Le titulaire du poste a pour mandat d’assurer la gestion des risques qui pourraient avoir des impacts négatifs sur les systèmes d’informations de ProFin pour répondre aux besoins des clients et des collaborateurs en maintenant l’intégrité et le caractère confidentiel de leurs informations et données financières. Ceci en appui aux différentes fonctions de ProFin et de ses filiales NAOS et ProCroissance. La gestion des risques de sécurité technologiques comprend : le soutien de la gouvernance des risques en matière de sécurité informatique, l'identification, la mesure, la surveillance, et la prévention des risques technologiques en temps opportun. Le Responsable de la Sécurité Informatique veille également à la conformité de ProFin aux exigences réglementaires établies par la Banque de la République d’Haïti (BRH) en matière de sécurité informatique en particulier et en matière de sécurité technologique en général.

Il collabore aussi avec le Directeur des Risques et de la Conformité, principal point de contact avec les autorités règlementaires. Il veille particulièrement sur tous les aspects de sécurité technologiques qui concernent l’AML, KYC et/ou les normes prudentielles. Il est garant de la mise en œuvre de la stratégie définie en la matière avec la Direction Générale ainsi que de la qualité de traitement des opérations par ses équipes (le cas échéant) et du respect des procédures. Il est chargé de veiller à ce qu'une fonction de sécurité informatique soit en place et de s'assurer que cette dernière soit en phase avec le cadre de gestion des risques choisi par ProFin.

Il assure la mise en œuvre de la politique de sécurité informatique du Groupe ProFin et veille à sa bonne adaptation aux spécificités de la promotion des investissements. Partenaire des différents intervenants, il accompagne le développement et la réalisation des opérations dans le respect des principes de sécurité et de prévention des risques de sécurité technologique au sein du Groupe ProFin.

Il aura en autres pour responsabilités de :
• Réaliser des revues périodiques (audits) du système de sécurité, directement ou avec l’aide de prestataires ;
• Procéder régulièrement à des tests d’intrusions des différents systèmes et plateformes d’information de ProFin, directement ou à l’aide de prestataires ;
• S’assurer que les systèmes d’informations et technologiques de ProFin répondent aux standards internationaux de sécurité minimale, particulièrement en ce qui a trait à la protection et l’accès des données de la clientèle et de l’institution. Ceci s’étend également à ce qui concerne la protection de l’accès physique aux systèmes d’informations (hardware et réseaux) ;
• S’assurer de l’obtention et du maintien des certifications de sécurité de tous les systèmes d’information de ProFin, particulièrement ceux dédiés à la clientèle et ses transactions financières ;
• Analyser les risques, les dysfonctionnements, et identifier les opportunités d’amélioration des systèmes de sécurité technologiques ;
• Définir et faire évoluer la politique de sécurité des systèmes d'information du Groupe (PSSI) ;
• Etablir un plan de prévention des risques informatiques et un plan de continuité d’activité (PCA) (ou plan de maintien en conditions opérationnelles du S.I.) ;
• Participer à la définition et au contrôle de la gestion des habilitations ;
• Participer au comité des risques (CAGR de ProFin) ;
• Faire appliquer les normes et standards de sécurité ;
• Elaborer et suivre des tableaux de bord des incidents sécurité ;
• Superviser ou auditer les programmes de sauvegarde (back-up) ;
• Investiguer tout incident de sécurité et identifier les causes et faiblesses et faire des recommandations à ICT afin de l’accompagner dans le rétablissement rapide des services, ou pour la régularisation de la situation ;
• Élaborer une politique de classification des données et s'assurer que les données informatiques sont conservées dans les conditions appropriées à leur classification ;
• S’assurer que l'approche SDLC soit prise en compte dans le développement des logiciels informatiques ;
• S’assurer que la sécurité soit intégrée dans la conduite des projets informatiques ;
• Rédiger une procédure qui tient compte de l'approche SDLC dans le développement des systèmes informatiques ;
• Rédiger une politique qui tient compte du CIA (confidentialité, Intégrité et disponibilité) dans la conduite des projets informatiques ;
• Assurer une veille technologique, de manière à garantir la sécurité logique et physique des systèmes d’informations ;
• Réaliser le référentiel de sécurité, l’actualiser régulièrement, en assurer la diffusion et veiller à son application.
Gouvernance des Risques
• Veiller à ce que le Groupe ProFin dispose d'une politique de sécurité informatique écrite et approuvée par le conseil d’administration applicable à ProFin ;
• S’assurer que cette dernière est en conformité avec l la réglementation en vigueur établie par la BRH et/ou toute autre instance de règlementation à laquelle ProFin doit se soumettre ;
• Établir une cartographie des risques technologiques et de la sécurité informatique ;
• Collaborer avec l'audit interne pour s'assurer que l 'approche d'audit basée sur les risques tient compte de la cartographie des risques élaborée, le cas échéant, et à défaut de cette dernière que les risques bruts et résiduels considérés sont passés en revue et validés de concert avec l’audit interne. Dans le cadre de l'amélioration continue, participer à l’examen des conclusions des audits internes pour aider à identifier les domaines de risque existants ou potentiels à traiter ;
• Participer pleinement à l'élaboration et aux tests réguliers des Plans de Continuité des Activités (PCA) et de reprise après sinistre du Groupe ;
• Contribuer à l’établissement et la promotion au sein de l'institution d’une culture qui met l'accent sur la sécurité technologique et les risques qui en découlent, particulièrement ceux impactant la réputation, les résultats financiers, la conformité et les opérations de ProFin.
Identification et mesure des risques
• S'assurer que les principaux risques technologiques sont identifiés et inclus dans les modèles de cartographie des risques ;
• En collaboration avec l’ICT, la SPO et les utilisateurs des systèmes d’informations, identifier et/ou élaborer des mesures quantitatives pour chaque risque technologique ainsi que des limites (approuvées par et conformément à l’appétence pour le risque énoncées par le conseil d’administration et soumises à des exigences réglementaires minimales) à partir desquelles l’exposition au risque peut être mesurée.
Prévention des risques
• Travailler avec les concernés pour identifier les contrôles visant à réduire la probabilité qu’un risque se matérialise. Ce travail constituera un sous- ensemble de contrôles faisant l’objet d’audits ;
• Identifier des mesures quantitatives (telles que les rapports d’exception) pour aider les responsables fonctionnels à tester l’efficacité des contrôles en place, tout en sachant que les contrôles relèvent de leur responsabilité première ;
• Concevoir des plans d’action correctifs lors d’une exposition au-delà des limites des risques établies ou lors de l’exécution de scénarios de stress tests ;
• Répondre aux besoins des différents départements dans le développement d’une relation de conseil forte et apporter son expertise à celles-ci ;
• Identifier les risques majeurs et apporter les solutions en matière de structures de contrôle visant à les réduire, tel que défini au niveau stratégique ;
• Analyser les risques en continu et identifier les facteurs de mitigations incluant une préparation à un retournement du marché.
• Concevoir et maintenir à jour un programme de formation et de « awareness » auprès du personnel en matière de sécurité informatique.
Suivi des risques
• S’assurer d’effectuer une veille des incidents sur les marchés à l’échelle nationale et internationale et des investissements et établir des scénarios probables en fonction des tendances observées ou des disruptions potentielles ;
• Se tenir au courant des activités au sein du Groupe ProFin et de la conjoncture des juridictions qui peuvent avoir un impact sur la capacité de l'institution à fonctionner avec succès en matière de technologie ;
• Participer en amont et en continu aux discussions entourant l’acquisition et le développement d’applications de solution, et de projets technologiques ;
• Produire une note de risque fondée sur un cadre analytique et de gouvernance standardisé ;
• Assister lors des revues succinctes des partenaires potentiels en matière de solutions technologiques en matière de sécurité ;
• Agir à titre d’expert à l’élaboration et à l’amélioration des systèmes d’estimation et d’encadrement des risque technologiques ;
• Préparer un rapport mensuel et trimestriel sur les risques destiné au comité de direction et au comité d’audit et de gestion des risques (CAGR), qui donne un aperçu des risques auxquels l'institution est confrontée, ainsi que des actions recommandées ;
• Élaborer des rapports de risques hebdomadaires et, le cas échéant, quotidiens pour chaque fonction qui fournissent aux responsables fonctionnels les mesures quantitatives identifiées en ce qui concerne l'exposition aux risques et la conformité des contrôles ;
• Veiller au respect de toutes les exigences de la Banque de la République d’Haïti conformément aux dispositions de la règlementation bancaire applicable en matière de gestion des risques et de conformité et prendre les mesures correctives appropriées à l’égard de toute violation.
Escalade des risques
• Discuter des problèmes spécifiques avec les chefs fonctionnels responsables et obtenir une explication écrite dans le cas où les indicateurs de risque sont en dehors des limites établies, ou s'il y a une violation des contrôles ;
• Mettre en évidence dans tout rapport sur les risques tant au niveau de la Direction Générale que du CAGR le non-respect des limites de contrôle et s'assurer que l'audit interne est alerté.

• Formation de niveau Bac +5 spécialisée en sécurité informatique et/ou télécoms, sécurité des systèmes informatiques et des réseaux, sécurité, cryptologie et codage de l’information…
• Au moins 5 à 7 ans d’expérience en sécurité informatique sont généralement requis car il s’agit de postes nécessitant une certaine maturité ainsi qu’une bonne connaissance des systèmes d’information ;
• Bonne connaissance de la stratégie du Groupe, de son organisation, de ses métiers et des enjeux ;
• Bonne connaissance du système d'information global, de l’urbanisation et de l’architecture du SI et des interfaces en applications ;
• Maîtrise des normes et procédures de sécurité et des outils et technologies qui s'y rapportent : firewall, antivirus, cryptographie, serveurs d'authentification, tests d’intrusion, filtrages d'URL...
• Connaissance des principaux prestataires du marché de la sécurité informatique (éditeurs, sociétés de service...) ;
• Bonne connaissance des réseaux et systèmes ;
• Bonne connaissance des outils d'évaluation et de maîtrise des risques (méthode Marion MEHARI…) ;
• Connaissance des méthodologies (ex OWASP…) ;
• Connaissance des normes ISO (ISO 27001, 27002, 27005) ;

• Bonne connaissance de la stratégie du Groupe, de son organisation, de ses métiers et des enjeux ;
• Bonne connaissance du système d'information global, de l’urbanisation et de l’architecture du SI et des interfaces en applications ;
• Sens de la confidentialité, intégrité et éthique car le responsable sécurité a accès à des informations sensibles et stratégiques pour le Groupe ;
• Rigueur, capacité d’anticipation et sens de la méthode afin de mettre en place des programmes de sécurité efficients ;
• Pédagogie pour expliquer aux utilisateurs les règles à respecter pour ne pas mettre en danger le système d’information de l’entreprise ;
• Diplomatie, écoute, sens du dialogue, persuasion, pour convaincre les utilisateurs des risques encourus et du bien-fondé des procédures mises en place ;
• Résistance au stress pour faire face à des situations de crise nombreuses et inattendues (intrusion, virus, problème de sécurité « matérielle » (incendies, fuites d’eau…) et à prioriser les actions à mener ;
• Curiosité, car le responsable sécurité doit, en permanence, se tenir au courant des nouveaux risques et des nouvelles parades (virus et antidotes) ;
• Force de proposition pour faire évoluer la stratégie, ainsi que les pratiques ;
• Capacité à travailler et à s’adapter à tous les niveaux d’interlocuteurs de l’entreprise en adaptant son langage et son niveau d’explication à la population avec laquelle il est amené à travailler.

C’est un poste à temps plein, basé à Pétion-Ville.

Lettre de motivation et Curriculum Vitae avec 3 références professionnelles ;
Copies des diplômes et copie une pièce d’identité avec le NIF ;
Certificats de travail pour toutes les expériences mentionnées dans le CV ;
Tout autre document susceptible de compléter le dossier et prouver les expériences (attestations de travail, ect).

Les personnes qui ne répondent pas à ces critères ne seront pas sélectionnés pour le poste. Seuls les candidats sélectionnés seront contactés.

2023-07-15