Architecte Sécurité (F/H)

Définition de l'architecture de sécurité, politiques de sécurité, gestion des identités et des accès (IAM/PAM), outillage M365/Entra ID/Azure, gouvernance sécurité

Contexte de la mission

Il s'agit de définir et de mettre en œuvre une politique de sécurité d'un SI pour une nouvelle société exploitant plusieurs domaines de montage en Savoie (Station de Ski renommée). Cette société est issue de la fusion de 3 entités. Le projet vise à créer un nouveau système d'information sécurisé et à l'état de l'art.

La société est composée d'environ 150 salariés et 500 saisonniers. De nombreux prestataires doivent intervenir sur le système d'information. Elle met en place un SI sécurisé à l'état de l'art avec des acteurs complémentaires (réseau, postes de travail M365/Entra ID, Cloud Azure).

Il conviendra de mettre en place les mesures pour définir le cadre de gestion des comptes et des droits d'accès pour les internes comme pour les externes. Il s'agira également de définir les outils à mettre en place pour assurer la sécurité du SI (technique, outil de formation).

Il conviendra de suivre les principaux acteurs du SI :

• Prestataire pour la mise en place du réseau

• Prestataire pour la gestion des postes de travail (environnement Windows, Office 365, Entra ID)

• Prestataire pour la gestion des environnements cloud (Azure)

La mission a pour objectif de définir l'architecture de sécurité, élaborant notamment les politiques de sécurité et la gestion des accès. Elle s'intègre dans un projet plus large de spécification de la gouvernance du SI, décrivant notamment les processus principaux, les rôles et responsabilités associés, les modalités de gestion de la documentation.

Objectifs de la mission

• Définir et cadrer l'architecture sécurité et les politiques (sécurité, IAM, accès, BYOD/COPE, prestataires)

• Concevoir les processus JML (Joiner-Mover-Leaver), la gestion des accès internes/externes

• Recommander/paramétrer les outils de sécurité (techniques & sensibilisation)

• Intégration : contribution au référentiel de gouvernance du SI (rôles & responsabilités, processus, gestion documentaire)

Principales missions et tâches à effectuer

1. Stratégie & Architecture de sécurité (Zero Trust)

• Définir les principes directeurs (Zero Trust, segmentation, chiffrement, "least privilege", "verify explicitly")

• Cadrer l'architecture cible sécurité pour réseau, postes (Windows/Mac), M365/Entra ID, Azure (landing zones, policies, identités, secrets, logging)

2. Politiques & normes

• Rédiger/adapter les politiques de sécurité (accès, mots de passe/MFA/passkeys, postes, mobilité, prestataires, classification des données, sauvegardes, gestion des vulnérabilités, logging & monitoring, réponse à incident, continuité)

• Décliner en standards & procédures opérationnels

3. Gestion des identités & des accès (IAM / IGA / PAM)

• Concevoir les modèles d'identité (internes, saisonniers, externes) et cycles de vie JML

• Définir le modèle d'autorisations (RBAC/ABAC), accès temporaires, revues d'accès, séparation des tâches (SoD)

• Choisir/cadrer l'outillage : Entra ID (P1/P2), Conditional Access, Entra ID Governance, PAM (ex : PIM, coffre-fort de secrets), MDM/MAM (Intune), gestion des appareils/attestations

4. Coordination des prestataires

• Réseau : exigences sécurité (segmentation, SD-WAN/SASE, DNS security, IPS/IDS, filtrage, NAC)

• Postes de travail : hardening, MDM/Intune, patching, EDR/XDR, configuration M365 (Safe Links/Attachments, DLP, Defender, Purview)

• Cloud Azure : governance (CAF), landing zones, Azure Policy/Blueprints, Key Vault, Defender for Cloud, logging (Sentinel), bastion, secrets/managed identities

5. Supervision, détection & réponse

• Définir le SOC modèle (interne/externe), cas d'usage, sources de logs (M365/Azure/EDR/pare-feu), SIEM/SOAR (Microsoft Sentinel), playbooks de réponse

6. Sensibilisation & conformité

• Mettre en place un programme de formation/sensibilisation (phishing simulation, micromodules)

• Alignement aux référentiels (ISO 27001/27002, NIS2 si pertinent, EBIOS RM pour l'analyse de risques)

7. Documentation & gouvernance

• Contribuer au référentiel de gouvernance SI : rôles (RACI), processus, gestion documentaire, comités, indicateurs

Profil recherché

En plus de votre compétence technique, qui constitue votre atout principal, vous avez une capacité à vous imprégner du contexte du client et en particulier de son DSI, ce qui favorise votre autonomie, ainsi que la rapidité et la pertinence de vos analyses sur les sujets les plus sensibles. Votre sens du service vous permet d'être force de proposition face à un client rencontrant une difficulté, et votre sens de l'engagement vous motive à mettre en œuvre les moyens nécessaires pour atteindre les objectifs du projet.

Expérience requise

• 8–12 ans minimum en sécurité des SI, dont 3–5 ans en architecture sécurité ou RSSI de transition sur environnements Microsoft 365 / Entra ID / Azure

Compétences requises

• IAM / IGA / PAM : conception de modèles JML, RBAC/ABAC, campagnes de recertification, PIM/just-in-time, secrets management

• Cloud Azure & M365 : Zero Trust, Conditional Access, Defender, Purview (DLP/labeling), Intune, Sentinel, Azure Policy, Defender for Cloud

• Réseau & endpoint : segmentation, SASE, EDR/XDR, durcissement Windows, patching

• Méthodes & cadres : ISO 27001/27002, EBIOS Risk Manager; notions ITIL/COBIT; bonnes pratiques DevSecOps appréciées

• Soft skills : leadership, pédagogie, coordination multi-prestataires, rédaction claire (FR), capacité à livrer vite dans un contexte de fusion

• Langues : FR courant, EN opérationnel (documentation/outils)

Certifications appréciées

• CISSP

• CCSP

• Azure Security Engineer (AZ500)

• Azure Solutions Architect (AZ305)

• Microsoft 365 Security Administrator (SC200/300/400)

• ISO 27001 Lead Implementer/Auditor