250 collaborateurs engagés dans l’élaboration, la distribution et la gestion de solutions de protection sociale, associant une expertise métier à une digitalisation des parcours. - La coordination d'initiatives de mutualisation développées avec des mutuelles de proximité dans la perspective de répondre conjointement à des appels d’offres, de développer des solutions dédiées en particulier à destination de la fonction publique et de proposer une offre innovante en services de santé et de prévoyance. - Des activités de réassureur et de co‑assureur pour des produits spécifiques -garanties obsèques, santé fonction publique, etc.- et des collaborations avec des partenaires internationaux de réassurance. LE CONTEXTE - Une organisation spatiale multi-sites avec un siège social à Paris, une des deux mutuelles localisée à Strasbourg avec les fonctions supports et l'actuariat, la seconde à Vesoul, les équipes du GIE à Nancy et l'infrastructure à Nantes. - Un enjeu de définition de la politique de sécurité du SI en termes de prévention, de protection, de défense et de résilience/remédiation de la structure dans le contexte de l'endossement d'un rôle de conseil, d’assistance, d’information, de formation et d’alerte auprès des Directeurs métiers, du Directeur général et des partenaires. - La dissociation SI/Sécurité en deux postes distincts suite au prochain départ du DSI en titre sur une définition de fonction intégrant la sécurité des systèmes dans le contexte d'une volonté politique de rationaliser/perfectionner/amplifier la fonction sécurité. LA CULTURE - Une culture colorée par des valeurs fortes portées par les métiers de la santé et de la protection sociale avec cet enjeu de protéger les salariés et leur famille. - Un marquage toujours agissant du rapprochement entériné en 2022 entre deux mutuelles historiques aux cultures et aux périmètres d'intervention géographiques proches mais différents, l'Alsace et la Franche-Comté. - Une image d'entreprise positive fondée pour partie sur le fait d'incarner une structure à taille humaine portée par les valeurs du mouvement mutualiste telles que la solidarité, l'engagement, la proximité, l'entraide et la coopération. - Une dimension collective plus participative et moins hiérarchique que dans d'autres structures corporatives adossé à un l'existence d'un organigramme plutôt horizontal. - Un positionnement innovation, technologique et logiciel revendiqué. LA MISSION Le Responsable de la Sécurité des Systèmes d’Information développe ses activités dans quatre champs de responsabilité. - La définition de la politique de sécurité avec la réalisation des audits du système de sécurité, l'analyse des risques et des dysfonctionnements ainsi que des marges d’amélioration des systèmes de sécurité, la définition et la maturation de la politique de sécurité des systèmes d'information de la structure, l'établissement du plan de prévention des risques informatiques et du plan de continuité d’activité (PCA), la formulation, la définition et l'actualisation des mesures et des normes de sécurité (charte), en cohérence avec la nature de l’activité du GIE et son exposition aux risques informatiques -nomadisme, BYOD (Bring your own device), transferts de données, transactions, etc., la fixation des dispositifs techniques les plus appropriés -firewall, programmes de back up, cryptographie, authentification, etc.-, la participation à la définition et au contrôle de la gestion des habilitations ainsi qu'à un niveau différent, Comité des risques. - Le déploiement et le suivi des dispositifs de sécurité incluant avec la mise en place et l'application des méthodes et des outils de sécurité adaptés incluant l' accompagnement à leur implémentation, la gestion d des projets d’infrastructures sécuritaires, l'élaboration et le suivi des tableaux de bord des incidents sécurité, la supervision et l'audit des programmes de sauvegarde (back-up), la gestion des incidents sécurité -intrusion dans le système, contamination par un virus, défaillance d’un équipement, etc.-, la formulation de proposition de solutions visant à rétablir rapidement les services (PRA), l'analyse des causes des incidents et la consolidation des mesures de sécurité, la réalisation de tests régulièrement du bon fonctionnement des mesures de sécurité pour en détecter les faiblesses et l'audit du respect des normes de sécurité informatique imposées aux sous-traitants de la structure. - La responsabilité de la communication et la formation avec la formalisation et ’actualisation du référentiel de sécurité tout en assurant sa diffusion et en veillant à son application, la définition des formations à programmer, la supervision de la rédaction des supports de formation, la mise en place des actions de communication en concertation avec les responsables de la structure à destination des salariés en cas de risque majeur ou de dommages au SI causés par une attaque ou par des dégâts matériels. - Le pilotage de la veille technologique et réglementaire visant à garantir la sécurité logique et physique du système d’information, en particulier sur la protection des données personnelles afin de garantir la conformité du SI au droit individuel et collectif intégrant l'identification des nouveaux risques pouvant peser sur la sécurité du système d'information -apparition de nouveaux virus, lancement d'attaques informatiques sur le réseau mondial, etc.- et la rédaction des notes technologiques de sécurité. VOUS - Une formation supérieure de type école d'ingénieur ou de commerce sur un positionnement IT dès l'origine associée à une expérience de l'ordre de la dizaine d'années mettant en avant une solide expérience sécurité et maîtrise des risques et une confrontation affirmée avec une multiplicité d'environnements d'entreprise, de secteurs d'activités et de problématiques sécurité. - Sur le plan technique, une réelle maîtrise d'un SI global, de l’urbanisation et de l’architecture d'un SI et d ses interfaces en applications, des normes et des procédures de sécurité et des outils et technologies qui s'y rapportent de type firewall, antivirus, cryptographie, serveurs d'authentification, tests d'intrusion, PKI, filtrages d'URL, etc. ainsi que des outils d'évaluation et de maîtrise des risques -méthode Marion, Mehari, etc.-, de méthodologies comme OSSTMM, OWASP, ISO, ITIL, Scrum ou Agile, et, dans une logique différente, du droit informatique en matière de sécurité. - Une pratique de son métier intègre et éthique du fait même qu'un responsable sécurité a accès à des informations prenant sur un sens aigu de la confidentialité. - Un anglais quasi-courant en particulier du fait d'une technicité "sécurité" passant par cette langue. - Un sens de la recommandation juste idéalement soutenu par une capacité à être pédagogique et persuasif dans la façon de transmettre/faire passer ses points de vue et d'animer/dynamiser/implémenter une culture sécurité auprès des différents directeurs de la structure. - Une approche méthodique et rigoureuse des problèmes et un réflexe acquis de "documentation" du travail effectué qui se traduit et s'exprime dans des productions, des 'analyses/ et des modélisations. - Une résistance éprouvée au stress avec cette idée de faire face aux éventuelles situations de crise, par essence, inattendues -intrusion, virus, problème de sécurité « matérielle » de type incendies, fuites d’eau, etc.- en priorisant les actions à mener. - Une autonomie et une pratique de son métier portée par un engagement et de l'énergie. Si vous êtes intéressé par ce profil de poste, n'hésitez pas à nous envoyer votre CV et votre lettre de motivation à conseil@coriance.com