Contractor job RSSI (H/F) - Ile de France

Nous recherchons, pour l’un de nos clients du secteur ministériel régalien, un RSSI. Vous trouverez ci-dessous le descriptif du poste :

Ce poste nécessite d'être éligible à une habilitation défense délivrée par les autorités françaises.

RSSI (Responsable de la Sécurité des Systèmes d’Information)

Contexte et secteur d’activité

La prestation s’inscrit dans un environnement ministériel régalien, caractérisé par des exigences élevées en matière de sécurité, de conformité réglementaire et de continuité de service.
Le RSSI intervient en appui d’une direction métier nationale s’appuyant sur un socle numérique ministériel mutualisé, exploité par une direction numérique centrale.

Périmètre d’intervention

Périmètre prioritaire – Infrastructure du socle numérique ministériel (≈ 75 %)

Le périmètre principal concerne les composants d’infrastructure mutualisés supportant les applications et services de la direction métier, incluant notamment :

• Infrastructures d’hébergement :
  datacenters ministériels, cloud privé et public, environnements hybrides, dispositifs de PCA/PRA ;

• Réseaux et interconnexions :
  réseau ministériel étendu (WAN), interconnexions inter-sites, accès distants sécurisés ;

• Services d’identité et de gestion des accès :
  annuaires, IAM, SSO, fédération d’identité, authentification forte (MFA) ;

• Dispositifs de sécurité transverses :
  pare-feu, bastions d’administration, proxies, EDR, SOC, SIEM ;

• Solutions de sauvegarde, d’archivage et de résilience ;

• Environnements de virtualisation, de conteneurisation et plateformes techniques mutualisées ;

• Chaînes CI/CD et outillage DevSecOps lorsqu’ils supportent les projets de la direction métier.

L’intervention sur ce périmètre est réalisée en coordination étroite avec les équipes infrastructure de la direction numérique ministérielle, sans se substituer à leurs responsabilités opérationnelles ou décisionnelles.

Périmètre complémentaire – Projets et outils métiers (≈ 25 %)

Le périmètre complémentaire couvre les applications, projets et outils numériques propres à la direction métier, notamment :

• Applications métiers nationales ;

• Outils de gestion procédurale, décisionnelle et de pilotage ;

• Outils collaboratifs spécifiques ;

• Flux applicatifs avec les juridictions, les autres directions ministérielles et les partenaires institutionnels ;

• Projets numériques à toutes les phases de leur cycle de vie :
  étude, cadrage, conception, développement, recette, mise en production, MCO/MCS.

Objectifs de la mission

Les objectifs principaux sont les suivants :

• Renforcer le niveau de sécurité du socle d’infrastructure supportant les services métiers ;

• Intégrer la sécurité dès les phases amont des projets numériques (security by design) ;

• Garantir la conformité aux exigences réglementaires et ministérielles ;

• Apporter une expertise SSI indépendante, argumentée et traçable ;

• Réduire durablement la surface d’exposition aux risques cyber ;

• Fluidifier les processus de décision, d’arbitrage et d’homologation.

Description détaillée des prestations attendues

Gouvernance RSSI (RSSI as a Service)

• Appui à l’animation et à la structuration de la fonction RSSI sur le périmètre couvert ;

• Mise en place et animation de la gouvernance SSI
  (comités, circuits de validation, comitologie projets) ;

• Interface avec la direction numérique ministérielle, le RSSI ministériel et les acteurs SSI ;

• Production et suivi de tableaux de bord SSI
  (risques, conformité, plans d’actions).

Appui SSI sur l’infrastructure du socle numérique (≈ 75 %)

• Analyse de la sécurité des architectures existantes et cibles ;

• Revue des dossiers d’architecture technique et de sécurité ;

• Réalisation d’analyses de risques ciblées sur les briques critiques ;

• Émission d’avis de sécurité sur les évolutions d’infrastructure ;

• Appui à la déclinaison opérationnelle des exigences réglementaires et normatives ;

• Contribution aux démarches d’homologation pour la partie infrastructure.

Revue SSI du portefeuille de projets métiers

• Analyse de la maturité sécurité du portefeuille projets ;

• Identification et priorisation des risques par projet ;

• Évaluation de l’adéquation et de la cohérence des mesures de sécurité ;

• Élaboration et suivi d’un plan d’actions SSI consolidé.

  Analyses de risques flash (EBIOS Flash)

• Réalisation d’analyses de risques flash sur projets et infrastructures ;

• Identification des événements redoutés, scénarios de menace et impacts ;

• Recommandation de mesures de sécurité proportionnées ;

• Production de livrables synthétiques exploitables en comité.

Avis de sécurité et recommandations sur les outils

• Émission d’avis de sécurité formalisés sur outils, solutions et évolutions ;

• Analyse des architectures, flux, mécanismes d’authentification et d’hébergement ;

• Évaluation du risque résiduel et définition des conditions de mise en production ;

• Recommandation de solutions ou d’alternatives le cas échéant.

Livrables attendus

• Feuilles de route SSI (infrastructure et projets) ;

• Analyses de risques flash formalisées ;

• Avis de sécurité argumentés ;

• Tableaux de bord SSI ;

• Notes de recommandations ;

• Comptes rendus et supports de comités ;

• Contributions aux dossiers d’homologation.

Les livrables sont fournis aux formats bureautiques standards de l’administration centrale
(Word, Excel, PowerPoint).

Modalités d’intervention

• Prestation en temps partagé (forfait jours) ;

• Interventions sur site et à distance ;

• Participation aux comités de gouvernance et aux comités projets ;

• Capacité d’intervention en situation d’incident ou de crise cyber ;

• Engagement strict de confidentialité.

Référentiels et exigences de conformité

La mission s’appuie notamment sur :

• PSSIE de l’État ;

• Référentiels et guides de l’ANSSI ;

• Instruction II901 ;

• LPM et directive NIS2 ;

• RGPD et doctrine CNIL ;

• RGS ;

• Doctrines et politiques de sécurité ministérielles ;

• Bonnes pratiques ISO/IEC 27001 et 27005.

   Indicateurs de performance (KPI)

  • Taux de couverture du périmètre infrastructure ;

  • Nombre d’analyses de risques réalisées ;

  • Délai moyen de production des avis de sécurité ;

  • Taux de conformité aux référentiels applicables ;

  • Taux de prise en compte des recommandations émises.

  Résultats attendus

  • Amélioration mesurable du niveau de sécurité du socle numérique ;

  • Réduction des risques cyber sur les projets métiers ;

  • Meilleure maîtrise des décisions de mise en production ;

  • Renforcement durable et structuré de la gouvernance SSI.

    
    Ce poste nécessite d'être éligible à une habilitation défense délivrée par les autorités françaises.