Responsable de la sécurité de l'information
Votre mission
L'office cantonal des systèmes d'information et du numérique (OCSIN) élabore et concrétise la stratégie des systèmes d'information et de communication de l'administration cantonale ainsi que la politique de sécurité de l'information. L'OCSIN esquisse les contours de la politique du numérique du Conseil d’État, visant à faire du canton un acteur important de la transformation de notre société, induite par l'essor du numérique. En savoir plus sur "Genève numérique".
L’entité BCM Office a pour mission de garantir la résilience de l’organisation face aux crises, incidents majeurs et interruptions potentielles d’activité. Elle définit, met en œuvre et pilote le dispositif global de continuité et de reprise des activités, en coordination avec les métiers, les équipes IT et les instances de gouvernance.
Ses responsabilités incluent notamment :
- Établir et maintenir le cadre méthodologique de la continuité d’activité (PCA) et de reprise (PRA), en cohérence avec les normes, réglementations et exigences de l’État;
- Piloter le dispositif d’IT Service Continuity Management (ITSCM) en lien avec les équipes IT, afin d’assurer l’adéquation entre les besoins métiers et les solutions techniques de reprise;
- Organiser et superviser les tests et exercices de continuité, pour éprouver les dispositifs et améliorer en continu leur efficacité;
- Assurer la cohérence avec la gestion des risques de l’État et contribuer à la gouvernance globale de la résilience organisationnelle.
Vous devrez notamment :
- Définir, mettre à jour et faire appliquer la politique de continuité d’activité;
- Maintenir le système de gestion de la continuité (BCMS) conforme aux référentiels (ex. ISO 22301);
- Élaborer le programme annuel de continuité, incluant les revues, exercices et formations.
- Piloter les analyses d’impact métier (BIA) en collaboration avec les entités concernées;
- Participer à l’évaluation des risques opérationnels avec le gestionnaire des risques;
- Identifier les processus critiques et définir les objectifs de reprise (RTO/RPO).
- Soutenir les directions dans la rédaction, la mise à jour et le déploiement de leurs PCA;
- Organiser des ateliers et sessions de sensibilisation pour les référents continuité;
- Garantir la cohérence et l’interopérabilité des plans métiers à l’échelle de l’administration.
- Collaborer avec les équipes informatiques pour aligner les PRA avec les besoins métiers;
- Veiller à la mise à jour des scénarios techniques de reprise et à leur test régulier;
- Participer aux instances de gouvernance liées à la continuité IT.
- Planifier et animer des exercices de continuité (table-top, tests techniques, exercices grandeur nature);
- Formaliser les retours d’expérience et piloter les plans d’actions correctives;
- Mettre à jour les PCA/PRA et le référentiel documentaire à la suite des exercices ou incidents réels.
- Produire des rapports réguliers sur l’état de la continuité (avancement, conformité, incidents);
- Assurer la veille sur les normes, obligations réglementaires et bonnes pratiques;
- Participer aux réseaux professionnels et groupes de travail institutionnels.
Votre profil
- Formation (master) universitaire en sécurité des systèmes d'information, ou jugé équivalent, ainsi que 5 ans d'expérience au minimum dans ce domaine ou jugé équivalent;
- Une ou plusieurs certifications reconnues en gestion de la continuité sont un plus (par exemple : CBCI,MBCI ou FBCI, ISO 22301 Auditor, CRISC, ITIL, CISSP, etc. ) ; des certifications complémentaires (par exemple : HERMES, PMP) ou des études postgrade en rapport (par exemple, MAS en sécurité de l’information) seront appréciées.
- En cas d'engagement, il est nécessaire de fournir un extrait du registre des poursuites et du casier judiciaire, ainsi qu'une preuve d'équivalence pour les diplômes étrangers.
Maîtrise du cadre normatif et réglementaire :
- Connaissance des normes ISO 22301 (BCMS), ISO/IEC 27031 (ITSCM), ISO 31000 (gestion des risques), etc;
- Compréhension des exigences réglementaires (ex. : NIS2, résilience des entités critiques, référentiels internes de l’administration).
Conduite d’une analyse d’impact métier (BIA) :
- Capacité à identifier les processus critiques, les dépendances, les impacts potentiels et les objectifs de reprise (RTO/RPO).
Évaluation et gestion des risques :
- Maîtrise des approches d’analyse des risques (qualitative, quantitative) appliquées à la continuité.
- Capacité à collaborer avec les fonctions risques et sécurité de l’information.
Élaboration et mise à jour des PCA / PRA :
- Rédaction, structuration et maintenance de plans de continuité et de reprise adaptés à différents contextes métiers ou techniques.
- Connaissance des architectures de secours (notamment IT en PRA).
Planification et animation d’exercices de crise :
- Organisation de tests de plans (table-top, techniques, réels), animation de simulations, exploitation des retours d’expérience.
Gestion de projets transverses :
- Capacité à piloter des chantiers complexes impliquant plusieurs directions (DSI, métiers, sécurité, RH, etc.);
- Hautes intégrité et éthique personnelles; capacité de garder une confidentialité et une discrétion absolues, relativement aux informations traitées;
- Excellentes connaissances démontrées sur tous les aspects liés à la continuité des services et des activitités, ainsi qu’à la gestion de crise;
- Excellentes connaissances des normes internationales traitant de la continuité des services (ISO 22301) et de la sécurité des systèmes d'information (famille ISO 27000);
- Excellentes capacités de rédaction en français, d’abstraction, de synthèse et de didactique ; une expérience d’enseignement en rapport avec le poste est un plus;
- Très bonnes connaissances de gestion de projet et des méthodologies associées (par exemple : HERMES, PMP);
- Bonnes connaissances du cadre légal et règlementaire en matière de protection des données (par exemple : Convention 108, LIPAD, LPD, Privacy Shield, RGPD, Safe Harbour);
- Bonnes connaissances des méthodologies d'audit et d'analyse des risques liés à la sécurité des systèmes d'informations (par exemple : Allegro, CORAS, COBIT);
- Bonnes connaissances des méthodologies et bonnes pratiques de management des systèmes d'information et des documents (ITIL, familles ISO 9000 et ISO 20000);
- Compétences démontrées en matière d'analyse et de synthèse, d'élaboration de tableau de bord et d'évaluation de risques techniques;
- Connaissance de normes et standards techniques appliqués à la sécurité de l’information (par exemple : NIST, PKCS);
- Aptitudes à communiquer d’une manière adéquate avec ses supérieurs hiérarchiques, ses pairs, ses subordonnés et ses clients;
- Aptitudes à transmettre des thèmes parfois complexes à des personnes de toutes compétences;
- Capacités de compréhension et d’analyse de textes complexes à connotation technique ou légale, en anglais et en français;
- Capacité à résoudre rapidement et de manière autonome les problèmes, en prenant les décisions adéquates en temps utile;
- Capacité à gérer les crises et de maintenir le cap malgré les problèmes;
- Résistance au stress.
- Esprit d’initiative;
- Esprit d'équipe;
- Expérience d’enseignement ou en tant que communicant;
- Sens des responsabilités et du contact avec les clients et utilisateurs;
- Capacité à proposer des idées et des solutions, et à les défendre auprès de ses interlocuteurs quel que soit leur niveau hiérarchique.
Vos avantages
Observations
Les offres étant traitées électroniquement, seules les candidatures complètes, répondant aux prérequis et transmises par ce biais seront prises en considération.
Lieu de travail
Rue du Grand-Pré 64-66