Responsable de la Sécurité des Systèmes d'Information RSSI Groupe H/F Initial SAS

Netexial recherche un RSSI / CISO Senior pour assurer la responsabilité pleine et entière des risques de cybersécurité à l'échelle de l'entreprise.

Périmètre : Environnements hybrides et production industrielle

Ce rôle stratégique consiste à construire, implémenter et gouverner la sécurité sur un écosystème complexe : Cloud (Azure, Office 365), infrastructures sur site, plateformes industrielles, systèmes propriétaires (IBMi).

Véritable "Coach Player", vous devez vous impliquer directement dans l'opérationnel pour animer la stratégie Cybersécurité et orchestrer les forces en présence

- Gouvernance et stratégie : Vous pilotez la politique de sécurité, le cycle d'acceptation des risques et animez le reporting régulier auprès du Comité de Direction
- Gestion de crise : Vous définissez les stratégies de continuité et de reprise d'activité (PCA/PRA) et dirigez la cellule de crise cyber en cas d'incident majeur
- Orchestration des experts : Vous dirigez et coordonnez nos partenaires externes tels que le SOC (centre d'opérations de sécurité), le MSP (prestataire de services managés) et les auditeurs effectuant les tests d'intrusion.
A ce titre, un anglais opérationnel est indispensable.

- Transformation Culturelle : Vous agissez comme un mentor pour faire évoluer la culture de l'entreprise vers une "sécurité par la résilience".
- Crédibilité technique : Vous possédez une réelle expertise technique pour dialoguer avec les ingénieurs sur des sujets complexes comme les serveurs IBMi ou les architectures Azure.
- Diplomatie, pédagogie : Votre rôle nécessite une proximité importante avec nos sites industriels pour comprendre les contraintes réelles de production.
Vous devez concilier la tolérance aux risques de la direction avec les impératifs de disponibilité opérationnelle.
Vous avez aussi une aisance politique pour gérer les frictions transverses et imposer les arbitrages de sécurité.

VOTRE FEUILLE DE ROUTE POUR LA PREMIERE ANNEE

- Mois 3 (Visibilité) : Finaliser le registre des risques globaux et mettre en place un rythme de reporting exécutif formalisé
- Mois 6 (Contrôle) : Implémenter un socle de référence pour la gestion des risques tiers (TPRM) ciblant les fournisseurs industriels critiques
- Mois 9 (Résilience) : Diriger un exercice de simulation de crise cyber de grande ampleur impliquant le Comité de Direction.
- Mois 12 (Intégration) : Mettre en place un tableau de bord de pilotage de la sécurité en temps réel intégré aux outils de gestion des services informatiques (ITSM).
- En continu : Améliorer la gestion des identités et des accès (IAM) entre les environnements IT et OT.
- En continu : Surveiller activement les écarts de conformité NIS2 et les mesures correctives.

Ce que le rôle EST et ce qu'il N'EST PAS :

- C'est un rôle de Responsable de Programme. Vous définissez le « Pourquoi » et le « Comment ».
- Ce n'est PAS un rôle d'exécution technique (Ticket-Closer).
Si vous préférez configurer des règles de pare-feu plutôt que de négocier les risques avec le Comité de Direction, ce poste est trop stratégique pour vous.
- C'est un mandat Industriel/Hybride ; ce n'est PAS un poste exclusivement orienté « Cloud-Native ».
Vous devez exceller dans les « zones grises » de la sécurité, en concevant des mesures de sécurité créatives pour les systèmes industriels propriétaires (OT) qui ne peuvent toujours pas être mis à jour.
- Priorité opérationnelle :
Vous devez impérativement privilégier la continuité de service tout en sécurisant l'environnement.
Notre activité ne permet pas de redémarrer ou corriger un serveur sur simple demande.
- Ce n'est PAS un rôle de « Cavalier seul »
Vous n'êtes pas une équipe d'une seule personne, mais le chef d'orchestre d'experts externes.

NOTRE PROCESSUS DE SÉLECTION
"EXPÉRIENCES ET TÉMOIGNAGES"

Pour postuler, vous devez soumettre une lettre de motivation ou un document séparé répondant aux quatre questions suivantes (200 mots maximum par réponse) afin de démontrer votre expérience concrète:
- Décrivez une situation où vous avez dû bloquer un projet critique pour motif de sécurité. Comment avez-vous géré le conflit avec le responsable métier ?
- Détaillez les 4 premières heures du pire incident de sécurité que vous ayez géré (focus sur le confinement et la communication exécutive).
- Présentez un test de reprise d'activité (PRA) qui a échoué. Quelle faille technique avez-vous identifiée et comment avez-vous corrigé l'architecture ?
- Quelle stratégie de sécurisation pour un serveur IBMi critique ne pouvant subir aucun arrêt, alors qu'une vulnérabilité majeure vient d'être découverte ?