Directeur Santé, Sécurité, Hygiène et Gestion Des Risques (H / F)

Rattaché à la Secrétaire générale, le RSSI est chargé de définir et de développer la politique de sécurité de l’information de la HAS.

La HAS a engagé un plan de transformation numérique sur la période 2020-2024. Ce plan, porté par le Service Système d’Information (SSI), prévoit le déploiement et la refonte d’une certain nombre d’applications en lien notamment avec les processus métier de la HAS.

Missions générales du poste à pourvoir

La mission première est de définir la politique de sécurité des SI et de veiller à son application.

Le RSSI assure un rôle de veille, de conseil, de préconisations, d’assistance, d’information, de formation et d’alerte. Il peut intervenir directement sur tout ou partie des SI.

Il est le référent pour les questions liées à la sécurité du SI et peut intervenir sur tout ou partie d’un projet qui relève de son domaine d’expertise. Il est en relation avec les différentes parties prenantes sur les sujets liés à son activité, notamment :

• au sein du SSI, avec les chefs de projets, les responsables de pôle et le chef de service ;
• au sein du Service Juridique (SG - SJ) avec le chef du service et le DPO ;
• le conseiller technique du SG ;
• les services Métier.

1.Organiser et mettre en œuvre la sécurité des SI de la HAS :

• Coordonner la démarche globale de gestion des risques SI en étant garant de la réalisation des analyses de risques sur les projets et du processus d’homologation des systèmes.
• Analyser la situation existante et les besoins en termes de sécurité du SI.
• Proposer des axes d’amélioration, évaluer les moyens à mettre en œuvre en fonction des différents objectifs et définir un plan d’actions prioritaires cohérent avec les ressources budgétaires prévues.
• Faire valider le plan de sécurité et les moyens alloués par les Cellules Opérationnelles de Sécurité.
• Coordonner et piloter les projets retenus ; conduire la partie technique dans le champ de la sécurité SI pour s’assurer du respect des règles de sécurité, de la procédure pour les projets nécessitant le lancement d’un marché public (cahier des charges, analyse des offres, rapport de choix).
• Définir les normes, outils, procédures et règles de sécurité à définir comme « standards »
• Définir, en relation avec les ingénieurs systèmes et réseaux, les règles de sécurité appliquées sur les postes de travail, les serveurs, les équipements réseaux et télécoms (droits d’accès, privilèges utilisateurs, chiffrement des données, mise à jour de l’OS, mises à jour antivirales, stratégie de sauvegarde…).
• Animer les cellules opérationnelles de la sécurité du SI de chaque entité et y rendre compte des actions menées.
• Assister les directions générales pour rendre compte auprès des tutelles du niveau de maturité et des actions menées par l’Agence de la Biomédecine et la Haute Autorité de Santé dans le domaine de la sécurité.
• Assister les Correspondants Informatique et Libertés sur les aspects sécurité du système d’information
• Piloter la construction du plan de continuité des activités (PCA) de la HAS en collaboration avec toutes les directions de chacune des entités et assurer son maintien en conditions opérationnelles.
• Piloter les cellules de crise en cas de sinistre sécurité SIà définir comme « standards »

2.Garantir l’intégrité, la confidentialité et la disponibilité des SI :

• Valider techniquement les outils de sécurité
• Assurer une veille permanente sur l’évolution des problématiques liées à la sécurité de l’information et sur les incidents répertoriés sur l’environnement technique des entités ; réaliser ou organiser l’application des correctifs de sécurité sur l’ensemble des plateformes.
• Faire évaluer régulièrement le niveau de vulnérabilité du réseau des deux entités.
• Auditer régulièrement les droits d’accès aux données.
• Vérifier la fiabilité de la sécurité physique des locaux.
• Prendre les mesures techniques et / ou organisationnelles permettant la surveillance, l’appréciation de la sécurité et la réaction face aux attaques
• Organiser et participer à la réalisation des tests de validation des procédures de secours.
• Prendre les mesures conservatoires immédiates en cas d’incident
• Effectuer ou faire effectuer les analyses nécessaires à la compréhension d’un problème ou incident sécurité SI
• Mettre en œuvre ou faire mettre en œuvre les mesures nécessaires à leur résolution

3.Sensibiliser les utilisateurs aux enjeux de sécurité :

• Informer et sensibiliser les directions générales, les directions métiers et supports
• Alerter et conseiller les utilisateurs en cas de risques
• Former les utilisateurs sur la sécurité des SI.

De par ses missions transversales, le RSSI est amené à être en relation constante avec l’ensemble des directions et services ou avec l’ensemble du personnel de la Haute Autorité de Santé

Il représente la Haute Autorité de santé lors des actions inter-agences.

Profil recherché

Formation bac+5 informatique ou réseaux (indispensable), spécialisation sécurité (souhaitable).

Expérience de 10 ans minimum dont expérience IT dans le domaine de la sécurité.

Compétences techniques

• Connaissance souhaitable des procédures de marchés publics