PMO Cyber

Objet de la prestation
La prestation s'inscrit dans le cadre de la sécurisation des systèmes d'information et des programmes de transformation du Groupe Renault. A ce titre, l'objet de la prestation consiste à piloter la Ligne de Service (aka. Service Line – SL) relative aux Audits Techniques Cyber et à la conduite de Tests Offensifs. Cette Ligne de Service est un pôle d'expertise à part entière du laboratoire de Cybersécurité et de Tests d'Intrusion du groupe Renault (aka. Cybersecurity & Penetration Testing lab – CPT).

Les principales activités sont :

• Le pilotage des demandes d'expertise en cybersécurité offensive, dont :
• Réception, contrôle de pertinence et priorisation des demandes d'expertise
• Cadrer la demande d'expertise pour établir un plan d'Audit Technique Cyber
• Répartir les Tests Offensifs identifiés par le plan entre experts internes et externes de Renault Group selon les requis de compétences, de disponibilité, d'indépendance et d'habilitation sécurité (e.g. habilitation électrique).
• Coordonner les acteurs impliqués dans chaque demande d'expertise et veiller à la traçabilité des échanges et décisions
• Assurer la planification des demandes d'expertise de sorte à maintenir une bande passante optimale de la ligne de service
• Assurer le suivi administratif de bout en bout et la protection des informations partagées/produites
• La supervision de la conduite des activités offensives, dont :
• En coordination avec le responsable Renault, veiller à la protection des intérêts de Renault Group lors de la conduite d'activités offensives, notamment que le fonctionnement normal, quotidien et opérationnel de Renault ne soit pas impacté outre mesure
• En coordination avec le responsable Renault, assurer le bon déroulement des tests offensifs dans le respect du planning défini et des règles d'engagement établies
• En coordination avec le responsable Renault, assurer la logistique nécessaire à la réalisation des tests offensifs (e.g. création de comptes de test)
• En coordination avec le responsable Renault, animer les canaux de communications avec les acteurs impliqués
• La sensibilisation aux métiers de la cybersécurité et – plus particulièrement – à leur pendant offensif, dont :
• Sensibiliser sur l'importance de la documentation à produire/fournir pour la bonne exécution des demandes d'expertise
• Sensibiliser sur la démarche offensive (i.e. test d'intrusion, red-teaming, audit de configuration, etc.) pour aider les équipes Renault à l'intégrer dans leur démarche défensive (i.e. identification des menaces, caractérisation des risques cyber, définitions d'objectifs de sécurité, spécifications des contrôles, implémentation et validation)
• Sensibiliser sur la réalisation d'audits techniques cyber et la conduite de tests offensifs (i.e. pre-engagement, exécution, reporting) et accompagner les clients internes dans l'usage de la ligne de service (e.g. comment soumettre une demande)

La prestation a pour objet de piloter la Ligne de Service relative aux Audits Techniques Cyber et aux Tests Offensifs dans le cadre de la sécurisation des systèmes d'information et des programmes de transformation du Groupe Renault. Le prestataire devra assurer le traitement, la priorisation, la planification et le suivi administratif des demandes d'expertise en cybersécurité offensive, ainsi que la coordination des ressources internes et externes. Le prestataire s'engage à garantir la traçabilité des décisions, la protection des informations, le suivi logistique et la supervision du bon déroulement des tests offensifs, en lien direct avec le responsable désigné par Renault. Il assurera également la sensibilisation des parties prenantes internes aux méthodologies offensives, aux attentes documentaires et à l'usage de la ligne de service, dans un souci de conformité, de maîtrise des risques et de soutien aux démarches défensives.

• Livrables

Le prestataire devra produire et maintenir à jour les livrables suivants :

• Tableaux de bord de suivi des demandes d'expertise et des ressources techniques associées, régulièrement mis à jour et transmis au responsable Renault
• Statut consolidé des demandes d'expertise, intégrant les priorités, les échéances et les ressources impliquées
• Indicateurs de performance et de suivi de la ligne de service, définis en concertation avec Renault et documentés dans les outils internes agréés
• Gestion documentaire structurée et conforme aux standards Renault, en capitalisant sur les outils internes (Sharepoint, Confluence / Jira, Teams, etc.)
• Modèles et supports actualisés pour les communications et l'accompagnement des clients internes

Les livrables doivent répondre aux critères de qualité, de traçabilité, de disponibilité et de conformité définis conjointement avec Renault.

Profil candidat:

Savoir-faire du prestataire
Le prestataire doit pouvoir justifier d'une expertise reconnue dans la conduite de projets de cybersécurité, en particulier dans les domaines suivants :

• cybersécurité offensive (tests d'intrusion, reverse engineering, cryptanalyse, analyse inforensique)
• réalisation d'audits de sécurité technique et évaluation de vulnérabilités
• maîtrise des méthodologies et cadres juridiques applicables
• gestion de projets en environnement cyber

Les expériences et références doivent être documentées et, le cas échéant, assorties de preuves de reconnaissance externe (publications, travaux, certifications).

Domaines d'expertise
Le prestataire devra démontrer une maîtrise opérationnelle des activités de cybersécurité offensive et de gestion de projets associés, comprenant :

• Organisation et suivi d'activités de cybersécurité et de tests offensifs en environnement projet
• Maîtrise des méthodes de calcul de coûts et contrôle de gestion
• Connaissance éprouvée des référentiels PASSI, ISO 17025 ou équivalents
• Compréhension des enjeux techniques, fonctionnels, financiers et opérationnels en cybersécurité
• Expertise technique démontrée en tests d'intrusion, reverse engineering, analyse inforensique ou conformément à des référentiels reconnus (PTES, OSSTMM, PCI-DSS)

Des certifications ou preuves d'expertise pourront être exigées selon le périmètre confié.