Responsable de la sécurité des systèmes d'information du GHT de Bretagne Occidentale H/F

Etablissement dynamique situé en bord de mer, le CHU de Brest est un acteur économique de 1er plan : 1er opérateur de santé et moteur économique de la région, l'établissement est le 1er employeur de la ville.

Le Centre Hospitalier Régional Universitaire couvre un territoire comprenant une population de 1,2 million d'habitants et emploie plus de 8000 personnes dont 750 médecins. Il offre à la fois des soins de proximité et de recours.

Le CHU de BREST : Qui sommes-nous ?

/

Concevoir et animer la démarche sécurité et confidentialité des systèmes d'information (matériels, données et logiciels), en veillant à ce que les niveaux de sécurité et de confidentialité soient conformes à la réglementation externe et aux standards internes.

Le poste de RSSI du GHT de Bretagne Occidentale est amené à travailler pour l'ensemble des établissements du Groupement Hospitalier de Territoire de Bretagne Occidentale. Le RSSI du GHT de Bretagne Occidentale est rattaché à la direction générale du GHT de Bretagne Occidentale.

Activités

Le RSSI du GHT de Bretagne Occidentale est chargé de réaliser les missions suivantes :

Analyser les risques de la sécurité des systèmes d'information

Détermine une méthode d'analyse de risque adaptée à la taille de chaque établissement de santé ;

Mets en œuvre l'analyse de risque avec l'ensemble des parties prenantes.

Définir et mettre en œuvre les principes et les mesures de la politique générale de sécurité de l'information

Définition des objectifs de sécurité de l'information au sein des établissements du GHT de Bretagne Occidentale, en collaboration avec l'ensemble des acteurs concernés ;

Rédaction et maintien de la politique générale de sécurité de l'information (PGSI) de l'ensemble des politiques, directives et procédures associées ;

Mise en place d'une organisation permettant d'assurer la gouvernance de la sécurité de l'information au sein des établissements ;

Mise en place d'une gouvernance adaptée permettant d'assurer la sécurité des systèmes d'information.

Choisir des mesures de sécurité, conseils et élaboration de mise en œuvre

Étude des moyens permettant d'assurer la sécurité des systèmes d'information et leur bonne utilisation par les différents types d'utilisateurs du système d'information au sein du GHT ;

Propositions d'arbitrage et de la validation, aux instances du GHT, de la liste des différentes mesures de sécurité à mettre en œuvre, constituant le plan d'action de sécurité ;

Planification et pilotage des audits (conformité, technique, réglementaire…) ;

Assure le suivi du plan d'action de sécurité ;

Assure la maîtrise d'ouvrage de la mise en œuvre des mesures de sécurité (techniques ou organisationnelles) qui peut être partagée avec un chef de projet ou un responsable d'application des différentes DSI des établissements du GHT ;

Valide les outils techniques de sécurité (antivirus, pare-feu, anti-spam, IDS, etc.) ;

Prend les mesures techniques et/ou organisationnelles permettant la surveillance, l'appréciation de la sécurité et la réaction face aux attaques.

Sensibiliser, former et conseiller les parties prenantes des systèmes d'information aux mesures de cyber sécurité

Informe régulièrement les directions des établissements sur les enjeux et les risques de la sécurité des systèmes d'information ;

Conduit des actions de sensibilisation auprès des utilisateurs sur les enjeux de la sécurité des systèmes d'information ;

Edicte la charte d'utilisation des systèmes d'information des établissements du GHT et en assure la promotion auprès de l'ensemble des utilisateurs.

Auditer et contrôler l'application des règles de la politique de sécurité de l'information et des mesures de sécurité des systèmes d'information

Conduit, à intervalle régulier, des audits de sécurité des systèmes d'information afin de vérifier la bonne application des politiques ayant trait à la sécurité des systèmes d'information ;

S'assure de la mise en œuvre d'un plan d'action afin de remédier aux non-conformités.

Participer aux travaux de conformité des établissements du GHT de Bretagne Occidentale

Suit et coordonne les programmes nationaux de cybersécurité (tels que le programme CaRE, les mesures principales de cybersécurité du ministère de la Santé…) ;

Participe au management de la qualité des établissements et aux démarches d'accréditations afin d'assurer la pérennité des certifications en vigueur ;

Participe à la conformité des établissements de santé vis-à-vis du référentiel HAS et de la transposition de la directive NIS 2 ;

Co conduit le projet de certification Hébergeur de Données de Santé avec le responsable qualité de la DTSN.

Assurer la gestion des incidents de sécurité ayant trait à la sécurité des systèmes d'information

Prépare et met en œuvre un plan de continuité informatique, dans le cadre du Plan de Continuité des Activités (PCA) ;

Prépare et met en œuvre un plan de reprise informatique, dans le cadre du Plan de Reprise des Activités (PRA) ;

Définit et met en œuvre des procédures de gestion de crise numérique ;

Prend les mesures conservatoires immédiates en cas d'incident ;

Assure la coordination des mesures de remédiation en cas d'incident numérique.

Assurer une veille réglementaire, technologique et prospective en matière de sécurité des systèmes d'information.

Participer aux travaux des instances régionales (GCS e-Santé Bretagne) et nationales (ANSSI, Club RSSI Santé) en matière de sécurité des systèmes d'information.

Pré requis souhaités pour exercer le métier

• Formation de niveau master avec une spécialisation en sécurité des systèmes d'information.
• Expérience d'au moins 3 ans dans le domaine de la sécurité des systèmes d'information.
• Cadre technique ayant une expérience avérée de la conduite de projets en milieu hospitalier.
• Une certification ISO 27001 Lead Implementer ainsi qu'une bonne connaissance du système de santé français seraient appréciées.

Compétences techniques :

• Analyser les dysfonctionnements de la sécurité du SI et organiser les retours d'expérience
• Concevoir et rédiger un manuel de sécurité du SI (MSSI) et ses documents annexes et assurer leur mise à disposition
• Conduire et animer des réunions
• Conduire une analyse de risques et établir les plans d'actions associés
• Définir, argumenter et mettre en œuvre des mesures d'urgence efficaces
• Définir, argumenter une politique d'authentification des utilisateurs du SI
• Identifier les besoins de sécurité inhérents aux activités dans le cadre des SI utilisés, formuler une proposition de solution et son dimensionnement
• Mettre en œuvre les normes, les bonnes pratiques et les exigences légales de la sécurité de l'information
• Mettre en œuvre les règles liées à la protection des données, la charte d'utilisation du SI et la charte d'identitovigilance
• Piloter, animer/communiquer, motiver une ou plusieurs équipes
• Traiter les dysfonctionnements de la sécurité du SI
• Construire et utiliser des outils de pilotage
• Orienter les choix des décideurs
• Rédiger des documents techniques, des cahiers des charges, des rapports et notes

Compétences relationnelles :

• Capacité de leadership, de rigueur et d'esprit critique.
• Capacité à piloter et gérer des projets.
• Capacité à organiser et conduire le changement dans le secteur numérique.
• Être bon communiquant (orale et écrit) sur son domaine d'expertise.
• Capacité à gérer des situations de crise.
• Capacité à animer des groupes de travail, sessions de sensibilisation et formation.
• Bon relationnel et esprit de synthèse.