1 – CONTEXTE
La Direction des sytèmes d’informations accompagne les enjeux stratégiques du groupe.

Au sein de la direction : Direction Cybersécurité le département a en charge l’accompagnement sécurité des projets.

2 – Description de la prestation
Prestation(s)
La prestation d’Expertise Cyber sera réalisée dans le cadre d’une obligation de moyens.

La mission comprend 3 activités :

Traiter les demandes d’expertise sécurité,
Réaliser un accompagnement sécurité auprès des métiers, MOA et CSSI (correspondant SSI),
Assister les équipes de sécurité de le DCS.
Activité 1 : Traiter les demandes d’expertise sécurité

Cette activité permet d’apporter une expertise de sécurité aux responsables projets du Groupe, pour la prise en compte des aspects généraux de sécurité et une expertise sécurité spécifique sur les domaines « Authentification » et « Protection des données ».

Les principales tâches à réaliser sont les suivantes :

Se rapprocher des Responsables Projets métier ou MOA, pour comprendre et qualifier la demande d’expertise sécurité ;
Traiter les demandes d’expertise après avoir pris connaissance des référentiels SSI du Groupe ;
Produire des rapports d’expertise SSI en réponse aux demandes ;
Analyser les demandes de dérogations.
Les demandes d’expertise peuvent parfois mettre en évidence des manques dans le référentiel SSI, ou des points d’obscurité dans les directives de sécurité existantes. Cela se traduit par :

L’élaboration, le maintien et l’évolution des principaux documents des référentiels de sécurité ;
L’élaboration de document de sécurité interne : Note de sécurité, article pour la communication interne, …
Activité 2 : Réaliser un accompagnement sécurité auprès des métiers, MOA et CSSI

Certains projets nécessitent un accompagnement dans la durée sur leurs problématiques liées à la sécurité, plutôt que de répondre à une simple demande d’expertise SSI ponctuelle. La réalisation de ce support se traduit par la réalisation des tâches suivantes :

Analyser les besoins de sécurité de projets ;
Contrôler la conformité vis-à-vis de la PSSI, des notes et points d’attention ;
Participer à des réunions de travail ou comités de pilotage ;
Organiser des comités de suivi mensuels avec les CSSI, et rédiger des comptes rendus ;
Conseiller les métiers pour des aspects organisationnels liés à la SSI ;
Donner un avis sur les analyses de risques,
Le cas échéant, remonter des alertes Sécurité aux RSSIs concernés…

Activité 3 : Assistance des équipes de sécurité de la DCS

En complément des activités de cette mission, les prestations à réaliser intègrent aussi :

La prise en charge et la tenue de nouveau dossier fonctionnel de sécurité (demandes internes, expertise, …) ;
La participation aux réunions de travail de l’équipe technique sur les domaines de la sécurité ;
Réalisation d’études de sécurité : Note de cadrage, étude préliminaire, support de présentation, …
Remarque : Toutes ces activités intègrent les tâches relatives au pilotage/ à l’organisation/ à la présentation ou au reporting des activités (organisation et animation de réunions / rédaction d’ordres du jour et de comptes rendus/ réalisation de supports de présentation/ …).

Livrables / Résultats attendus
Ordre du jour et compte-rendu de réunions
Support de présentation
Rapport d’expertise SSI
Avis de sécurité
Livrable de dérogation
Fichier de suivi des expertises SSI, des dérogations, des alertes
Processus organisationnel lié à la SSI
Directive de sécurité
Etude de sécurité
Revue d’analyse de risque
Cahier des charges, de recette, de mise en production
Reporting projet (budget, planning …)
3 – Environnements techniques
Les environnements techniques relatifs au projet sont les suivants :

La plupart des domaines fonctionnels de la SSI sont abordés, soit directement (authentification, protection des données, sécurité des développements, de l’exploitation, externalisation et sécurité dans les contrats, référentiels Sécurité des SI, sécurité opérationnelle, etc…), soit avec la contribution d’autres services de la DCS (gestion des habilitations, continuité d’activité, etc…).

4 – Compétences requises
Expert en SSI (Architecture / conseil)

Plus précisément :

Maîtrise des domaines technologiques SSI :
Chiffrement, authentification forte,
Sauvegarde,
Sécurité réseau
PKI
…
Maîtrise des normes et processus de sécurité :
ISO 27001, 27002, 27005 …
Analyse de risque EBIOS RM, Méhari, …
Politique de sécurité et directives Sécurité orientées informatique
Notion de la réglementation bancaire et juridique en matière de sécurité
Connaissance technique généraliste : architecture 3-tiers, base de données, système d’exploitation, virtualisation …
Aisance relationnelle pour l’animation de réunion
Bonne capacité rédactionnelle, pour la rédaction des directives/ politique de sécurité/ pour le référentiel SSI ou de démarche/ méthode pour la réalisation d’étude de sécurité

5 – Lieux de la prestation
Les Prestations seront réalisées dans les locaux du Client, en Ile de France.

6 – Charges et Durée
La prestation couvre un lot ferme de 60 jours et un lot optionnel de 300 jours.
Le début de la prestation est prévu pour le 7/11/2022.