RESPONSABLE SÉCURITÉ DES SYSTÈMES D'INFORMATIONS

MISSIONS 

• Définir et promouvoir la gouvernance Cybersécurité (incluant la Cyber Fraude) de l’Entité
• Conduire des projets de Cybersécurité à l’échelle de l’Entité et fournir une expertise aux équipes et aux projets IT de l’Entité
• Assister et gérer les crises Cyber
• Conduire et superviser la sécurité de la production IT
• Rendre compte de la Cybersécurité et des risques IT de l’Entité
• Mettre en place un réseau autour de la Cybersécurité et des risques IT et communiquer la vision

ACTIVITÉS PRINCIPALES

1.      DÉFINIR ET PROMOUVOIR LA GOUVERNANCE CYBERSECURITE DE L’ENTITE

• Mettre en place et animer une gouvernance Cybersécurité qui s’harmonise avec les priorités stratégiques de l’Entité et la gouvernance IT du Groupe ; qui fixe des objectifs opérationnels en matière de Cybersécurité et prononce des arbitrages, et enfin qui s’assure de l’adhésion et du mandat des principaux intervenants de l’Entité.
• Valider la vision, la gouvernance, et la stratégie de gestion des risques IT, de Continuité IT et de Résilience IT définies respectivement par l’IT Risk Officer et l’IT Continuity Resilience Officer.

• Décliner le cadre de référence Cybersécurité et risques IT du groupe au sein de l’Entité (politiques, exigences, indicateurs et plan de contrôles) et y intégrer les spécificités métiers et règlementaires liées à l’Entité.
• Intégrer les exigences des régulateurs locaux marocains au cadre de référence et à la gouvernance Cyber sécurité en assurant le suivi de l’application de la Directive Nationale de la Sécurité des Systèmes d’Information, publiée par la DGSSI (*) et les directives de Bank Al Maghrib, la Banque Centrale du Maroc, et tout organe règlementaire marocain ou international applicable à la BMCI et à ses filiales.
• Jouer un rôle de conseil, d’information, de formation et d’alerte auprès de la direction de l’Entité ;

(*) DGSSI : Direction Générale de la Sécurité des Systèmes d’Informations, organe émanent de l’Administration de la Défense Nationale du Royaume du Maroc 

2.      CONDUIRE DES PROJETS DE CYBERSECURITE A L’ECHELLE DE L’ENTITE ET FOURNIR UNE EXPERTISE AUX EQUIPES ET AUX PROJETS IT DE L’ENTITE

• Mettre en oeuvre des projets pour améliorer et renforcer le niveau de Cybersécurité et la gestion des risques IT de l’Entité, conformément aux objectifs du Groupe et aux exigences des régulateurs.
• Mettre en oeuvre une surveillance et une veille afin d’anticiper les risques de Cybersécurité et les autres risques IT liés aux technologies utilisées au sein de l’Entité.
• Veiller à ce que la Cybersécurité et la gestion des risques IT soient intégrés au processus de gestion de projets de l’Entité en fournissant les politiques et les pratiques appropriées en matière de sécurité de l’information et de gestion des risques IT.
• Collaborer avec le service achat et juridique de l’Entité pour veiller à ce que les exigences en matière de sécurité de l’information et de gestion des risques IT soient incluses dans les contrats avec des tiers.

3.      ASSISTER ET GERER LES CRISES CYBER

• S’assurer de la réaction aux incidents Cyber en lien avec le CSIRT Groupe.
• Coordonner les interventions en cas d’incidents Cybersécurité et de crises et veiller à ce que les services essentiels de l’Entité soient rétablis.
• Élaborer et suivre les plans d’actions post-incidents.

4.      SUPERVISER LA SECURITE DE LA PRODUCTION IT

• Intervenir auprès des équipes IT de l’Entité (développeurs, administrateurs, utilisateurs, etc.) et sur la
• production IT afin de sécuriser les données clients, les données et les actifs IT de l’Entité tant au niveau technique qu’organisationnel.
• Fournir une expertise et un support Cybersécurité aux équipes IT de l’Entité et à la production informatique.
• Participer aux comités d'architecture de niveau Entité, dans le but de connaître l’exposition aux risques IT et fournir son expertise et/ou sa validation.
• Réaliser des contrôles en interne auprès de la production IT et des fournisseurs afin de s’assurer que les mesures de Cybersécurité et de gestion des risques IT sont prises en compte et appliquées correctement et que les données clients de l’Entité et ses actifs IT sensibles sont protégés.
• Par délégation du CISO Groupe, approuver le traitement des risques Cybersécurité non-majeurs.

5.      RENDRE COMPTE DE LA CYBERSECURITE ET DES RISQUES IT DE L’ENTITE

• Rendre compte au DSI de l’Entité, et le cas échéant au DSI Groupe et au CISO Groupe, de l’avancement de la mise en oeuvre du programme Groupe de Cybersécurité et des projets de remédiation des risques IT dans l’Entité.
• Participer aux points de synchronisation avec la fonction Groupe de gestion des risques IT et y transmettre les besoins, les suggestions et les bonnes pratiques.
• Assurer une gestion des risques de Cybersécurité et des risques IT de l’Entité, un suivi régulier de ces risques avec leurs parties prenantes (Métier, équipes IT, production IT ou autres Tiers) et un reporting auprès de la Direction et des fonctions de contrôles de l’Entité.
• Fournir la vision consolidée des risques IT au sein de l’Entité.
• Collecter les coûts de Cybersécurité de l’Entité, suivre les écarts et fournir une vision consolidée du budget Cybersécurité au niveau du Groupe.
• Communiquer les réponses de l’Entité aux demandes des régulateurs locaux, notamment la Banque Centrale du Maroc et la DGSSI (*) sur les sujets de Cybersécurité et gestion des risques IT.

(*) DGSSI : Direction Générale de la Sécurité des Systèmes d’Informations, organe émanent de l’Administration de la Défense Nationale du Royaume du Maroc

METTRE EN PLACE UN RESEAU AUTOUR DE LA CYBERSECURITE ET DES RISQUES IT ET COMMUNIQUER LA VISION

• Organiser les comités avec les responsables des risques IT de l’Entité et participer aux comités réguliers organisés par le CISO Groupe.
• Créer les réseaux internes nécessaires entre les équipes de sécurité IT, les responsables de risques IT, les responsables métiers, les fonctions de contrôle (Conformité, RISK, Inspection Générale) et les équipes de gestion RH pour assurer l’alignement nécessaire.
• Assurer la liaison avec les organismes externes, comme les organismes d’application de la loi et d’autres organismes consultatifs, au besoin, pour veiller à ce que l’Entité maintienne une solide posture de Cybersécurité et gestion des risques IT et soit bien au fait des menaces et risques cernés par ces organismes, en concertation avec les actions du Regional CISO.
• Être en contact avec des pairs externes pour traiter des tendances, des constatations et des risques communs en matière de Cybersécurité et de risques IT.
• Mettre en oeuvre un programme ciblé de sensibilisation et de formation à la sécurité de l’information et la gestion des risques IT pour tous les employés de l’Entité et plus particulièrement pour la filière IT et les lignes métiers.
• Assurer une gestion efficace et pérenne des ressources humaines Cyber au sein de l’Entité : anticipation dans la gestion des changements de postes cyber en interne, développement des compétences, et amélioration de l’attractivité de la filière cyber locale.

Profil

• Minimum de 15 ans d'expérience dans une combinaison de fonctions de gestion des risques, de sécurité de l'information et de développement informatique ou d'exploitation (au moins cinq ans dans un rôle de leadership senior management)
•  Excellentes compétences en communication écrite et verbale, compétences interpersonnelles et collaboratives, et capacité à communiquer sur la sécurité de l'information et les concepts liés aux risques à des publics techniques et non techniques à divers niveaux hiérarchiques, allant des membres de conseil d'administration aux spécialistes techniques
•  Capacité à diriger et à motiver l'équipe de sécurité de l'information pour atteindre les objectifs tactiques et stratégiques, même lorsqu'il n'existe que des lignes de reporting fonctionnel.

Compétences métiers

• Cyber Sécurité et outils de sécurité
• Connaissance des normes de contrôle interne et audit
• Principaux langages de développement informatiques
• Savoir auditer des systèmes d’information
• Capacité d’analyse, de planification, de coordination et de pilotage projet
• Avoir la maîtrise technique des systèmes informatiques locaux en place

Compétences comportementales

• Capacité à agir calmement et avec compétence dans des situations de forte pression et de stress élevé
• Maîtrise de l'influence des Entités et des décisions lorsqu’il n'existe pas de structures formelles de “reporting”, mais qu’il est vital d'atteindre le résultat souhaitable
• Doit être un penseur critique, avec de solides compétences en résolution de problèmes
• Capacité d’organisation
• Capacité à synthétiser / simplifier
• Capacité à communiquer - à l’oral et par écrit.

Compétences techniques

• ISACA CRISC, CISA
• ISO31000, ISO27005
• Toute Certification Technique est un plus (ISC2 CCSP, CISSP, ISACA CISM, CEH, Cisco, CompTIA…)