KissKissBankBank&Co souhaite proposer efficacement son offre pour augmenter ses parts de marché sur son secteur et son impact sociétal et environnemental, et confirmer son positionnement et son image d’engagement citoyen aligné sur la stratégie du Groupe LBP. Le développement de KissKissBankBank&Co, 100 % digitale nécessite de maîtriser la sécurité de ses systèmes d’information. C’est pour soutenir cette dynamique que l’équipe s’agrandit avec le recrutement de son RSSI.

Rattaché fonctionnellement à la Direction des risques, Contrôles et Conformité, le RSSI rejoint la communauté des RSSI du Groupe La Banque Postale. Son rôle est d’assurer la sécurité des SI de KissKissBankBank & Co : protéger les SI selon l’approche par les risques.

Les principales missions du poste sont les suivantes :

1. Définir et implémenter la Politique de Sécurité des Systèmes d’Information (PSSI) de KissKissBankBank & Co, alignée avec la PSSI et les priorités stratégiques du Groupe La Banque Postale, la rendre opérationnelle, suivre son respect et la faire évoluer avec les responsables informatiques :
   • Rendre compte au Comité des risques, Contrôle et Conformité (CRC) de KissKissBankBank & Co et tout autre comité de la gouvernance du groupe La Banque Postale (filière Cybersécurité en cours de création).
   • Définir, mettre en œuvre et animer la gouvernance Sécurité SI de KissKissBankBank & Co en lien avec les Tech et la Direction des risques KissKissBankBank & co.

2. Pilotage des risques : Planifier, Implémenter et faire évoluer le Système de Management de la Sécurité de l’Information (SMSI) des 4 filiales de KKBB&Co, en alignement avec le SMSI du Groupe La Banque Postale :
   • Adapter le dispositif de maîtrise des risques sécurité en relation avec les responsables informatiques : Définir et aligner le Dispositif de Maîtrise des Risques (DMR) sur la criticité des risques (Documentation, Formation, Plans de contrôles)
   • Identifier les plans d’actions à mettre en oeuvre et les piloter avec les responsables informatiques
   • Evaluer les risques de sécurité SI
   • Mettre à jour la cartographie des risques dans l’outil du Groupe La Banque Postale (ORIS) en fonction de l’évolution de l’exposition au risque de chacune des plateformes

3. Protection opérationnelle du SI, en lien avec les responsables informatiques :
   • Mettre en place des mécanismes de protection des infrastructures , des systèmes et des données.
   • S’assurer de la gestion des outils de protection (Antivirus, Proxy, Firewall, etc.) par les responsables informatiques
   • Gestion des incidents de sécurité : Investigation, Suivi et résolution
   • Communication aux parties intéressées et application des actions correctrices
   • Reporting des incidents de sécurité

4. Accompagnement des métiers :
   • Gestion des accès et habilitations sensibles
   • Mise en œuvre de la sécurité dans les projets (Privacy by design, Privacy by default) en lien avec les experts RGPD

5. Documentation :
   • Identifier la documentation à rédiger pour fiabiliser les process de sécurité et assurer la continuité d’activité
   • Recenser la documentation

6. Contrôles :
   • Piloter le plan de contrôles de premier niveau (C1N) sur les risques de sécurité sous la responsabilité des responsables informatiques
   • Dérouler les contrôles de second niveau (C2N) sur les risques de sécurité pour mesurer la fiabilité des contrôles de premier niveau et garantir la présence des preuves probantes (les C2N sont délégués à la DSI BR)

7. Sensibilisation des collaborateurs aux enjeux de sécurité
   • Sensibilisation de l’ensemble des collaborateurs (on-boarding)
   • Identification des besoins de formations spécifiques des développeurs au code sécurisé et pilotage de ces formations
   • Identification des besoins de formations spécifiques des collaborateurs de support/opération au RGPD, au social engineering, etc., et pilotage de ces formations
   • Sensibilisation continue aux enjeux de sécurité
   • Conseil et assistance en interne

8. Audits et contrôles :
   • Audits internes (Inspection Générale) et externes (Superviseurs)
   • Réponse aux questions des clients

9. Veille technologique et réglementaire

Compétences techniques

• 2 ans d’expérience minimum
• connaissance des environnements réglementés (fintech, banque, assurance)
• Expérience de la gestion des aspects techniques et de gouvernance de la classification des données, de la protection des données, de la cybersécurité, de la gestion des accès, du SIEM, des incidents

Compétences comportementales

• Rigueur
• Autonomie
• Capacité d’analyse et de synthèse
• Qualités relationnelles d’adaptation à l’univers des entités innovantes de petite taille, et à des situations complexes ou urgentes