Responsable de la Sécurité des Systèmes d'Information - RSSI sur le 92 H/F

Nous recherchons pour l'un de nos clients,

Un(e) Responsable de la Sécurité des Systèmes d’Information - RSSI sur le 92 H/F

La société

En moins de 20 ans, notre client est devenue le Numéro 1 du SIRH sur le marché français avec 2000 clients et une équipe de près de 450 collaborateurs répartis entre le siège social en IDF et ses 7 agences en France.

L’entreprise connait une croissance régulière de 25% par an grâce à une solution informatique performante et une offre de services innovante à forte valeur ajoutée.

Ainsi :

1. L’offre solution et service est devenue la référence du marché sur le segment des entreprises de 50 à 5000 salariés.

2. La société dispose d’une base solide de 2000 clients avec des références prestigieuses dans tous les domaines d’activité, avec notamment Alain Afflelou, Toy’s R’us, Aéroport de Toulouse ou encore l’Institut Pasteur.

3. La société enregistre de très nombreux succès commerciaux avec l’acquisition de nouveaux clients parmi lesquels la Redoute, le Secours Catholique, Tape-à-l’œil, Spartoo…

Contexte et organisation de la Direction Technique :

Compte tenu de notre marché, de notre positionnement et de la pertinence de notre offre, nous avons des objectifs très ambitieux en termes de croissance.

Nous devons ainsi anticiper les nouveaux enjeux pour nous permettre d’atteindre 600 collaborateurs et 100M€ de CA (projet « Cap 100 ») en 2024.

La société est sur un marché très porteur qu’elle maîtrise et au sein duquel elle dispose d’avantages compétitifs importants.

La spécificité essentielle versus les éditeurs classiques comme Sage, Cegid, EBP réside dans notre capacité à améliorer en permanence la Solution grâce à une base de données mutualisée et à un mode Saas intégral. Ainsi, l’ajout d’un champ dans la fiche salarié ou d’une nouvelle fonctionnalité (comme par exemple le permis de conduire) peut être développé et mis instantanément en production pour tous nos clients.

La Direction Technique est au cœur de la réussite de la société et doit donner une image de dynamisme, d’implication et de sérieux : ainsi, il est indispensable que l’équipe Technique comprenne cette responsabilité et s’implique à hauteur de cet enjeu (horaires adaptés, communication écrite avec les équipes, état d’esprit positif et engagé …).

En termes d’organisation, nous avons mis en place pour l’équipe technique :

- des objectifs mensuels

- des suivis hebdomadaires

- des canaux TEAMS par compétences

Les plannings mensuels sont remplis chaque premier jour ouvré du mois. Ils récapitulent les réalisations du mois précédent, et définissent les objectifs par client ou projet. Les plannings hebdomadaires sont remplis chaque lundi matin et permettent de valider les objectifs, les tickets à réaliser, les besoins d’assistance et les réunions à organiser.

Exemples de réalisations techniques :

• Installation d’une console de monitoring (de type Grafana)

• Mise en œuvre de scan de vulnérabilité via plateforme V6protect

• Déploiement d’un système PAM Devolution Server

• Déploiement sur les équipement de l’EDR SentinelOne

• Configuration d’accès SSO / MFA en SAML

Contexte Technique :

L’infrastructure de production est basé sur une base Oracle 19c en RAC, utilisant la dernière version de l’infrastructure Oracle ODA, ainsi que sur des serveurs d’application Tomcat et des serveurs Web Apache tournant sur des serveurs Linux, dans un contexte Microsoft HyperV.

Nous sommes propriétaire et administrateurs de nos infrastructures, hébergées en Datacenter Equinix.

L’exploitation au quotidien de la base de données est supervisée par un prestataire extérieur (Komposite, partenaire Oracle).

La société a développé son propre framework de développement, au travers :

- des servlets de traitement ;

- une base de données Oracle ;

- des fichiers HTLM et XML qui donnent aux servlets les opérations effectuées.

Le Framework est développé en Java, ainsi que les traitements de calcul des bulletins de paie, et certains composants techniques comme par exemple la génération de graphiques pour les modules applicatifs.

Les traitements basés sur des automates, par exemple les échanges avec le concentrateur EDI : ********, ou avec le prestataire d’édition et de mise sous plis des bulletins de paie, sont développés également en Java.

Objectifs et missions du Responsable de la Sécurité des Systèmes d’Information

Les objectifs du RSSI :

Chaque mois il renseigne dans l’application MeilleurPilotage, et ce pour tous les différents projets ou missions qui lui sont confiés, l’état des lieux des objectifs de réalisation du mois (avec le temps prévu et les délais impartis).

Sur ses objectifs, il note les éventuelles réunions nécessaires et s’assure de disposer de tous les moyens incontournables (échanges clients, investissements, réunions internes avec les équipes Service, DPO, R&D …) afin de remplir au mieux ses missions.

Afin d’optimiser la planification, il doit utiliser nos méthodes internes, c’est-à-dire :

• la réalisation d’un planning mensuel ;

• la réalisation d’un suivi hebdomadaire ;

Les notions d’objectifs, de plannings et de suivis sont totalement essentielles à la réussite des activités techniques. Nous attachons une importance stratégique à cette formalisation et en général à la culture de l’écrit. Il s’agit d’une véritable culture d’entreprise, inscrite dans l’ADN de la société, à laquelle chaque collaborateur doit adhérer, afin de construire la réussite de l’entreprise.

Les missions confiées sont :

• Définir la politique de sécurité du SI et évaluer sa vulnérabilité

• Prendre en charge les audits sécurité des clients et prospects

• Administrer les systèmes de sécurité déployés

• Orienter les lead developers et chef de projet dans leurs missions afin de faire respecter la politique de sécurité

• Informer et sensibiliser les services concernant la sécurité du SI

Le candidat sera en mesure de prendre en charge

Les Objectifs sont :

• Garantir la sécurisation du SI, sur les aspects internes et de production

• Suivre les indicateurs de sécurité

• Accompagner les équipes commerciales en avant-vente

Détail des missions

• Identification des risques et définition de la politique de sécurité

o Réaliser des audits du système de sécurité, avec l’aide de prestataires.

o Analyser les risques et les dysfonctionnements, les marges d’amélioration des systèmes de sécurité.

o Définir et faire évoluer la politique de sécurité des systèmes d'information du Groupe (PSSI).

o Etablir un plan de prévention des risques informatiques et un plan de continuité d’activité (PCA) (ou plan de maintien en conditions opérationnelles du S.I.).

o Définir ou faire évoluer les mesures et les normes de sécurité (charte), en cohérence avec la nature de l’activité de l’entreprise et son exposition aux risques informatiques

o Participer à la définition et au contrôle de la gestion des habilitations.

• Mise en œuvre et suivi du dispositif de sécurité

o Faire appliquer les normes et standards de sécurité.

o Mettre en place les méthodes et outils de sécurité adaptés, et accompagner leur implémentation auprès des utilisateurs.

o Gérer les projets d’infrastructures sécuritaires ;

o Elaborer et suivre des tableaux de bord des incidents sécurité.

o Superviser ou auditer les programmes de sauvegarde (back-up).

o Gérer les incidents sécurité et proposer des solutions pour rétablir rapidement les services.

o Définir les actions à mener afin de réparer les dommages causés au SI en cas de survenance d’un sinistre de sécurité S.I. (intrusion dans le système, contamination par un virus, défaillance d’un équipement…), mettre en œuvre le plan de reprise d’activité (PRA).

o Faire analyser les causes des incidents et consolider les mesures de sécurité.

o Faire tester régulièrement le bon fonctionnement des mesures de sécurité mises en place pour en détecter les faiblesses et les carences.

o Auditer le respect des normes de sécurité informatique imposées aux sous-traitants de l’entreprise.

• Communication et formation sur les normes de sécurité

o Réaliser le référentiel de sécurité, l’actualiser régulièrement, en assurer la diffusion et veiller à son application.

o Définir les formations à réaliser, superviser la rédaction des supports de formation et en assurer la diffusion (principalement auprès du service informatique).

o Mettre en place des actions de communication (en concertation avec le responsable de l’exploitation informatique ou les risk managers métiers) auprès des salariés de l’entreprise en cas de risque majeur ou de dommages au SI causés par une attaque ou par des dégâts matériels.

• Veille technologique et réglementaire

o Assurer une veille technologique, de manière à garantir la sécurité logique et physique du système d’information.

o Assurer une veille réglementaire sur la protection des données personnelles.

o Identifier les nouveaux risques sur la sécurité du système d'information : apparition de nouveaux virus, lancement d'attaques informatiques sur le réseau mondial...

• Suivi des actions et reporting

o Contrôler les tableaux de bord techniques des incidents de sécurité rencontrés (virus, tentatives d’intrusion, …)

o Assurer le reporting des incidents de sécurité

Les compétences et qualités attendues sont :

o Bonne connaissance de la stratégie de l'entreprise, de son organisation, de ses métiers et des enjeux

o Maîtrise des normes et procédures de sécurité et des outils et technologies qui s'y rapportent : firewall, antivirus, cryptographie, serveurs d'authentification, tests d'intrusion, filtrages d'URL...

o Connaissance des principaux prestataires du marché de la sécurité informatique (éditeurs, sociétés de service...)

o Bonne connaissance des réseaux et systèmes

o Connaissance des méthodologies (ex : OSSTMM, OWASP…)

o Bonnes connaissances juridiques en matière de sécurité et de droit informatique

Qualités attendues :

o Rigueur, capacité d’anticipation et sens de la méthode afin de mettre en place des programmes de sécurité efficients

o Pédagogie pour expliquer aux collaborateurs les règles à respecter pour ne pas mettre en danger le système d’information de l’entreprise

o Diplomatie, écoute, sens du dialogue, persuasion, pour convaincre les collaborateurs des risques encourus et du bien-fondé des procédures mises en place

o Capacité à travailler et à s’adapter à tous les niveaux d’interlocuteurs en adaptant son langage et son niveau d’explication à la population avec laquelle il est amené à travailler