Introduction
Le titulaire du poste a pour mandat d’assurer la gestion des risques qui pourraient avoir des impacts négatifs sur les systèmes d’informations de ProFin pour répondre aux besoins des clients et des collaborateurs en maintenant l’intégrité et le caractère confidentiel de leurs informations et données financières. Ceci en appui aux différentes fonctions de ProFin et de ses filiales NAOS et ProCroissance. La gestion des risques de sécurité technologiques comprend : le soutien de la gouvernance des risques en matière de sécurité informatique, l'identification, la mesure, la surveillance, et la prévention des risques technologiques en temps opportun. Le Responsable de la Sécurité Informatique veille également à la conformité de ProFin aux exigences réglementaires établies par la Banque de la République d’Haïti (BRH) en matière de sécurité informatique en particulier et en matière de sécurité technologique en général.
Il collabore aussi avec le Directeur des Risques et de la Conformité, principal point de contact avec les autorités règlementaires. Il veille particulièrement sur tous les aspects de sécurité technologiques qui concernent l’AML, KYC et/ou les normes prudentielles. Il est garant de la mise en œuvre de la stratégie définie en la matière avec la Direction Générale ainsi que de la qualité de traitement des opérations par ses équipes (le cas échéant) et du respect des procédures. Il est chargé de veiller à ce qu'une fonction de sécurité informatique soit en place et de s'assurer que cette dernière soit en phase avec le cadre de gestion des risques choisi par ProFin.
Il assure la mise en œuvre de la politique de sécurité informatique du Groupe ProFin et veille à sa bonne adaptation aux spécificités de la promotion des investissements. Partenaire des différents intervenants, il accompagne le développement et la réalisation des opérations dans le respect des principes de sécurité et de prévention des risques de sécurité technologique au sein du Groupe ProFin.
Fonctions
Il aura en autres pour responsabilités de :
• Réaliser des revues périodiques (audits) du système de sécurité, directement ou avec l’aide de prestataires ;
• Procéder régulièrement à des tests d’intrusions des
différents systèmes et plateformes d’information de
ProFin, directement ou à l’aide de prestataires ;
• S’assurer que les systèmes d’informations et
technologiques de ProFin répondent aux standards
internationaux de sécurité minimale, particulièrement
en ce qui a trait à la protection et l’accès des données
de la clientèle et de l’institution. Ceci s’étend
également à ce qui concerne la protection de l’accès
physique aux systèmes d’informations (hardware et
réseaux) ;
• S’assurer de l’obtention et du maintien des
certifications de sécurité de tous les systèmes
d’information de ProFin, particulièrement ceux dédiés
à la clientèle et ses transactions financières ;
• Analyser les risques, les dysfonctionnements, et
identifier les opportunités d’amélioration des
systèmes de sécurité technologiques ;
• Définir et faire évoluer la politique de sécurité des
systèmes d'information du Groupe (PSSI) ;
• Etablir un plan de prévention des risques
informatiques et un plan de continuité d’activité
(PCA) (ou plan de maintien en conditions
opérationnelles du S.I.) ;
• Participer à la définition et au contrôle de la gestion
des habilitations ;
• Participer au comité des risques (CAGR de ProFin) ;
• Faire appliquer les normes et standards de sécurité ;
• Elaborer et suivre des tableaux de bord des
incidents sécurité ;
• Superviser ou auditer les programmes de
sauvegarde (back-up) ;
• Investiguer tout incident de sécurité et identifier les
causes et faiblesses et faire des recommandations à
ICT afin de l’accompagner dans le rétablissement
rapide des services, ou pour la régularisation de la
situation ;
• Élaborer une politique de classification des données
et s'assurer que les données informatiques sont
conservées dans les conditions appropriées à leur
classification ;
• S’assurer que l'approche SDLC soit prise en compte
dans le développement des logiciels informatiques ;
• S’assurer que la sécurité soit intégrée dans la
conduite des projets informatiques ;
• Rédiger une procédure qui tient compte de
l'approche SDLC dans le développement des
systèmes informatiques ;
• Rédiger une politique qui tient compte du CIA
(confidentialité, Intégrité et disponibilité) dans la
conduite des projets informatiques ;
• Assurer une veille technologique, de manière à
garantir la sécurité logique et physique des systèmes
d’informations ;
• Réaliser le référentiel de sécurité, l’actualiser
régulièrement, en assurer la diffusion et veiller à son
application.
Gouvernance des Risques
• Veiller à ce que le Groupe ProFin dispose d'une
politique de sécurité informatique écrite et approuvée
par le conseil d’administration applicable à ProFin ;
• S’assurer que cette dernière est en conformité avec l
la réglementation en vigueur établie par la BRH et/ou
toute autre instance de règlementation à laquelle
ProFin doit se soumettre ;
• Établir une cartographie des risques technologiques
et de la sécurité informatique ;
• Collaborer avec l'audit interne pour s'assurer que l 'approche d'audit basée sur les risques tient compte
de la cartographie des risques élaborée, le cas
échéant, et à défaut de cette dernière que les risques
bruts et résiduels considérés sont passés en revue et
validés de concert avec l’audit interne. Dans le cadre
de l'amélioration continue, participer à l’examen des
conclusions des audits internes pour aider à identifier
les domaines de risque existants ou potentiels à
traiter ;
• Participer pleinement à l'élaboration et aux tests
réguliers des Plans de Continuité des Activités (PCA)
et de reprise après sinistre du Groupe ;
• Contribuer à l’établissement et la promotion au sein
de l'institution d’une culture qui met l'accent sur la
sécurité technologique et les risques qui en
découlent, particulièrement ceux impactant la
réputation, les résultats financiers, la conformité et les
opérations de ProFin.
Identification et mesure des risques
• S'assurer que les principaux risques technologiques
sont identifiés et inclus dans les modèles de cartographie des risques ;
• En collaboration avec l’ICT, la SPO et les utilisateurs
des systèmes d’informations, identifier et/ou élaborer
des mesures quantitatives pour chaque risque
technologique ainsi que des limites (approuvées par
et conformément à l’appétence pour le risque
énoncées par le conseil d’administration et soumises
à des exigences réglementaires minimales) à partir
desquelles l’exposition au risque peut être mesurée.
Prévention des risques
• Travailler avec les concernés pour identifier les
contrôles visant à réduire la probabilité qu’un risque
se matérialise. Ce travail constituera un sous-
ensemble de contrôles faisant l’objet d’audits ;
• Identifier des mesures quantitatives (telles que les
rapports d’exception) pour aider les responsables
fonctionnels à tester l’efficacité des contrôles en
place, tout en sachant que les contrôles relèvent de
leur responsabilité première ;
• Concevoir des plans d’action correctifs lors d’une
exposition au-delà des limites des risques établies ou
lors de l’exécution de scénarios de stress tests ;
• Répondre aux besoins des différents départements
dans le développement d’une relation de conseil forte
et apporter son expertise à celles-ci ;
• Identifier les risques majeurs et apporter les
solutions en matière de structures de contrôle visant
à les réduire, tel que défini au niveau stratégique ;
• Analyser les risques en continu et identifier les
facteurs de mitigations incluant une préparation à un
retournement du marché.
• Concevoir et maintenir à jour un programme de
formation et de « awareness » auprès du personnel
en matière de sécurité informatique.
Suivi des risques
• S’assurer d’effectuer une veille des incidents sur les
marchés à l’échelle nationale et internationale et des
investissements et établir des scénarios probables en
fonction des tendances observées ou des disruptions
potentielles ;
• Se tenir au courant des activités au sein du Groupe
ProFin et de la conjoncture des juridictions qui
peuvent avoir un impact sur la capacité de l'institution
à fonctionner avec succès en matière de technologie ;
• Participer en amont et en continu aux discussions
entourant l’acquisition et le développement
d’applications de solution, et de projets
technologiques ;
• Produire une note de risque fondée sur un cadre
analytique et de gouvernance standardisé ;
• Assister lors des revues succinctes des partenaires
potentiels en matière de solutions technologiques en
matière de sécurité ;
• Agir à titre d’expert à l’élaboration et à l’amélioration
des systèmes d’estimation et d’encadrement des
risque technologiques ;
• Préparer un rapport mensuel et trimestriel sur les
risques destiné au comité de direction et au comité
d’audit et de gestion des risques (CAGR), qui donne
un aperçu des risques auxquels l'institution est
confrontée, ainsi que des actions recommandées ;
• Élaborer des rapports de risques hebdomadaires et,
le cas échéant, quotidiens pour chaque fonction qui
fournissent aux responsables fonctionnels les
mesures quantitatives identifiées en ce qui concerne
l'exposition aux risques et la conformité des contrôles ;
• Veiller au respect de toutes les exigences de la
Banque de la République d’Haïti conformément aux
dispositions de la règlementation bancaire applicable
en matière de gestion des risques et de conformité et
prendre les mesures correctives appropriées à
l’égard de toute violation.
Escalade des risques
• Discuter des problèmes spécifiques avec les chefs
fonctionnels responsables et obtenir une explication
écrite dans le cas où les indicateurs de risque sont en
dehors des limites établies, ou s'il y a une violation
des contrôles ;
• Mettre en évidence dans tout rapport sur les risques
tant au niveau de la Direction Générale que du CAGR
le non-respect des limites de contrôle et s'assurer
que l'audit interne est alerté.
Qualifications réquises
• Formation de niveau Bac +5 spécialisée en sécurité
informatique et/ou télécoms, sécurité des systèmes
informatiques et des réseaux, sécurité, cryptologie
et codage de l’information…
• Au moins 5 à 7 ans d’expérience en sécurité
informatique sont généralement requis car il s’agit
de postes nécessitant une certaine maturité ainsi
qu’une bonne connaissance des systèmes
d’information ;
• Bonne connaissance de la stratégie du Groupe, de
son organisation, de ses métiers et des enjeux ;
• Bonne connaissance du système d'information
global, de l’urbanisation et de l’architecture du SI et
des interfaces en applications ;
• Maîtrise des normes et procédures de sécurité et
des outils et technologies qui s'y rapportent : firewall,
antivirus, cryptographie, serveurs d'authentification,
tests d’intrusion, filtrages d'URL...
• Connaissance des principaux prestataires du
marché de la sécurité informatique (éditeurs,
sociétés de service...) ;
• Bonne connaissance des réseaux et systèmes ;
• Bonne connaissance des outils d'évaluation et de
maîtrise des risques (méthode Marion MEHARI…) ;
• Connaissance des méthodologies (ex OWASP…) ;
• Connaissance des normes ISO (ISO 27001, 27002,
27005) ;
Conditions particulières
• Bonne connaissance de la stratégie du Groupe, de
son organisation, de ses métiers et des enjeux ;
• Bonne connaissance du système d'information
global, de l’urbanisation et de l’architecture du SI et
des interfaces en applications ;
• Sens de la confidentialité, intégrité et éthique car le
responsable sécurité a accès à des informations
sensibles et stratégiques pour le Groupe ;
• Rigueur, capacité d’anticipation et sens de la
méthode afin de mettre en place des programmes
de sécurité efficients ;
• Pédagogie pour expliquer aux utilisateurs les règles
à respecter pour ne pas mettre en danger le
système d’information de l’entreprise ;
• Diplomatie, écoute, sens du dialogue, persuasion,
pour convaincre les utilisateurs des risques
encourus et du bien-fondé des procédures mises en
place ;
• Résistance au stress pour faire face à des situations
de crise nombreuses et inattendues (intrusion, virus,
problème de sécurité « matérielle » (incendies,
fuites d’eau…) et à prioriser les actions à mener ;
• Curiosité, car le responsable sécurité doit, en
permanence, se tenir au courant des nouveaux
risques et des nouvelles parades (virus et antidotes) ;
• Force de proposition pour faire évoluer la stratégie,
ainsi que les pratiques ;
• Capacité à travailler et à s’adapter à tous les
niveaux d’interlocuteurs de l’entreprise en adaptant
son langage et son niveau d’explication à la
population avec laquelle il est amené à travailler.
Conditions de travail
C’est un poste à temps plein, basé à Pétion-Ville.
Dossier de candidature doit avoir ...
Lettre de motivation et Curriculum Vitae avec 3 références professionnelles ;
Copies des diplômes et copie une pièce d’identité avec le NIF ;
Certificats de travail pour toutes les expériences mentionnées dans le CV ;
Tout autre document susceptible de compléter le dossier et prouver les expériences (attestations de travail, ect).
Autres remarques
Les personnes qui ne répondent pas à ces critères ne seront pas sélectionnés pour le poste. Seuls les candidats sélectionnés seront contactés.
Date limite
2023-07-15
|