Expert Cybersécurité Opérationnelle - IT (Systèmes d'information) - Fontenay-Sous-Bois, Ile de [...]

GCOO est la Direction des Ressources Groupe de la Société Générale, qui gère la cohérence du Groupe sur les sujets transversaux et développe les pratiques de mutualisation.

GCOO/GTS est l'entité en charge des infrastructures informatiques et de l'ensemble des services associés, pour le groupe Société Générale.

Au sein de GCOO/GTS, le département SEC (Sécurité) est en charge de contribuer au pilotage, à l'implémentation et au contrôle de la stratégie de sécurité, des standards techniques, processus, outils et gestion des risques.

Pour mieux diffuser et implémenter la stratégie de sécurité, le département SEC a projeté des équipes spécialisées et dédiées au sein de chaque département technique de GCOO/GTS.

En l'occurrence le poste est au sien de l'équipe dédiée au département IAS (Infrastructure as a service) qui est composé des pôles opérationnels Compute, System, Storage and Backup Services et Software Defined Network. IAS dispose également de deux pôles transverses : Development Factory et AST (Architecture, Transformation).

• Valider et contrôler la sécurité des évolutions courantes de la vie du SI (ouverture de flux, élévation de droits…)
• Participer au design sécurité des projets en contribuant aux chapitres sécurité des livrables de ces projets.
• Accompagner les audits sécurité réalisés par des organismes internes ou externes à la Société Générale.
• Suivre la gestion des risques en appliquant le processus d'analyse de risque. A ce titre réaliser les ASA (application sensitivity assessment), ARA (Application Risk Analysis) et PENTESTS (tests de pénétration) sur les infrastructures.
• A l'aide d'un framework de sécurité (Secure by design), évaluer le niveau de sécurisation des infrastructures.
• Piloter la remédiation des faiblesses de sécurité détectées dans les infrastructures qu'elles aient été détectée lors de l'évaluation du niveau de sécurisation, d'un audit ou d'un test de pénétration.
• Revoir les standards de durcissement des serveurs.
• Répondre aux questions relatives à la sécurité, de la part de nos clients internes.

Un reporting sur l'état d'avancement des chantiers devra être fait régulièrement.

• Documents d'analyse de sensibilité et d'analyse de risque et d'évaluation de la sécurité des infrastructures.
• Documents de standard de durcissement des serveurs.
• Documentation des remédiations des faiblesses de sécurité des infrastructures.
• Tout document permettant l'enrichissement de la base technique et/ou fonctionnelle sécurité.

Les équipes travaillent en mode Agile il sera nécessaire de matérialiser certains travaux à réaliser sous forme de carte et d'épic dans le système Jira pour en suivre l'implémentation.

• Contexte infrastructure : connaissances sur les infrastructures Stockage, Système ou Virtualisation.
• Gestion de la sécurité : quelques années d'expérience dans la cybersécurité et en particulier : durcissement, analyses de risques, audits.
• Pratiques agiles Kanban.
• Anglais obligatoire.