Consultant Cybersécurité (IT) / Freelance

L’un de nos clients (secteur bancaire) recherche pour une durée de 3 mois un(e) Consultant Cybersécurité H / F.

L’équipe RSSI a planifié la réalisation de six tests d’intrusions sur la fin de l’année 2025. Pour mener à bien ces tests d’intrusion, l’équipe RSSI souhaite se faire accompagner par une personne qui aura en charge de les piloter de bout en bout, de leur cadrage à leur restitution.

La réalisation des pentests sera confiée à des équipes de pentesters.

• Le pilotage des tests d’intrusions
• Le pilotage des exercices de crise

• Réaliser des analyses de risques de sécurité informatique, à partir d’un dossier de conception technique, à partir de la description d’une infrastructure technique (matérielle et / ou logicielle), à partir d’un contrat de prestation, à partir de la description d’un processus métier, à partir d’un rapport d’audit de sécurité informatique, à partir d’un rapport d’incident informatique, etc.
• Définir des exigences de sécurité informatique et / ou des mesures de mitigation des risques à partir d’une analyse de risques de sécurité;
• Produire ou Mettre à jour les documents de politique de sécurité des SI à partir des exigences réglementaires / interbancaires / contractuelles;
• Produire ou Mettre à jour les documents de politique de sécurité des SI à partir des principes de conception sécurisée, des patterns d’architecture de sécurité, des principes de développement sécurisé, des principes d’exploitation sécurisée, des principes de protection des données personnelles, etc.;
• Produire des supports de communication adaptés aux enjeux de sécurité, adaptés aux décisions attendues, et adaptés public visé;
• Animer des séances de sensibilisation et / ou de formation et / ou de vulgarisation des politiques de sécurité des SI; et apporter des réponses adaptées aux questions de l’auditoire;
• Cadrer et Réaliser (éventuellement avec l’aide d’un prestataire spécialisé) un contrôle de sécurité informatique (test d’intrusion, revue de code source, revue de configuration, revue d’architecture, revue de processus, etc.);
• Produire ou Mettre à jour une cartographie des risques de sécurité informatique, à partir d’un dossier de conception technique, à partir de la description d’une infrastructure technique (matérielle et / ou logicielle), à partir d’un contrat de prestation, à partir de la description d’un processus métier, à partir d’un rapport d’audit de sécurité informatique, à partir d’un rapport d’incident informatique, etc.;
• Rédiger des chapitres relatifs à la sécurité des SI du Rapport Annuel de Contrôle Interne;
• Concevoir et Réaliser un contrôle permanent de niveau 2 sur un / des contrôle(s) de niveau 1 relatifs à la sécurité des SI;
• Construire une feuille de route de sécurité informatique;
• Émettre un avis argumenté du niveau de sécurité informatique.

• Méthode(s) d’analyse de risque de sécurité informatique (ISO 27005, EBIOS, EBIOS Risk Manager, Mehari, AMDEC, ou toute autre méthode équivalente);
• Référentiels de maîtrise des risques de sécurité informatique (facteurs de risques de l’ACPR, ISO 27001, NIST cyber security framework, NCSC cyber assessment framework, fiches de sécurité de la CNIL, règles d’hygiène informatique de l’ANSSI, OWASP, ou tout autre référentiel équivalent);
• Les contraintes induites sur la sécurité des traitements et des données (Disponibilité, Confidentialité, Intégrité, et Traçabilité) par l’architecture des (sous-)systèmes d’informations : architecture en couches des échanges (modèle OSI), architecture urbanisée, architecture multi-tiers, architecture orientée services, architecture orientée messages, transactions ACID et non-ACID, client léger / riche / lourd, machine virtuelle & réseau virtuel, architecture conteneurisée, etc.;
• Les principes de conception sécurisée : séparation des tâches, Bell-Lapadula, Biba, moindre privilège, Rôle Base Access Control, «fail-secure», point de défaillance unique, défense en profondeur, disproportion entre attaque et défense, tiers de confiance, etc.;
• Les cas d’usage de la cryptographie et leurs conditions d’utilisation : créer un secret de session, sceller des données, protéger un mot de passe, contrôler l’intégrité d’une donnée, authentifier la provenance d’une donnée, authentifier le consommateur d’un service, garantir la non-répudiation d’une action, partager une donnée avec une communauté de parties-prenantes, partager une donnée avec une seule partie-prenante, etc.