Gestionnaire des risques opérationnels – Risques Cybersécurité
Vos missions au quotidien
La Direction de la Gestion des Risques contribue à la croissance durable du groupe Société Générale par son expertise, sa compréhension des risques et ses techniques de gestion des risques. La mission du département est d'analyser, d'évaluer, de gérer et de surveiller de manière indépendante les activités de prise de risque dans le but d'obtenir, avec la première ligne de défense, le meilleur résultat possible pour la banque. Le département supervise les risques d'entreprise, stratégiques, de crédit, de marché, de liquidité, opérationnels, de modèle et autres des activités de banque de financement et d'investissement.
Indépendante des Métiers, la Division Gestion des Risques (RISQ) a pour mission de contribuer au développement de l'activité du Groupe SG en facilitant la réalisation des objectifs des Lignes de Métiers tout en maintenant une surveillance indépendante par l'évaluation et le suivi des risques. La division RISQ aux États-Unis soutient l'ensemble des activités de la Région Amériques (États-Unis, Canada et Amérique latine), qui est presque exclusivement orientée banque de financement et d'investissement (GBIS)
À PROPOS DU POSTE :
Le Directeur des risques de cybersécurité est à la recherche d'un(e) gestionnaire(trice) des risques de cybersécurité qui se joindra à l'organisation RISQ/OPE pour aider à mieux définir la 2e ligne de processus, de politiques et d'outils de défense pour les environnements de données et de technologie de SG. Les domaines de couverture des cyber-risques comprennent les données de référence, le traitement des transactions, la transformation numérique (cloud), le renseignement sur les menaces, la gestion des identités et des accès, la protection des données et les incidents/réponses en matière de cybersécurité.
Ce rôle est chargé d'évaluer les risques globaux de cybersécurité, de maintenir une vue active et de rendre compte des risques de cybersécurité réels, atténués et résiduels dans l'organisation. Cette ressource aidera également à mieux définir les pratiques de défense de la 2e ligne de risque de cybersécurité, y compris, mais sans s'y limiter, les évaluations, les pratiques du cycle de vie, les incidents et les interventions opérationnels, la prestation de services et la PCA. Il s'agit d'un rôle de contributeur individuel.
Quel sera votre QUOTIDIEN ?
Les responsabilités quotidiennes comprennent, sans s'y limiter :
· Effectuer toute la gamme d'activités liées au cycle de vie de la gestion des risques liés à la technologie et à l'information et à la cybersécurité, y compris l'identification des risques, l'évaluation, la production de rapports et la surveillance de la planification et de l'exécution des mesures correctives. Par exemple, test d'intrusion de tiers, d'application, de base de données, d'infrastructure, de réseau
· Collaborer avec le directeur de la sécurité de l'information (RSSI) et les organisations informatiques pour établir des normes, des politiques et développer des KRI et des indicateurs clés de performance pour mesurer et surveiller les cyber-risques sur une base continue
· Élaborer et gérer le programme de gestion des risques liés à la technologie de l'information et à la sécurité de l'information, à l'aide d'une taxonomie des risques standard, telle que FAIR
· Fournir et exécuter des activités indépendantes d'assurance et de validation sur les contrôles de cybersécurité courants qui comprennent à la fois des contrôles administratifs et techniques
· Évaluer l'exactitude, l'exhaustivité et la suffisance du cadre de gouvernance, des processus et des méthodologies de gestion des risques. Identifier et définir les cybermenaces et les risques émergents pour l'environnement de SG
· Effectuer une remise en question efficace de tous les processus et contrôles critiques et hautement sensibles, ainsi que de la continuité des activités
· Élaborer des scénarios de risque de cybersécurité pour identifier les vecteurs d'attaque potentiels et les TTP (tactiques, techniques et procédures) pour guider l'amélioration continue de la posture de cyberdéfense de l'entreprise. Diriger et soutenir les efforts de remédiation de la cybersécurité, en participant à la planification stratégique avec 1LOD
· Recommander des améliorations aux architectures, aux processus et aux contrôles des données et des technologies afin d'améliorer la cybersécurité, les capacités de gestion des risques liés aux données et aux technologies pour les processus à haut risque, les rapports réglementaires et la surveillance des risques
· Développer et déployer des outils d'agrégation et de surveillance du risque cybersécurité, du risque données et du risque technologique
· Identifier les exigences légales, réglementaires et contractuelles, ainsi que les politiques et normes organisationnelles liées aux systèmes de gestion des données afin de déterminer leur impact potentiel sur les objectifs commerciaux
· Élargir les processus de gestion des risques opérationnels, la collecte de données et les outils de gestion des problèmes pour suivre et signaler les risques et les problèmes opérationnels liés aux données
· Participer et examiner les processus d'escalade des atteintes à la protection des données et des incidents technologiques/réponses
· Élaborer des scénarios de résilience opérationnelle pour les tests de résistance et les activités de planification des immobilisations
· Diriger ou soutenir certains efforts de remédiation en matière de cybersécurité
Et si c’était vous ?
Compétences requises :
· Baccalauréat et/ou master en informatique, en ingénierie ou dans un domaine technique pertinent
· Compréhension des services financiers en particulier dans le cadre des lois, réglementations, cadres et directives liés à la cybersécurité et à la confidentialité des données (NYSDFS - 23NYCRR500, ECB, GDPR, GLBA, Regulation S-P, etc.)
· Expérience de l'évaluation de la conception et de l'efficacité opérationnelle des contrôles technologiques
· Bases solides en technologie de l'information et principes de sécurité de l'information. Familier avec les cadres et normes de cybersécurité courants tels que NIST SP 800-53, NIST CSF, Mitre Attack, FFIEC CAT, CSC Top 20, COBIT, ISO 27000 series
· Expériences professionnelles antérieures dans le domaine de la cybersécurité et connaissances pertinentes en matière de conception de sécurité
· Avoir travaillé précédemment dans le domaine des risques et/ou de la sécurité de l'information/cybersécurité. Idéalement, a travaillé dans une fonction de risque de cybersécurité à 2 LOD
· Expérience dans l'évaluation des risques informatiques, l'audit informatique, la gestion de la sécurité de l'information
· Expérience de l'intégration d'outils de gestion des vulnérabilités et des correctifs au programme de gestion des risques TI/SI. De plus, communiquer et déterminer les priorités de correction des vulnérabilités
· Connaissance des exigences réglementaires et de l'environnement de la sécurité informatique aux États-Unis dans le secteur des services financiers est un atout (c'est-à-dire les règles FFIEC, FINRA, SEC, NIST)
· Solides compétences en leadership avec capacité à diriger par l'influence
Atouts pour le rôle :
· Certifications en gestion des risques informatiques ou en gouvernance (CGEIT, CRISC, CISA)
· Certifications CISSP, CISM ou CISA
LANGUAGE:
Ability to communicate in English, both orally and in writing, is a requirement as the person in this position will need to collaborate regularly with colleagues and partners in the United States.
Due to US Federal Securities law applying to this position, candidates who will apply for this position will be required to submit to an enhanced background screening, including the collection of their fingerprints by a third-party vendor selected by the Financial Industry Regulatory Authority ("FINRA")
Plus qu’un poste, un tremplin
NOS AVANTAGES :
CE QUE NOUS FAISONS DIFFÉREMMENT CHEZ SOCIÉTÉ GÉNÉRALE
Offre de rémunération et d’avantages concurrentiels, y compris, mais sans s’y limiter :
- Minimum de 20 jours de vacances + 4 jours personnels
- Politique de soutien en matière de congé de maternité, de paternité, parental et d'adoption
- Comptes de dépenses de santé (2 000 $/an) et de dépenses personnelles (1 000 $/an) avec plus de 75 catégories de remboursement admissibles (santé, formation, électronique, etc.)
- Assistance médicale virtuelle entièrement parrainée et programme d'aide aux employés pour vous et votre famille immédiate
- Divers groupes de ressources pour les employés (GRE) avec lesquels communiquer, comme Pride and Allies, American Women Network, Black Leadership Network, One planet, etc.
- Une culture de développement continu en encourageant nos collaborateurs à différents programmes de formation (plateforme de formation et de coaching en ligne comme Coursera, GoFluent, Pluralsight, First Finance, etc.)
Pourquoi nous choisir ?
NOTRE CULTURE:
Chez Société Générale, nous vivons selon nos 4 valeurs fondamentales : engagement, responsabilité, esprit d'équipe et innovation. Nous sommes engagés et faisons preuve de considération pour les autres. Nous agissons de manière éthique et avec courage. Nous concentrons notre talent et notre énergie sur la réussite collective. Nous expérimentons et proposons de nouvelles idées. Ainsi, nous maximisons notre capacité à répondre aux besoins des clients et à anticiper les évolutions du marché. Société Générale s'engage à renforcer les liens avec ses collègues, les communautés et le monde dans lequel nous vivons, car les relations sont au cœur de notre fonctionnement.
Pour plus d'informations sur nos initiatives Culture et Conduite, veuillez consulter ce lien (https://americas.societegenerale.com/en/careers/get-know-culture/)
D&I:
Notre mission en matière de diversité et d'inclusion : Recruter, développer, faire progresser et retenir une main-d'œuvre diversifiée, unie dans nos efforts pour améliorer notre position concurrentielle et offrir des solutions innovantes à nos clients.
Notre vision de la diversité et de l'inclusion :
• Une main-d'œuvre engagée et diversifiée sur le plan démographique, à l'image des communautés dans lesquelles nous opérons.
• Une culture et un lieu de travail inclusifs qui reconnaissent les besoins uniques des employés et utilisent leurs divers talents.
• Engager notre communauté et notre marché, et positionner l'organisation pour répondre aux besoins de tous ses clients.
Pour plus d'informations sur nos initiatives D&I, veuillez consulter ce lien : https://americas.societegenerale.com/en/societe-generale-about/diversity-and-inclusion/
ENVIRONNEMENT DE TRAVAIL HYBRIDE:
Société Générale propose un régime de travail hybride qui offre aux employés la possibilité de travailler à distance, ainsi que sur place, afin de promouvoir l'interaction et la collaboration avec les collègues tout en adhérant à tous les protocoles standard de SG. Les modalités de travail hybride varient en fonction du secteur d'activité. Les secteurs d'activité concernés détermineront et communiqueront les modalités de travail qui répondent le mieux à leurs besoins.