Nos offres d'emploi


Auditeur organisationnel

  • Référence :
    P2057

Composition du service et positionnement du poste

Au sein du COSSI, la division connaissance et anticipation (DCA) est chargée d’acquérir, de développer, de capitaliser et de partager la connaissance de la cybermenace ainsi que celle des vulnérabilités des systèmes numériques dont l’agence assure la défense à des fins de soutien et d’orientation

Au sein de la DCA, le bureau Audits en Sécurité des Systèmes d’Information (AES) est en charge d’évaluer la vulnérabilité des systèmes numériques défendus par l’ANSSI en vue de proposer des mesures correctrices et des recommandations. Il réalise à ce titre différents types de prestations d’audits techniques et organisationnels, ainsi que des recherches de traces d’intrusion et des tests externes depuis Internet. Il assiste la division Réponse du COSSI pour l’assistance aux victimes en matière de définition de mesures de remédiation et de durcissement.

Le bureau est composé d’auditeurs techniques et organisationnels répartis en différents pôles métier.

Le titulaire sera placé sous l’autorité du chef de pôle et, à défaut, du chef de bureau et de son adjoint.

 

Mission globale du poste

Le titulaire prépare et réalise le volet organisationnel de prestations d’audits (analyses de processus métier, analyse d’architectures, analyses documentaire, entretiens fonctionnels et organisationnels, vérification de preuves, etc.), présente ses résultats aux organismes audités et rédige le rapport associé.

 

Missions et activités

Le titulaire sera responsable :

  • de la rédaction de rapports d’audit, contenant une analyse des vulnérabilités rencontrées et des préconisations organisationnelles et techniques;
  • de la formalisation et de la standardisation des procédures d’audits organisationnels ;
  • de la rédaction de recommandations génériques dans les domaines organisationnels (réglementation, gouvernance, intégration de la sécurité dans les projets, homologation, continuité des activités, etc.) ;
  • de sa veille active et ciblée sur les règles, les normes et les bonnes pratiques dans les domaines de la protection des systèmes d’information et de la gouvernance SSI ;
  • de certaines actions organisationnelles d’assistance à la reprise de contrôle d’un système d’information suite à un incident de grande envergure (présentations et soutien sur les démarches métier, participation à l’élaboration et au suivi des plans de durcissement et de reconstruction, réalisation d’audits organisationnels, etc.).

 

Contraintes et difficultés du poste

Les contraintes et les difficultés sont principalement :

  • des déplacements de plusieurs jours en France et occasionnellement à l’étranger ;
  • certaines missions sont exceptionnellement réalisées en dehors des heures ouvrées.

Des astreintes pourront éventuellement être assurées par le titulaire.

 

Formation et expérience

Le titulaire doit posséder un diplôme d’ingénieur reconnu par la commission des titres d’ingénieur, ou avoir suivi un cursus universitaire de niveau BAC+5 minimum dans le domaine des technologies de l’information et de la communication.

Il doit justifier d’une expérience dans le domaine de l’audit SSI organisationnel et avoir de bonnes connaissances et compétences dans le domaine général de la sécurité logique des systèmes d’information. Il doit être capable de mener des audits organisationnels, d’établir et de rédiger un plan de recommandations et de le présenter au client, seul ou en s’appuyant sur une équipe d’experts.

 

Savoir-faire

Il doit notamment :

  • posséder de bonnes connaissances sur les principaux référentiels, les normes et les réglementations relatifs à la sécurité des systèmes d’information (ISO 2700x, ISO 22301, RGS, IGI 1300, LPM, etc.) ;
  • savoir évaluer le contenu de dossiers de sécurité (analyse de risque, PSSI, procédures) afin de déterminer les manques et faiblesses ;
  • être familier avec la gouvernance SSI, la gestion des incidents, la continuité et la reprise des activités ainsi que l’organisation et les fonctions liées à la SSI ;
  • avoir des connaissances minimales techniques (sécurisation des systèmes d’exploitation, mécanismes de contrôle d’accès, architecture réseau, etc.), afin d’appréhender les vulnérabilités techniques pour en déterminer les causes organisationnelles.

Les qualités nécessaires pour le poste sont les suivantes :

  • aptitude à gérer une équipe d’ingénieurs;
  • réelles capacités de communication orale et écrite ;
  • forte motivation pour la communication et le partage de la connaissance ;
  • esprit de synthèse.

 

Savoir-être

  • Être rigoureux et avoir un sens développé des responsabilités.
  • Faire preuve d’autonomie et initiative.
  • Avoir le sens du contact humain et du service.