Cybersecurity GRC Manager

📋 Fiche de poste — Cybersecurity GRC Manager

Contexte

Notre client est une entité essentielle au sens de la directive NIS2, intervenant dans la conception, la coordination et la mise en œuvre de projets informatiques structurants, accompagnant ses partenaires dans la définition de leur stratégie de gouvernance et de gestion des risques SI.

Dans ce cadre, le pôle Cybersécurité souhaite s'adjoindre les services d'un GRC Manager expérimenté, chargé de structurer et piloter les démarches de gouvernance, de gestion des risques et de conformité (NIS2, ISO 27001) pour le client et les coopérateurs de son secteur.

Le consultant intégrera l'équipe cybersécurité interne et collaborera étroitement avec le CISO et les équipes internes.

Mission

Dans le cadre de la mise en conformité vis-à-vis des exigences réglementaires NIS2 et de la norme ISO 27001:2022, le Cybersecurity GRC Manager renforce l'équipe sécurité pilotée par le CISO. Il/Elle prend en charge les activités opérationnelles de gouvernance, de gestion des risques et de conformité (GRC), en soutien direct au CISO et en interface avec les clients du portefeuille MSP :

• Piloter et rédiger la documentation du SMSI : politiques, procédures, plans de traitement des risques

• Accompagner les clients dans leur démarche de certification ISO 27001 (de l'analyse d'écart jusqu'à l'audit de certification)

• Assurer la préparation des audits internes et externes, le suivi des non-conformités et la mise à jour continue du SMSI

• Contribuer à la mise en œuvre de la conformité NIS2 pour les entités essentielles et importantes du périmètre

• Utiliser et administrer l'outil GRC CISO Assistant (ou équivalent) pour le suivi des contrôles, des risques et des plans d'action

Compétences en gouvernance

• Maîtrise du cycle PDCA appliqué à un SMSI (ISO 27001)

• Capacité à rédiger et maintenir une Déclaration d'Applicabilité (SOA)

• Connaissance des exigences NIS2 (entités essentielles/importantes, obligations de notification, mesures de sécurité)

• Expérience en conduite d'analyses de risques (ISO 27005 ou équivalent)

• Sensibilisation aux obligations RGPD et à leur articulation avec ISO 27001 / NIS2

Compétences techniques

• ISO 27001:2022 : maîtrise des 93 mesures de l'Annexe A, clauses 4 à 10, exigences d'audit

• Rédaction documentaire : politiques, procédures, plans de traitement des risques, rapports d'audit

• Gestion de projet : planification des jalons de conformité, suivi des plans d'action, reporting Comex

• Outils GRC : CISO Assistant, OneTrust, ServiceNow GRC, Archer ou équivalent

• Culture IT et sécurité des infrastructures (compréhension des contrôles techniques)

• Frameworks complémentaires : CIS Controls, IEC 62443, ANSSI guides sectoriels

• Connaissance des environnements MSP et architectures IT critiques (OT/IT appréciée)

Soft skills

• Rigueur documentaire

• Communication orale et écrite (direction, Comex, équipes techniques, clients)

• Écoute active et intelligence relationnelle

• Négociation et influence sans autorité hiérarchique

• Sens de la pédagogie (ISO 27001 / NIS2 auprès de non-spécialistes)

• Gestion des résistances et conduite du changement

• Autonomie et proactivité

• Orientation résultat

Expérience

• 3 à 5 ans minimum en rôle GRC, Conformité SI ou Sécurité de l'Information

• Expérience avérée dans la conduite ou le support à la certification ISO 27001 (cycle complet apprécié)

• Certification Lead Implementer ISO 27001 est un plus

• Expérience en contexte MSP, cabinet de conseil ou multi-clients appréciée

• Exposition aux secteurs réglementés (infrastructure critique, eau, énergie, santé, finance) considérée comme un atout

• Français courant à l'écrit (production documentaire intensive) ; anglais technique apprécié

Conditions

• Organisation : Présentiel privilégié (jeudi sur site) – télétravail possible pour consolidation et reporting