CAHIER DES CHARGES. Etabli le : Par : Patrick Amaru Remplace la version du :

Transcription

1 CAHIER DES CHARGES 1. Actualisation Etabli le : Par : Patrick Amaru Remplace la version du : Motif d actualisation : Mise au concours du poste 2. Identification du poste Département : INFRASTRUCTURES ET RESSOURCES HUMAINES Service : Direction des systèmes d'information Entité (division, secteur, établissement, office ) : USSI N de poste de référence : 9241 Intitulé du poste dans l entité : Chef-fe de l'unité Sécurité des Systèmes d'information N emploi-type : 1603 Libellé : Responsable Sécurité du SI Chaîne : 321 Niveau : Mission générale du poste (description succincte) Etablir la politique de sécurité, la faire évoluer, la tenir à jour et définir les directives et les procédures y relatives. Assumer la responsabilité de la sécurité des SI en qualité de membre du comité de Direction du Service, Analyser et gérer les risques de sécurité. Assurer le fonctionnement du système de management de la sécurité des systèmes d'information (SMSI). Mettre en place un programme de formation et de sensibilisation sécurité pour tout le personnel de l'acv et les spécialistes techniques. Piloter la réalisation de la charte de sécurité et en assurer la promotion. Piloter l'entité de la sécurité et assurer le bon fonctionnement des organes de sécurité. Représenter l'etat de Vaud auprès de la Confédération dans les instances fédérales de sécurité sur les plans civils et militaires, dans les organismes publiques et parapubliques cantonaux et intercantonaux.. 5. Assurer les opérations d'audit et contrôle de la sécurité. Effectuer une veille technologique et prospective. 4. Conduite : ETP directement subordonné-s Cf. Organigramme Non Oui : 7 et éventuels externes 5. Mode de remplacement prévu, en cas d absence du titulaire Non Oui : Sera remplacé selon le dispositif suivant: en premiere instance: par le Chef de service de la DSI, en deuxième instance: par le Directeur du CEI. Edition : Service du personnel Etat de Vaud Version Août

2 6. Missions et activités 1. Etablir la politique de sécurité, la faire évoluer, la tenir à jour et définir les directives et les procédures y relatives. Assumer la responsabilité de la sécurité des SI en qualité de membre du comité de Direction du Service, 10% Définit les objectifs sécuritaire et les besoins liés aux SI de l'etat, ainsi que les normes et standards de sécurité. Définit et met en place les procédures liées à la sécurité des SI. Assure un rôle de conseil, d assistance, d information, de formation et d alerte. Définit, rend applicable et fait appliquer une stratégie de sécurité officielle, avec sa portée et sa culture, permettant d assurer l intégrité et la sécurité de l information vis-à-vis de menaces extérieures ou intérieures (par exemple une enquête juridico-informatique menée dans l entreprise ou une enquête menée sur des intrusions). Met en place les bases du système de gestion de la sécurité de l information, y compris l identification des rôles et des responsabilités. S appuie sur des normes établies pour fixer les objectifs d intégrité et de disponibilité de l information ainsi que de confidentialité des données. Propose et assure la mise à jour de la politique générale de sécurité des Systèmes d'information (PGSSI), dans le respect des bonnes pratiques, des législations et des normes et en assure l'évolution. Définit, obtient l'adoption, met en œuvre et fait évoluer la politique spécifique de sécurité des SI (PSSI) ainsi que les directives de sécurité générale; les intègre dans les processus et procédures de la DSI. Assure l'application de la PGSSI et de la PSSI. Utilise les normes adoptées pour fixer les objectifs d intégrité, de disponibilité et de confidentialité des données propres à l'etat. Valide les directives de sécurité métier à caractère technique. 2. Analyser et gérer les risques de sécurité. Assurer le fonctionnement du système de management de la sécurité des systèmes d'information (SMSI). 25% Met en oeuvre la gestion des risques de sécurité dans les SI en appliquant la politique et les procédures de gestion des risques définies à l'etat. Evalue les risques encourus par les activités de l organisation, y compris ceux liés au web, au Cloud et aux ressources mobiles. Documente les risques possibles et les plans d actions pour les contrôler. Propose, via une directive de sécurité spécifique, les principes de gestion des risques de sécurité ainsi que les critères d évaluation et d acceptation. Détermine les actions nécessaires pour adapter la sécurité et faire face aux risques présents. Informe la direction DSI et les directions métiers concernées sur les risques sécurité encourus et sur leur plan de traitement. Assure que les exigences en matière de sécurité des systèmes soient identifiées et que l'identification, l'appréciation et le traitement des risques sur les systèmes d'information sont régulièrement effectués. Assure la définition, la mise en œuvre et l amélioration continue du processus de gestion des risques sécurité, conformément aux politiques de sécurité (PGSSI, PSSI). Assure la surveillance et le réexamen régulier des risques sécurité. Etudie les moyens assurant la sécurité et leur bonne utilisation. Etablit le plan de prévention. Evalue les risques, les menaces et les conséquences. Pilote l appréciation des risques sécurité afin d identifier les événements redoutés et les menaces, d analyser et évaluer les risques, ainsi que de constituer un registre des risques. Evalue, gère et valide les dérogations. Garantit l intégration de la gestion des risques sécurité dans le dispositif général de gestion des risques de la DSI. Assure une gestion régulière, efficace et proportionnée des risques sécurité. Pilote le management des risques et leur traitement. Prend en compte tous les paramètres internes et externes tels que la conformité aux normes légales et industrielles afin d orienter la gestion des risques et le déploiement de ressources de façon à apporter le niveau de service attendu. Assure la définition et la mise en œuvre d'un système de management de la sécurité (SMSI) conforme aux meilleures pratiques et pleinement intégré au système de management de la DSI. Assure la définition des processus et la mise en place de l organisation (rôles et responsabilités des acteurs impliqués dans le processus de sécurité) nécessaires au contrôle interne et à l amélioration continue du SMSI conformément à la politique PGSSI. Assure la documentation du SMSI (politiques, directives, procédures, références internes) et gère le référentiel associé, en collaboration avec les différentes équipes de la DSI. Edition : Service du personnel Etat de Vaud Version Août

3 3. Mettre en place un programme de formation et de sensibilisation sécurité pour tout le personnel de l'acv et les spécialistes techniques. Piloter la réalisation de la charte de sécurité et en assurer la promotion. 10% Assure l'information et la sensibilisation de la Direction de la DSI, du Chef de Département et du Conseil d'etat. Etablit une liste des besoins de formation et priorise ceux-ci en fonction de la gravité des conséquences potentielles d'insuffisance de connaissances en matière de sécurité informatique. Assure la formation des directions opérationnelles et métiers. Définit et pilote la mise en œuvre des cours de sensibilisation générale à la sécurité pour les collaborateurs de la DSI ainsi qu'un programme de formation à la sécurité pour les collaborateurs techniques de la DSI. Définit et pilote la mise en œuvre des cours de formation à la sécurité spécifiques pour les personnes clefs de la DSOL et du CEI. Définit un programme de sensibilisation à la sécurité et pilote la mise en œuvre de cours globaux à destination de l'ensemble des collaborateurs de l'acv en utilisant des méthodes optimales, par ex. elearning. Effectue un contrôle du degré de connaissance atteint et met en place une formation complémentaire pour corriger les faiblesses observées. Communique les politiques, directives, et procédures de sécurité informatique aux collaborateurs. Anticipe et développe des processus organisationnels pour répondre aux besoins de formation des personnes, des équipes et de l ensemble de l effectif. Pilote les personnes et les équipes de l'ussi pour répondre aux besoins en matière de formation. Définit et pilote la réalisation et la tenue à jour de la charte de sécurité des SI de l'acv. En assure la promotion auprès de tous les utilisateurs en particulier en l'intégrant dans les cours de sensibilisation et les formations de base. Assiste les collaborateurs dans l'interprétation des politiques et règles de sécurité. Maintien à jour les informations sur la sécurité de l'information sur l'intranet de la DSI. 4. Piloter l'entité de la sécurité et assurer le bon fonctionnement des organes de sécurité. Représenter l'etat de Vaud auprès de la Confédération dans les instances fédérales de sécurité sur les plans civils et militaires, dans les organismes publiques et parapubliques cantonaux et intercantonaux.. 40% Assume la responsabilité de la sécurité des SI en qualité de membre du comité de Direction du Service. Assure une conduite complète de l'unité de la sécurité des SI : analyse les besoins sécurité de l'acv, détermine les priorités, fixe les objectifs correspondants, établit la stratégie, définit les normes et les standards de sécurité, définit les processus, met en place l'organisation de la sécurité des SI, prend en charge les alertes, prépare les tableaux de bord et les rapports à l'intention de la Direction et du CE. Met en oeuvre la politique de sécurité de l information de l ACV. Contrôle et agit contre les intrusions, les fraudes et les violations ou fuites concernant la sécurité. Garantit l analyse et la gestion des risques en matière de sécurité des données et de l information. Passe en revue les incidents de sécurité, formule des recommandations concernant la stratégie et la politique de sécurité afin d assurer l amélioration continue des systèmes de sécurité. Négocie les objectifs annuels découlant de la mission de l'unité. Définit et attribue les plans d'actions annuels à ses collaborateurs. Contrôle régulièrement l'atteinte des objectifs et déclenche si nécessaire les actions correctives correspondantes. Pilote et coordonne de manière optimale les activités/projets, ressources et entités de l'unité. Assure l'élaboration, la justification et l'exploitation optimale du budget de l'entité. Assure le respect des exigences externes (légales, réglementaires) et internes (valeurs morales, politiques, directives, procédures). Contribue à définir les processus, l'organisation, les prestations et les objectifs stratégiques du Service. Contribue à la conduite et à la bonne marche du service ainsi qu'au développement du système de management de la DSI. Participe et contribue aux revues de direction. Défend les intérêts et présente les points de vue de l'etat de Vaud auprès de la Confédération et dans toutes les instances fédérales de sécurité aussi bien sur le plan civil que militaire. Pilote un des 4 groupes fédéraux pour l'établissement et le déploiement de la stratégie nationale de sécurité SNPC et du réseau national de sécurité (SVS-RNS). Négocie la position de l'etat de Vaud auprès des organismes publiques et parapubliques des autres cantons et villes pour le domaine de la sécurité des systèmes d'information. Représente la DSI en qualité de membre du Codir (Comité de direction) ORCA, nommé par le Conseil d'etat. Edition : Service du personnel Etat de Vaud Version Août

4 Pilote le traitement des risques sécurité en collaboration avec les différentes entités afin d obtenir l acceptation des directions (DSI et métier) et assurer la mise en œuvre des mesures de sécurité adaptées; s'assure que les actions prévues et les coûts engendrés sont proportionnés à la réduction de risque qui sera obtenue. Assure les escalades conformément aux procédures correspondantes. Elabore, si nécessaire, des propositions d'arbitrage du plan général de traitement des risques, à destination du CSG élargi et du CE. Passe en revue les incidents de sécurité et formule des recommandations pour une amélioration continue de la sécurité. Exploite les connaissances provenant d un large spectre d experts sur les technologies nouvelles ou émergentes en les associant à une compréhension approfondie de l activité métier pour concevoir et articuler les solutions du futur. Fournit des recommandations et conseils d expert aux équipes de direction et aux équipes techniques pour les aider à prendre des décisions d ordre stratégique concernant les innovations potentielles Valide les outils de sécurité et les aspects sécurité des architectures proposées pour l'exploitation ou le design de solutions informatiques. Fournit un support de niveau 3 (dans certains cas de niveau 2) lors de problèmes de sécurité rencontrés par les responsables d'entités de la DSI. 5. Assurer les opérations d'audit et contrôle de la sécurité. Effectuer une veille technologique et prospective. 15% Pilote les audits sécurité des processus et de l environnement informatique et organise des audits et des tests techniques (en général exécutés par des experts externes indépendants). Procède aux contrôles et audits demandés par les instances habilitées: Police, Juges, Procureurs, Conseillers d'etat, Chefs de Service (Selon la LPers). Analyse les rapports des organes d'audit et iintègre les mesures préconisées dans le plan de réduction des risques. Assure la mise en conformité avec les recommandations des audits, par exemple CCF ou Cour des Comptes. Déclenche et pilote les cellules de crise en cas de sinistre sécurité des SI. Examine les rapports d incidents et propose des mesures de correction et de prévention. Informe de manière régulière les organes d'audit sur l'état d'avancement des travaux de mise en conformité. Met en place une politique des "4 yeux" permettant de découpler les fonctions vérification et réalisation afin de prévenir les conflits d'intérêts. Contrôle et garanti que les équipes appliquent les principes et règles de sécurité du SI. Contrôle et garantit que les équipes appliquent les principes de sécurité du SI. Met en place et assure l'exploitation d'un système SOC/SIEM (Security Operation Center / Security Information and Event Management) permettant d'avoir une vue en temps réel de l'état de sécurité des SI ainsi que des possibilités d'effectuer des travaux forensiques sur des événements passés. Audite la vulnérabilité des systèmes.assure un soutien aux services bénéficiaires dans toutes les activités de gestion des risques de sécurité liées à leur système d information, en collaboration avec la DSOL. Elabore et maintien des indicateurs permettant d évaluer la conformité de la sécurité de l information. Procède à des contrôles internes réguliers des parties sensibles des SI. Assure un conseil aux services pour l'analyse et le traitement des besoins de sécurité. Assure une participation de l'unité aux séances et groupes de travail où la présence d'un expert sécurité est nécessaire. Veille à ce que l'acquisition, le développement et la maintenance des systèmes d'information soient effectués en intégrant la sécurité à chaque étape de ces processus et réponde aux besoins sécurité exprimés par les métiers concernés Participe à la validation des procédures DSI en analysant leur contenu et en s'assurant de leur conformité aux référentiels et directives sécurité du système d'information de l'acv. Propose des modifications permettant de rendre les procédures conformes aux exigences de sécurité. Aide les spécialistes à inclure dans leurs procédures opérationnelles les éléments de sécurité correspondants aux directives publiées par l'ussi. Par tous les moyens appropriés (littérature professionnelle, Internet, etc.), se tient au courant des tendances et des nouveautés dans le domaine de la sécurité de l'information. Communique les éléments pertinents aux collègues concernés. Assiste régulièrement à des cours/conférences/séminaires, dans le but de maintenir un niveau élevé de connaissance et de compétence dans le domaine de la sécurité de l information. Effectue une veille technologique et réglementaire afin de pouvoir garantir la sécurité logique et physique des SI dans leur ensemble. Analyse les développements technologiques informatiques les plus récents afin de pouvoir comprendre les technologies innovantes et leurs conséquences sur la sécurité. Recherche des solutions innovatrices pour assurer la sécurité lorsque qu'une nouvelle technologie est intégrée dans les produits, applications ou services existants ou utilisée pour la création de nouvelles solutions. Edition : Service du personnel Etat de Vaud Version Août

5 7. Eventuelles responsabilités particulières attribuées au titulaire SPOC pour les cas de sécurité sensible concernant: - la Police Cantonale, la Cour des Comptes, le MPC, le SSCM, le SPEN, le SPEV, l'ojv. SPOC en matière de sécurité des SI pour: les autres administrations cantonales, municipales, et para-étatiques, et la Confédération. 8. Exigences requises 8.1. Formation de base Titre Formation universitaire niveau Master en sciences exactes (Mathématiques, Physique) ou juridiques (UNI, EPF ou équivalent certifié) ou dans le domaine des systèmes d'information et de l'informatique. Certification dans le domaine de la sécurité ou de l'audit (CISA, CISM, CRISC, autres) 8.2. Formation complémentaire Titre Postgrade universitaire en sécurité des systèmes d'information Expérience professionnelle Domaine Fonction RSSI (CISO) dans un environnement de taille et de complexité identique ou plus grand. A défaut de l'expérience mentionnée ci-dessus: Fonction à responsabilité exercée dans un environnement de taille et de complexité similaires Nbre d années 5 ans 10 ans 8.4. Connaissances et capacités particulières Domaine Bonne compréhension de l'informatique, ses architectures et ses métiers (systèmes, réseaux, bases de données, micro-informatique, gestion de projets, cycle de développement, etc.). Large connaissance des concepts de la sécurité de l'information. Connaissances générales des plateformes: Lotus Notes, Oracle, SAP Connaissance des lois et des normes applicables, ainsi que des principes et des méthodes de management des risques, dans le domaine de l'informatique et la sécurité de l'information. Connaissances linguistiques indispensables : - Anglais lu, parlé et écrit : B2 (N4) - Allemand lu, parlé et écrit : C1 (N5) - Suisse allemand: Fortement souhaité Edition : Service du personnel Etat de Vaud Version Août

6 9. Astreintes particulières (travail de nuit, service de piquet, etc.) Assure une représentation de la DSI pour le domaine de la sécurité du système d'information de l'acv lors d'événements majeurs ou l'exigeant, par exemple lors de rencontres avec des représentants de la Confédération, des autres Cantons ou des grandes villes. Peut être amené-e à travailler en dehors des horaires standards (nuit, samedi, dimanche, jour férié) ou à assurer un service de piquet. Pour des raisons légales, domicile en Suisse exigé. 10. Signatures L autorité d engagement. Date : Nom et prénom : Signature : Le/la titulaire atteste avoir pris connaissance du présent cahier des charges. Date : Nom et prénom : Signature : Edition : Service du personnel Etat de Vaud Version Août