Officier Central de Sécurité des Systèmes d'Information Ocssi-Rism H/F - Egis Groupe

Egis est l'un des leaders mondiaux de l'architecture, du conseil, de l'ingénierie de la construction, des opérations et des services de mobilité. Nous créons et exploitons des infrastructures et des bâtiments intelligents qui répondent à l'urgence climatique et contribuent à un développement équilibré, durable et résilient. Nos 20 500 employés opèrent dans plus de 100 pays, déployant leur expertise pour développer et fournir des innovations et des solutions de pointe à nos clients. Grâce à la diversité de nos activités, nous sommes au coeur de l'organisation collective de la société et du cadre de vie des citoyens du monde entier.

1. Gouvernance SSI et animation du réseau sécurité

- Piloter, animer et contrôler le réseau des OSSI et des correspondants SSI sur son périmètre.
- Assurer le rôle de point de contact sécurité unique pour les entités régionales.
- Veiller à la déclinaison cohérente des orientations et décisions du CISO Groupe.
- Accompagner la montée en maturité et en compétences des acteurs SSI locaux.

2. Application de la politique de sécurité de l'information

- Déployer et contrôler le respect de la politique de sécurité de l'information du Groupe Egis sur son périmètre.
- Identifier les spécificités locales (contraintes réglementaires, culturelles, opérationnelles).
- Proposer, documenter et faire valider les adaptations nécessaires des directives globales.
- Participer à la définition, à la mise à jour et au contrôle des procédures, instructions et standards SSI.
- Encourager la désignation de correspondants sécurité et leur participation active aux initiatives Groupe et régionales.

3. Conformité réglementaire et référentiels Egis

- Mettre en oeuvre et contrôler les mesures de sécurité sur son périmètre.
- Réaliser des contrôles et audits internes de conformité en application des directives :
- IGI 1300
- II 901
- IM 900
- Contrôler l'application des procédures SSI.
- Auditer les installations, environnements et systèmes d'information.
- Veiller à la destruction sécurisée des informations sensibles (ISC / ISP) sur son périmètre.

4. Analyse et gestion des risques

- Évaluer les risques, menaces et vulnérabilités des systèmes d'information régionaux, en lien avec les projets et l'infrastructure.
- Identifier, analyser et réduire les écarts de sécurité en lien avec les équipes opérationnelles.
- Proposer et piloter les plans de prévention et de remédiation.
- Assurer une veille active sur les risques émergents (techniques, réglementaires, géopolitiques).
- Escalader sans délai au CISO Groupe toute situation de risque majeur ou critique.

5. Homologation des systèmes d'information

- Participer à la préparation et à l'instruction des dossiers d'homologation des systèmes relevant de son périmètre.
- Coordonner les contributions des équipes projets, exploitation et OSSI concernés.
- Vérifier la conformité des mesures de sécurité avant présentation aux instances d'homologation ou au CISO Groupe.

6. Sensibilisation et communication

- Déployer les programmes de communication et de sensibilisation à la sécurité de l'information au niveau régional.
- Adapter les supports aux spécificités culturelles, linguistiques et réglementaires locales.
- Mesurer l'efficacité des campagnes (taux de participation, indicateurs, retours).
- Proposer et remonter les actions d'amélioration au CISO Groupe.

7. Audits et contrôles

- Coordonner et superviser les audits internes régionaux.
- Être le référent régional pour les audits externes (clients, autorités, régulateurs).
- Identifier les non-conformités et écarts, proposer des plans d'actions correctifs et suivre leur mise en oeuvre.
- Valider les plans d'actions relatifs aux écarts majeurs avant soumission au CISO Groupe.
- Alerter le CISO Groupe sans délai pour toute situation hors cadre.

8. Gestion des incidents de sécurité et continuité d'activité

- Être le point de contact régional pour la gestion des incidents de sécurité.
- Appliquer les procédures Groupe de réponse aux incidents et coordonner la réponse régionale.
- Mettre en oeuvre les mesures conservatoires immédiates en situation de crise.
- Collaborer avec le SOC (Security Operations Center) pour la détection et la réponse aux incidents.
- Coordonner la communication interne et externe en cas d'incident majeur, en alignement avec le CISO Groupe.
- Documenter les incidents dans les outils Groupe.
- Proposer et superviser les adaptations régionales du Plan de Continuité d'Activité (PCA) et les tests associés.

9. Gestion des identités et des accès

- Valider ou refuser les demandes d'accès à privilèges pour les systèmes régionaux conformément au principe du moindre privilège.
- Escalader toute demande hors cadre ou stratégique.
- Superviser le bon fonctionnement des processus de gestion des identités et des accès (IAM) sur le périmètre.

10. Projets IT et architecture

- Accompagner les équipes projets et exploitation dans la mise en conformité des systèmes d'information.
- Valider la conformité sécurité des projets IT régionaux avant leur soumission au CISO Groupe.
- Apporter une expertise régionale aux projets IT transrégionaux.
- Participer aux comités de validation des projets pour représenter les enjeux SSI.
- Veiller à l'intégration des exigences sécurité dès la conception (Security by Design).

11. Prestataires et tiers

- Superviser la conformité des prestataires régionaux aux exigences de sécurité du Groupe.
- Collaborer avec les achats et le juridique pour intégrer les clauses sécurité Groupe dans les contrats.
- Imposer et piloter les évaluations de sécurité des prestataires.
- Identifier et remonter les risques résiduels liés aux tiers.

12. Veille et amélioration continue

- Assurer une veille réglementaire, normative et technologique sur son périmètre.
- Identifier les besoins d'adaptation des outils et processus de sécurité régionaux.
- Partager les retours d'expérience (incidents, bonnes pratiques) avec le CISO Groupe et les autres RISM.
- Proposer et, le cas échéant, piloter des projets d'amélioration ou des expérimentations de solutions innovantes.

13. Reporting et coordination

- Assurer un reporting régulier sur l'état de la sécurité du périmètre (conformité, incidents, risques).
- Contribuer au reporting global via les indicateurs et KPI définis par le Groupe.
- Participer aux instances de gouvernance sécurité animées par le CISO Groupe.
- Travailler en étroite collaboration avec les Data Protection Managers, responsables IT et directions métiers.

14. Fusions & Acquisitions (M&A)

- Contribuer à l'évaluation des risques sécurité des cibles sur son périmètre.
- Superviser la migration des systèmes et des accès vers les standards Groupe.
- Mettre en place une surveillance renforcée durant les phases de transition postacquisition.

15. Budget et ressources

- Proposer la priorisation des investissements sécurité en fonction des risques.
- Contribuer à l'élaboration et au suivi du budget sécurité régional.
- Rendre compte de l'utilisation des budgets alloués.
- Superviser les correspondants SSI des entités de la région lorsque applicable

Votre parcours ?

- Formation supérieure (Bac +5 : école d'ingénieur ou Master 2 en informatique/sécurité).

Vos atouts ?

- Expérience significative de 6 ans minimum en sécurité de l'information, dont une expérience significative dans un environnement réglementé (défense, aéronautique).
- Maîtrise des référentiels IGI 1300 et II 901, excellente capacité rédactionnelle et de synthèse, rigueur, discrétion, capacité à travailler transversalement.
- Connaissance des processus d'homologation des Systèmes d'Information.
- Habilitation : une enquête de sécurité (avec avis favorable) sera nécessaire pour occuper ce poste (obligatoire).
- Maîtrise des normes et standards internationaux (ISO 27000, NIST, RGPD) et des standards locaux, et des outils et technologies de sécurité (firewall, antivirus, cryptographie, tests d'intrusion, etc.).
- Connaissance des outils de gestion des incidents (ex. : SIEM, SOC) et des processus de réponse aux incidents.
- Expérience en gestion des risques (ISO 27005, EBIOS, etc.) et des projets transverses (ex. : déploiement d'outils globaux, amélioration continue).
- Connaissance des architectures SI, des systèmes d'exploitation et des aspects juridiques liés à la sécurité de l'information et au droit informatique pour sa région.
- Capacité à piloter des projets complexes dans un environnement multiculturel, mise en place et suivi des plans d'amélioration continue.

Vos avantages à nous rejoindre ?

Egis propose une rémunération attractive et offres des possibilités d'évolutions grâce à la mobilité interne au sein du groupe.

- Salaire
- Télétravail selon l'accord entreprise
- Avantages sociaux