Responsable Sécurité SI (H/F)
Role details
Job location
Tech stack
Job description
Rattaché à l'Agence de la biomédecine (ABM), le Responsable de la sécurité des systèmes d'information assure également ce rôle pour la Haute Autorité de Santé (HAS) à temps partagé : 60% pour l'ABM et 40 % pour la HAS. Autorité publique scientifique indépendante, la Haute Autorité de santé (HAS) développe la qualité dans les secteurs sanitaire, social et médico-social au service des usagers. Elle évalue les produits de santé pour leur remboursement, émet des recommandations de bonnes pratiques et de santé publique, et mesure la qualité dans les établissements et auprès des professionnels. Elle agit selon trois principes : rigueur scientifique, indépendance et transparence. Pour ces deux administrations, la mission première est de participer à la définition de la stratégie de Sécurité des SI des deux entités puis de veiller à son application. A ce titre, le RSSI assure un rôle de veille, de conseil, de préconisations, d'information, de sensibilisation et d'alerte. Il est le référent pour les questions liées à la sécurité du SI et peut intervenir sur tout ou partie d'un projet qui relève de son domaine d'expertise pour s'assurer de la bonne application de la politique de sécurité, en procédant notamment à des analyses de risque, et proposer des mesures de médiation le cas échéant. Il est en relation avec les différentes parties prenantes sur les sujets liés à son activité, notamment :
- au niveau de la DSI, avec les responsables de domaine, les chefs de projets, les responsables de service et la direction de la DSI ;
- dans chaque administration, au sein du Comité stratégique de sécurité des SI qu'il anime, il assure le reporting auprès de la direction générale ;
- il participe aux travaux des DPO et intervient en tant qu'expert sécurité des SI ;
Le poste est hiérarchiquement rattaché à la Direction des systèmes d'information (DSI) de l'ABM. Au niveau HAS, il rapporte à la direction générale. Description du poste Missions principales 1.Pilotage de la Sécurité des Systèmes d'Informations (SSI) de l'Agence de la Biomédecine et de la Haute Autorité de Santé :
-
Assurer la définition de la stratégie de sécurité puis la validation par les directions générales, et organiser la bonne application de celles-ci en coordination avec les services responsables et piloter les feuilles de route stratégique SSI ;
-
Maintenir les PSSI (Politique de sécurité des systèmes d'information) et s'assurer de leur mise en œuvre ;
-
Animer les Comités de Sécurité Stratégiques, être garant de la sécurité et de la conformité dans les instances et les instances de gouvernance des projets ; élaborer et produire régulièrement des tableaux de bord de Sécurité des Systèmes d'Information pour les directions générales et instances ainsi que les objectifs à atteindre ;
-
Définir les orientations, élaborer et maintenir les feuilles de route stratégique SSI annuelle et pluriannuelle
-
Suivre et mesurer régulièrement le niveau de risques effectif sur le périmètre des missions des administrations, selon l'évolution des SI, assurer le suivi régulier des exigences de sécurité et de l'alignement des actions avec les PSSI, mettre à jour les PSSI selon l'évolution des risques en lien avec les services d'exploitation (SISU et ESSA)
-
Accompagner les DSI sur le traitement des alertes de sécurité : priorisation, gestion des risques et suivi global des alertes
-
Assurer l'interface avec :
-
le fonctionnaire de la sécurité des systèmes d'information des ministères sociaux (service du Haut Fonctionnaire de Défense et de Sécurité) ;
-
les RSSI des différents fournisseurs de service qui opèrent pour l'Agence de la Biomédecine.
2.Diagnostic et analyse de risques de sécurité des SI : Analyses FEROS et EBIOS notamment
-
En accord avec les PSSI, analyser et évaluer les risques liés à l'activité (Interne / Externe) y compris dans le cadre d'évolution des SI) ;
-
Accompagner à l'élaboration et au cadrage des projets en phase de conception initiale de réalisation. Analyser les risques SSI des projets validés et si nécessaire réaliser l'homologation. Sur l'ensemble des Systèmes d'Information, coordonner les audits de sécurité des SI nécessaires ;
-
Proposer et prioriser les plans d'actions appropriés en comité d'architecture, CAB et Codir selon les impacts et les risques identifiés ;
-
Homologuer l'ensemble des Systèmes d'Information portant des données à diffusion restreinte.
3.Accompagnement à la mise en œuvre et au maintien des engagements
-
Conseiller sur les actions transverses Sécurité du SI (mesures SSI, procédures transverses, …) ;
-
Accompagner l'ensemble des acteurs des Systèmes d'Information du périmètre des deux administrations dans la mise en œuvre des exigences sécurité telles qu'énoncés dans la PSSI ;
-
Maintenir à jour la partie SSI des différents plans de crise des deux administrations ainsi que la complétude documentaire.
4.Audit et compliance
-
Coordonner les audits de sécurité des SI (interne et externe) ; Analyser les résultats obtenus pour déterminer les futures actions correctives et alimenter les plans de remédiation opérationnels.
-
Reporter les incidents de sécurité ;
-
Assurer le lien et la relation avec l'ensemble des acteurs Métier (RH, juridique, …), avec les DPO et les équipes de contrôle interne, si besoin ;
-
Préciser les objectifs à atteindre en termes de Sécurité des SI (périmètre, planning, moyens) avant les audits ;
- Communication et sensibilisation
- Réaliser une veille technologique, réglementaire et prospective et mise à jour des communications aux agents
- En lien avec les chargés de communication, mise en œuvre du e-Learning Sécurité et des campagnes de sensibilisation
- Animation d'atelier de sensibilisation à destination des agents et simulation de phishing.
Spécificités et contraintes du poste De par ses missions transversales, le RSSI est amené à être en relation constante avec l'ensemble des directions et services ou avec l'ensemble du personnel des deux administrations. Il les représente lors des actions inter-agences en matière de sécurité des SI.
Requirements
Le candidat doit être titulaire d'une formation de niveau Bac+5 en informatique, idéalement avec une spécialisation en sécurité, et justifier d'au moins dix années d'expérience professionnelle, dont une expérience significative en IT dans le domaine de la sécurité. Une connaissance du secteur public ainsi que du cadre réglementaire constitue un atout. La maîtrise de méthodes et référentiels tels qu'EBIOS Risk Manager, ISO 27001, FEROS, entre autres, est requise. Sur le plan des qualités professionnelles, le profil recherché se distingue par un fort esprit d'équipe, une excellente capacité d'analyse et une aisance relationnelle. Il fait preuve de pédagogie, d'anticipation, de rigueur et de méthode dans son travail. Doté d'une réelle force de conviction et d'un bon sens de l'écoute, il possède également une bonne maîtrise de l'expression écrite. Une connaissance des politiques de sécurité ministérielles, notamment dans le domaine de la Santé, est également attendue.
Benefits & conditions
Type de contrat : contrat de droit public - Poste ouvert aux titulaires et aux contractuels. Rémunération : selon expérience et niveau de diplôme, par référence aux grilles indiciaires des agences sanitaires en application du décret n°2003-224 du 07 mars 2003 ou selon statut particulier si fonctionnaire (détachement, mise à disposition). Télétravail : possible (jusqu'à 2 jours), sous réserve de validation. *A l'issue du processus de recrutement, il vous sera demandé de remplir une déclaration d'intérêts. La déclaration d'intérêts est une déclaration sur l'honneur concernant les liens directs ou indirects que vous pourriez avoir avec toute entreprise ou organisme privé intervenant dans le champ des missions de l'Agence de la biomédecine. Ce document reste confidentiel ; il sera conservé dans votre dossier à la direction des ressources humaines.
