La Banque Centrale Populaire recrute au sein de l'Entité Sécurité SI Groupe, Un Responsable Audit et Assurance Sécurité (H/F).

Principales missions:

Assurer la définition, la mise en œuvre et la supervision de la stratégie d'assurance sécurité en dirigeant une équipe d'experts (ingénieurs en assurance sécurité, auditeurs, et pentesteurs, architectes sécurité), en garantissant la protection du SI (Système, applications, données…etc.) et la conformité aux normes de sécurité par la supervision des Assessment, audits, RedTeam et tests d'intrusion, tout en gérant les prestataires externes, en veillant au respect des processus de sécurité conformément à la charte d’audit technique et en assurant une planification rigoureuse ainsi qu’un reporting régulier, alignés avec les orientations stratégiques du système d'information de CAM et les standards en vigueur dans l'industrie bancaire.

Activités principales:

Définition de la Stratégie d’Assurance Sécurité

* Élaborer et mettre à jour la politique d’assurance de la sécurité, en alignement avec les objectifs stratégiques de l'entreprise.
* Mettre à jour les processus d'audit et de tests d'intrusion, en supervisant les assesments techniques, audits et tests périodiques pour garantir la conformité et la robustesse des systèmes d’information.
* Analyser les résultats des audits et tests d’intrusion, proposer des mesures correctives et suivre leur mise en œuvre.
* Collaborer avec les parties prenantes pour intégrer les exigences de sécurité dans tous les projets de la banque.

Gestion des missions et actions d’audit de Sécurité

* Définir et piloter la stratégie et le programme annuel d’audit de sécurité, en priorisant les systèmes, applications et processus critiques.
* Superviser la réalisation des audits techniques approfondis, incluant tests d’intrusion (pentests), campagnes Red Team, audits de configuration, audits de code et évaluations d’architecture.
* Coordonner les audits organisationnels, réglementaires et techniques pour assurer une vision globale du niveau de sécurité.
* Encadrer la sélection, le pilotage et l’évaluation des prestataires externes spécialisés pour garantir un haut niveau de qualité et d’impartialité.
* Analyser et valider les rapports d’audit, identifier les écarts majeurs et définir les priorités de remédiation.
* Suivre la mise en œuvre des plans d’action correctifs et mesurer leur efficacité via des indicateurs de performance.
* Élaborer des rapports détaillés sur les missions d’audit sécurité , incluant une analyse approfondie de l’impact et des mesures correctives et plan de mitigation, et les communiquer aux équipes concernées.
* Supervision des prestataires d’audit sécurité pour assurer conformité et qualité.
* Élaboration de rapports de sécurité et coordination avec les parties prenantes.
* Organiser des restitutions de synthèse auprès de la Direction Générale et des entités concernées pour aligner les décisions stratégiques.
* Assurer une veille méthodologique et technologique afin d’intégrer des approches innovantes dans les missions d’audit et de renforcer la posture de sécurité globale.

Activités proposées pour intégrer "Expertise et Architecture"

Architecture sécurité d’entreprise :

* Collaborer avec les équipes d’architecture pour concevoir et valider les architectures de sécurité alignées sur les standards de l’entreprise et les exigences réglementaires.
* Participer à la définition des référentiels d’architecture sécurité en garantissant leur conformité avec les politiques globales de sécurité et en intégrant les contraintes techniques et métiers.
* Participer à la validation des choix des solutions technologiques proposées par les métiers ou les équipes IT, en s’assurant de leur conformité aux politiques de sécurité, à l’architecture globale et aux exigences réglementaires.
* Évaluer l’impact des projets sur l’architecture de sécurité existante et proposer des recommandations pour optimiser la résilience et la robustesse des systèmes.

Référents DevSecOps :

* Superviser l’intégration des pratiques DevSecOps dans les projets applicatifs, en s’assurant que les pipelines CI/CD incluent des contrôles de sécurité automatisés.
* Former et accompagner les référents DevSecOps dans la mise en œuvre des politiques et standards de sécurité dans les environnements de développement.
* Identifier et promouvoir des outils adaptés pour automatiser les tests de sécurité et améliorer la détection précoce des vulnérabilités dans le code.

Expertise Cyber Transverse :

* Fournir un support d’expertise transverse pour évaluer les risques techniques complexes liés aux projets ou aux environnements spécifiques.
* Participer activement aux comités d’architecture pour s’assurer que les décisions prises respectent les objectifs stratégiques de cybersécurité.
* Garantir une veille technologique proactive pour identifier les solutions innovantes et améliorer l’efficacité des dispositifs de sécurité à travers les différents périmètres.

Synergie entre Assurance Sécurité et Expertise Technique :

* Intégrer les retours des experts en architecture et DevSecOps dans les plans d’assurance sécurité, pour garantir une couverture des risques cohérente et proactive.
* Superviser la coordination entre les équipes d’audit et les experts techniques pour optimiser les recommandations et actions correctives en matière de sécurité.
* Mettre en place un cadre de gouvernance technique permettant de formaliser les échanges entre les fonctions d’assurance sécurité, les architectes et les référents techniques (revues régulières, comités techniques).

Formation et Sensibilisation

* Concevoir et dispenser des formations sur les bonnes pratiques de sécurité pour l’ensemble des équipes du département notamment en matière d’audit sécurité et de référentiels des bonnes pratiques d’assurance sécurité, et organiser des sessions spécialisées pour les équipes techniques (ingénieurs en sécurité, auditeurs, pentesteurs).
* Promouvoir une culture de sécurité orientée assurance sécurité au sein de l’organisation, avec une attention particulière aux enjeux liés aux outils et méthodologies de cybersécurité.

Management d’équipe

* Fixer les objectifs pour les collaborateurs et évaluer et suivre leur productivité en collaboration avec la hiérarchie
* Développer l’expertise métier de l’entité en se tenant informé de toute nouveauté technique ou réglementaire
* Assister, conseiller et former ses collaborateurs
* Assurer le contrôle des activités et résultats des équipes

Compétences et qualités requises:

* Gestion des audits, des tests d'intrusion, et maîtrise des outils de surveillance de la sécurité ;
* Maîtrise des méthodologies et outils d’évaluation de la sécurité des systèmes d’information ;
* Gestion des vulnérabilités et des risques de sécurité ;
* Connaissance des normes de sécurité ;
* Utilisation d'outils de surveillance de la sécurité ;
* Gestion de la sécurité applicative et DevSecOps ;
* Conception et validation d’architectures sécurisées, définition de référentiels et intégration des contraintes techniques et métiers ;
* Connaissance de la charte d'audit technique.

Expérience professionnelle souhaitée:

* 5 à 7 ans d'expérience dans un rôle similaire, de préférence dans le secteur bancaire ou dans un environnement fortement régulé, avec une expérience significative en assurance sécurité
* Expérience confirmée en gestion d’équipes techniques est fortement recommandée, incluant des ingénieurs en assurance sécurité et des pentesteurs, combinée à une expertise dans la gestion de projets d’audit de sécurité, avec une capacité démontrée à collaborer efficacement avec des prestataires externes.

Niveau d'études recherché:

Master en sécurité de l'information, en informatique, ou dans un domaine similaire. Des certifications comme CISSP (Certified Information Systems Security Professional) ou CISM (Certified Information Security Manager) sont recommandées.