CISO (Chief Information Security Officer) Holding LVMH

Le CISO Holding est en charge de la cybersécurité sur le périmètre de la Holding du Groupe LVMH.

Le CISO Holding est rattaché au CISO Groupe et s’appuie sur les services et solutions de cybersécurité fournis par le Groupe à l’ensemble de ses entités. Le CISO Holding instancie, adapte et déploie les politiques, mesures, solutions et services de cybersécurité globaux dans le contexte spécifique de la Holding, en tenant compte des spécificités de ses activités, de l'organisation et des systèmes d'information de la Holding. Le CISO Holding travaille étroitement avec le CIO de la Holding pour adapter la posture cybersécurité aux spécificités de la Holding.

Le CISO Holding a pour mission de :

• Recueillir et analyser les enjeux métiers, effectuer des analyses de risques sur le périmètre de la Holding.
• Identifier les processus, assets et fournisseurs clés.
• Identifier les exigences réglementaires ou contractuelles propres à la Holding.
• Décliner les politiques de sécurité Groupe dans le contexte de la Holding, les compléter par des politiques, procédures et modes opératoires spécifiques, selon les besoins. Veiller à ce que ceux-ci soient communiquées à toutes les parties prenantes.
• Assurer le suivi de la mise en œuvre des politiques de sécurité et des exigences règlementaires.
• Assurer les validations sécurité pour les processus le nécessitant. Gérer les exceptions, en les accordant de manière appropriée, en les justifiant, en les documentant, et en les révisant régulièrement, notamment pour supprimer les exceptions temporaires.
• Spécifier et coordonner des audits et revues de sécurité techniques et organisationnels pour les processus, systèmes et applications.
• Vérifier la conformité aux politiques internes et externes à partir de tableaux de bord de conformité et de plans de contrôle. Assurer une évaluation continue des pratiques et systèmes de sécurité, et déterminer des plans d’amélioration.
• Définir une feuille de route pluriannuelle de cybersécurité incluant au minimum la feuille de route partagée du Groupe et complétée par des besoins spécifiques supplémentaires de la Holding. Assurer le suivi de la mise en œuvre de la feuille de route
• Promouvoir et communiquer sur la cybersécurité, auprès des équipes tech, des départements métiers et de la Direction.
• Donner des conseils en matière de sécurité aux départements métiers et supports.
• Coordonner l'intégration de la sécurité dès la conception (by design) dans tous les nouveaux projets applicatifs ou d’infrastructure. Cette intégration se fait tant en phase de construction initiale, qu'en phase de fonctionnement ou lors de mises à jour majeures :
• Identifier les besoins de sécurité
• Evaluer la sécurité des solutions, des tiers et des architectures
• Analyser les risques, sélectionner les contrôles appropriés pour traiter les risques identifiés
• Contribuer au design, au plan sécurité, conseiller sur la sécurité des implémentations
• Conduire les audits nécessaires
• Coordonner l'utilisation des services et solutions globaux de cyberdéfense, en terme de monitoring, de détection et de réponse à incidents.
• Piloter le processus de gestion des incidents de sécurité : prendre en charge les alertes, vulnérabilités et incidents, mener les investigations et prendre les mesures immédiates nécessaires, assurer le suivi de la remédiation par les différents acteurs en charge.
• Animer la cellule de crise pour les incidents significatifs, avec l’aide de l’équipe cyberdéfense Groupe. Effectuer une revue à froid des incidents de sécurité significatifs.
• Spécifier et superviser les processus de gestion des identités et des accès, y compris la gestion des accès privilégiés. Mener des revues de comptes et d’habilitations.
• Aider les métiers à spécifier les besoins en matière de cyber-résilience. S'assurer que les plans de reprise sont en place et testés.
• Construire, organiser, délivrer ou superviser des actions de formation et de sensibilisation, y compris sur la base des contenus et services globaux fournis par LVMH.

Les compétences

D’une formation supérieure de type ingénieur, idéalement avec une spécialisation en cybersécurité, Le CISO Holding a une expérience réussie d’une dizaine d’années dans le pilotage d’une activité de cybersécurité.

Il a une expertise technique, maîtrise les bonnes pratiques, et connait les normes et réglementations en matière de cybersécurité. Il a une capacité à développer et mettre en œuvre des politiques, processus et procédures de sécurité.

Il a une expérience dans l'identification, l'évaluation et la gestion des risques cyber, ainsi que la mise en place de mesures de mitigation des risques et plans de réponse aux incidents. Il a une aptitude à anticiper les menaces et à développer des solutions proactives.

Il a des compétences en gestion de projet pour coordonner et superviser la mise en place de mesures de cybersécurité. Il est force de proposition et possède de bonnes capacités de communication vis-à-vis des équipes projets (chefs de projets, architectes et leaders techniques). Il a une bonne aptitude à collaborer efficacement avec les parties prenantes dans les différents départements métiers et sait expliquer des concepts de sécurité de manière compréhensible pour les parties prenantes non techniques.

Il a des compétences en matière de sensibilisation et la formation lui permettant de promouvoir une culture de sécurité.

Il a une expérience dans la conduite d'audits de sécurité et la capacité à assurer que les pratiques de sécurité de l'organisation sont conformes aux politiques internes et exigences règlementaires.

Il est autonome, pragmatique, méthodique et rigoureux. Il sait rester calme et efficace sous pression, notamment lors de crises ou d'incidents de sécurité. Il est engagé dans le respect des normes éthiques et agit avec intégrité.