RSSI - Responsable de la Sécurité des Systèmes d'Information

Certifié ISO 27001 et HDS, Numberly cherche une personne capable d'incarner et de pérenniser la dynamique d'amélioration continue et l'évolution à grande échelle des différents aspects de la sécurité des systèmes d'information du groupe.

Dans un environnement technique mature et sur une stack technique entièrement maîtrisée en interne, nos challenges sont d'apporter des solutions souveraines sans compromis sur la sécurité à des problématiques et exigences concrètes pour nos équipes et nos clients.

Numberly est reconnu comme l'un des meilleurs spécialistes mondiaux du Data Marketing avec près de 500 collaborateurs et 8 bureaux dans le monde au service de plus de 500 clients de premier plan (L'Oréal, Ipsen, Groupe Seb, Moleskine, Ouigo, Maje, HSBC). En mettant la technologie au service des marques et des consommateurs, Numberly est au cœur de la croissance des entreprises et de l'aspiration de chacun à un marketing plus responsable et plus pertinent. Numberly s'appuie sur les avancées les plus récentes en matière de traitement, d'analyse et d'activation media des données dans un contexte vertueux alliant compétitivité des entreprises et respect renforcé de la vie privée et de la protection des données.

Description du poste :

Le ou la
Responsable de la sécurité des systèmes d'information
(RSSI) assure le pilotage de la sécurité au sein de Numberly, reporte directement au CTO et a les responsabilités suivantes :

• définir et organiser la politique de sécurité des systèmes d'information (prévention, protection, détection, résilience, remédiation) et veiller à son application et à son amélioration continue.
• porter l'analyse de risques du groupe et articuler son plan de traitement avec les différentes équipes.
• piloter les différents périmètres de certification du groupe pour garantir et améliorer notre conformité aux normes ISO 27001 et HDS.
• assurer un rôle de conseil, d'assistance, d'information, de formation et d'alerte, en particulier auprès des équipes et s'assure du bon lien avec les instances de pilotage et de gouvernance du groupe.
• assurer la mise en place des solutions et des processus opérationnels pour garantir la protection des données, le niveau de sécurité du système d'information et des collaborateurs.
• représenter la société auprès des clients, fournisseurs et autorités de régulations.
• manager et guider les équipes DevSecOps et GRC afin de fluidifier la mise en place et l'intégration des enjeux de sécurité SI dans les besoins client et métier.
• porter la vision sécurité du groupe auprès des équipes techniques (Data, Software Engineering, Infrastructure) et métier du groupe.

Missions et activités :

Gouvernance et gestion des risques :

• Articulation de la roadmap sécurité du groupe, aussi bien sur le plan technique que conformité
• Organisation de la sécurité et mise en oeuvre du cycle PDCA sur l'ensemble du groupe
• Rédaction, diffusion et implémentation des politiques de sécurité du groupe
• Mise en oeuvre de la gestion des risques du groupe
• Diffusion et suivi du plan de traitement des risques au sein des autres équipes du groupe
• Pilotage et animation du SMSI du groupe
• Reporting régulier aux organes de gouvernance du groupe le niveau de couverture courant des risques de sécurité SI

Sécurité clients et fournisseurs :

• Lien avec les organes de gouvernance SSI de nos clients (contrats, appels d'offre)
• Traitement des demandes relatives à la sécurité des données des clients en lien avec notre DPO
• Mise en place et contrôle de nos exigences de sécurité auprès de nos fournisseurs

Sensibilisation et formation :

• Mise en place de formations de sensibilisation sur la sécurité à l'attention des différentes équipes
• Organisation et exécution de campagnes de sensibilisation à la sécurité IT (phising/social engineering interne)
• Conseil auprès des organes de gouvernances et des métiers couverts par son périmètre

Gestion des incidents et continuité de la SSI :

• Conduite du traitement des incidents de sécurité
• Vérification de la mise en oeuvre des éléments techniques de sécurité conformément aux attendus
• Conduite des projets de sécurité IT
• Mise en oeuvre des plans de continuité d'activité (PCA) et plan de reprise d'activité (PRA) avec les équipes métiers
• Organisation et exécution de tests d'intrusion graybox/blackbox internes/externes sur les systèmes et applicatifs et suivi des remédiations
• Organisation et exécution de scan de vulnérabilités internes/externes automatisés et semi-automatisés et suivi des remédiations
• Participation à la veille technique: CVEs, Zero-Days, …

Notre environnement :

• Infrastructure physique avec 2 datacenters situés en région parisienne
• Serveurs: +500
• Automation : Ansible, Terraform
• CI/CD : GitLab
• Virtualisation : Proxmox
• Containers : Kubernetes (on-premises, AWS EKS, Azure AKS)
• Load-balancing : HAProxy, OpenResty (nginx), Envoy
• Monitoring : Prometheus, Thanos, Kafka, Elasticsearch, Graylog
• Tracing : Sentry
• Langages : Python, Go, Rust
• OS serveur : Ubuntu / Debian
• OS user : Windows / MacOS / Linux
• APIs : REST
• Cloud : AWS, Azure

Outils de sécurité et frameworks :

• MDM : Intune, Kandji
• Logs : Kafka, Graylog, Vector, CrowdSec
• IDS/IPS : Falco
• EDR : HarfangLab, Microsoft Defender for Endpoint
• Scanning : Ivre, Burp Suite
• SAST : GitLab SAST, Semgrep, etc.
• KMS/PKI : HashiCorp Vault
• Containers : Kyverno, Harbor

Qualifications :

Vous avez :

• Un bac +4/+5 cursus universitaire ou école d'ingénieur
• Une expérience sur un poste similaire
• Le sens du contact et forte motivation pour travailler dans un environnement innovant et international
• Un bon niveau d'anglais oral et écrit
• Un intérêt pour la recherche, la mesure de l'efficacité et le travail dans un environnement hétérogène
• Un esprit d'analyse (challenger l'existant)
• Un sens des responsabilités
• Le sens de la confidentialité

Technique :

• Connaissance des systèmes Linux
• Connaissances/notions de pentesting
• Connaissances/notions des normes et guidelines de référence (ISO 27001, OWASP…)
• Connaissance des équipements des solutions de sécurité d'entreprise (Firewalling, WAF, SIEM, Anti-malware…)
• Connaissance des types de menaces et vulnérabilités, des technologies et moyens de protection

Informations complémentaires :

• Chez Numberly, nous partageons une passion pour la transmission : des talks internes hebdomadaires, des rencontres avec des professionnel·le·s expert·e·s dans leur domaine, un apprentissage permanent.
• Un onboarding rapide et puissant, notamment grâce à notre plateforme de learning interactive et personnalisée ; aux Vis ma vie dans des équipes différentes ; aux Happy Meetings, des rendez-vous mensuels internes pour se retrouver avec toutes nos équipes dans le monde et partager l'actualité du groupe ; aux Jedi Masters pour accompagner les nouveaux talents.
• Nous cultivons la liberté de parole qui permet à toutes et tous de participer au développement du groupe.
• Nous agissons positivement sur notre écosystème à travers 1000mercis impacts et via nos activités qui créent de la valeur dans l'Open Internet et participent à l'enrichissement de l'Open Source.
• Numberly est acteur de la diversité et Gender Equal by design (Gender Equity score de 97/100).
• Numberly est certifié ISO/IEC 27001:2023 ; cette certification reconnaît le respect des normes les plus élevées en matière de sécurité de l'information.
• Nous évoluons dans un environnement international avec plus de 30 nationalités dans nos équipes.
• Des bureaux à l'image de chacune des équipes, une bibliothèque généreuse, un grand studio de musique tout équipé, deux chats, du tri sélectif et du lombricompostage, la possibilité de venir avec votre animal de compagnie et de la place pour les vélos Dans chaque cuisine : café, thé, infusions à volonté et aussi des mystery lunchs.
• Abonnement Wellpass (ex-Gymlib), des cours de sport et des soirées (souvent déguisées).
• Possibilité d'être en télétravail ponctuellement.
• Carte Swile (titres-restaurants).
• Numberly accueille les personnes en situation de handicap.