Responsable GRC (Gouvernance Risques et Conformité) IT, OT & IACS

Nous sommes à la recherche d'un expert en Gouvernance, Risque et Conformité (GRC) ayant une bonne connaissance des principaux référentiels internationaux de cybersécurité, dont ISO 2700X, IEC 62443, CLC 50701, guides NIST, guide ANSSI, pour répondre à l’importance croissante de la cybersécurité dans les transports publics, en particulier dans les domaines ferrés et guidés. Vous serez basé à Paris 12.

En rejoignant l'équipe cybersécurité de RATP Dev, vous deviendrez responsable de l'équipe Cyber Sécurité GRC. Dans le cadre de votre mission, vous collaborerez étroitement avec les équipes de Cyber Protection, la Direction Technique de RATP Dev et les responsables cyber des équipes opérationnelles en filiales. Vos principaux partenaires comprendront le responsable de l'informatique/de l'OT, l'architecture d'entreprise technologique, les équipes opérationnelles, le contrôle interne et audit, ainsi que l’équipe Cyber du groupe RATP.

Vos responsabilités comprennent la mise en œuvre et l'exécution des directives de cybersécurité IT et OT/IACS, ainsi que le soutien à la gestion des risques. Vous accompagnerez RATP Dev et ses filiales dans une démarche d’amélioration continue pour atteindre une conformité à la norme ISO 27001 pour le domaine IT et à la norme IEC 62443 pour les domaines OT/IACS. Les exigences des directives et règlementations européennes (NIS2/REC, CRA, DORA, RGPD) s’intègrent naturellement dans notre démarche.

Politiques, normes et procédures de cybersécurité pour l’IT, l’OT & l’IACS :

• Contribuer à la définition, à la mise en œuvre et à la communication des politiques globales de cybersécurité aux filiales.
• Assurer l'alignement entre la stratégie définie, les outils de management de la cybersécurité actuels et les objectifs globaux de RATP Dev en matière de cybersécurité.
• Travailler en étroite collaboration avec les directions transverses (audit et contrôle interne, risque et conformité), la direction technique et les équipes opérationnelles pour identifier et gérer les opportunités de développer et d'améliorer les contrôles de cybersécurité.

Gérer la gouvernance, les risques et la conformité (GRC) et le reporting pour le périmètre IT, OT & IACS :

• Evaluer les risques de cybersécurité liés aux opérations des filiales de RATP Dev et coordonner les activités de réduction des risques.
• Contribuer à la rédaction des politiques conformes aux standards et normes de cybersécurité.
• Surveiller et gérer la stratégie de déploiement des politiques de sécurité au sein de nos filiales.
• Préparer des rapports pour la direction de la cybersécurité et accompagner les équipes de cybersécurité locales dans la préparation des rapports à leur direction.
• Gérer des plans d'audit ou de sécurité d'infrastructures ou d'applications en coopération avec la Direction Technique et la Direction Audit et Contrôle Interne.
• Proposer, produire et rendre compte des indicateurs de risque de sécurité pertinents et mettre en œuvre des plans d'amélioration.
• Soutenir le maintien de la conformité aux exigences réglementaires locales impactant la cybersécurité de nos environnements.

Sécurité des environnements de production :

• Analyser les besoins fonctionnels, évaluer les niveaux de criticité associés à l'analyse des risques de production, proposer des concepts de protection de sécurité adaptés, projeter et gérer les risques sur l'infrastructure ou le patrimoine industriel en coopération avec l’équipe de cyberprotection.
• Proposer une approche éclairée et proportionnée de la cybersécurité, en tenant compte des contraintes et des enjeux de l'activité de production.
• Assurer la sécurité et la résilience des actifs industriels en promouvant et en mettant en œuvre une architecture de sécurité.
• Participer aux événements internes et externes liés à la sécurité de l'information.

Communication, formation et sensibilisation :

• Participer à l’animation des différentes équipes des sites de production, des projets et de la cybersécurité.
• Responsable de la préparation, de la validation et de la distribution du contenu de la communication de sécurité OT à toutes les parties prenantes (internes et externes).
• Contribuer à la définition et au déploiement du plan/programme de formation à la communication et à la sensibilisation auprès de l'ensemble des collaborateurs.

Support technique et supervision de la cybersécurité :

• Soutenir l'équipe de Cyberprotection dans la définition et l'ajustement des cas d'utilisation des outils de supervision.
• Soutenir l'équipe de cyberprotection pendant les activités de gestion et de remédiation des cyberincidents ou de crises.
• Appuyer la réalisation et la gouvernance d'exercices de gestion d’incidents et de crises.

Veille technologique :

• Assurer une veille technologique des meilleures pratiques et tendances.
• Travailler en étroite collaboration avec les fournisseurs de sécurité pour comprendre les risques et les menaces actuels affectant les environnements OT.

Qualifications :

• 8-10 ans d'expérience dans un rôle cyber d'entreprise et un rôle cyber OT/IACS.
• Solide compréhension des systèmes OT, des IACS et de leurs exigences en matière de sécurité.
• Formation : Bac + 5, dont une spécialisation en lien avec la cybersécurité ou expérience professionnelle équivalente.
• Certifications souhaitées (CISM, CISSP, CSSA, GICSP, ISO 27005 RM, ISO 27001 LA ou ISO 27001 LI).

Compétences techniques :

• Connaissances approfondies des normes et réglementations de cybersécurité en vigueur.
• Connaissance approfondie des méthodologies d’analyse des risques et d’audits de sécurité (EBIOS Risk Manager, ISO 2700X, NIST CSF, NIST 800-53), SMSI et politiques de sécurité.
• Bonnes connaissances des principaux référentiels internationaux dans le domaine OT/IACS (IEC 62443, CLC 50701, NIST 800-82).
• Connaissance des directives et règlementations européennes (RGPD, NIS2, REC, CRA, DORA).
• Maîtrise des fondamentaux dans les principaux domaines de la SSI.
• Connaissances générales de la gestion de projet.
• Anglais courant, Italien et/ou Arabe sera un plus.
• Connaissance en architecture sécurisée des SI et dans les solutions et outils de sécurité.

Compétences professionnelles comportementales :

• Rigueur et méthode.
• Esprit d’analyse.
• Pédagogie.
• Pragmatisme.
• Sens de la communication et de l’écoute.
• Bonne capacité rédactionnelle.
• Confidentialité.
• Capacité de travail en équipe.