Délégué à la sécurité de l'information (m/f) (réf. E00041608) (réf. F00041609) (réf. M00041610)

Qui recrute ?

Missions

• La Mission du Ministère :
  • Composé d’environ 130 collaborateurs, le ministère de la Santé et de la Sécurité sociale (M3S) prépare et met en œuvre la politique du Gouvernement dans les domaines de la santé publique et de la sécurité sociale. Guidé par les valeurs fondamentales que sont l’universalité de l’accès aux soins, la qualité des prestations, l’équité de l’offre et la solidarité intergénérationnelle, le M3S veille à garantir une offre de soins moderne, efficace, financièrement durable et adaptée aux besoins de la population, tout en assurant un accès équitable à des services de santé de qualité;
  • Nous recherchons un Délégué à la sécurité de l’Information expérimenté pour rejoindre notre ministère et piloter la stratégie de cybersécurité;
  • Véritable garant de la protection de nos systèmes d’information et de nos données, le DSI est un acteur clé de la transformation numérique et de la mise en conformité réglementaire de notre ministère. Il assurera en outre un appui aux entités sous tutelle du ministère et aux entités du secteur de la santé et de la sécurité sociale tombant dans le champ d’application de la directive dite « NIS 2 », et sera amené à collaborer et à guider ces entités.

• Missions :
  • Gouvernance de sécurité de l’information ;
    • Définir, superviser et coordonner la mise en œuvre de la stratégie de la sécurité de l’information de l’entité, en cohérence avec la stratégie du ministère et en partenariat avec le référent à la protection des données désigné au sein du ministère, le service digitalisation et le service Projets, Organisation, IT et assurer les relations et le suivi avec notre DPO externe et la cohérence informatique;
    • Implémenter/piloter et maintenir le Système de management de la sécurité de l'information (SMSI), si nécessaire;
    • Définir et mettre en œuvre la Politique de sécurité des systèmes d’information de l’entité (PGSI), en conformité avec la PGSI de l’État luxembourgeois;
    • Conseiller la Direction sur les mesures de sécurité de l’information à mettre en œuvre;
    • S’assurer de l’implémentation des fonctions et organes nécessaires à la gouvernance de sécurité de l’information (p.ex. Comité de Sécurité de l’Information);
    • Assurer une veille technologique et réglementaire pour anticiper les nouvelles menaces;
    • Coordination de la sécurité de l’information avec les autorités sous tutelle du M3S et les fournisseurs de services informatiques du M3S;
    • Collaborer activement avec le service protection des données du M3S.
  • Gestion des risques :
    • Définir et implémenter une approche structurée de gestion des risques liés à la sécurité de l’information;
    • Collaborer avec les responsables de projets pour intégrer la sécurité dès la conception (Security by Design) dans les applications informatiques et les ‎processus métiers.‎
  • Gestion de la sensibilisation et de la formation : 
    • Diffuser une culture de sécurité des systèmes d’information au sein de l’entité;
    • S’assurer que les collaborateurs sont sensibilisés (règles de sécurité, enjeux de sécurité, etc.) et formés en matière de sécurité de l’information.
  • Gestion des incidents de sécurité de l’information :
    • Prendre les mesures techniques et/ou organisationnelles permettant la surveillance des événements de sécurité de l’information;
    • Contribuer au pilotage des incidents de sécurité de l’information, le cas échéant en lien avec le service protection des données et/ou avec le GOVCERT;
    • S’assurer que les autorités compétentes soient notifiées en cas d’incident de sécurité.
  • Gestion de la continuité des activités :
    • Définir, mettre en œuvre et maintenir le plan de continuité des activités (« Business Continuity Plan »); 
    • Sensibiliser et former les collaborateurs au plan de continuité des activités;
    • Coordonner les exercices en matière de continuité des activités.
  • Gestion de la conformité :
    • Evaluer le niveau de sécurité, notamment à travers la réalisation d’audits /revues de sécurité;
    • S’assurer que la sécurité de l’information est intégrée dans le dispositif de contrôle interne, et réaliser des contrôles clés si nécessaire.
• Ce que nous vous offrons :
  • Un environnement de travail stimulant, au croisement des enjeux réglementaires, économiques et de santé publique;
  • Des opportunités de développement professionnel et de montée en compétences dans un domaine stratégique;
  • Un horaire de travail flexible.

Profil

Compétences techniques

• Législations et réglementation :
  • Savoir appliquer les normes internationales (p.ex. ISO 27001/27002 ou ISO 27005) et la législation nationale et européenne dans le domaine de sécurité des systèmes d’information.
• Aptitudes techniques :
  • Expérience : Minimum 15 ans en sécurité informatique/de l’information ou gestion de la cybersécurité, avec une expérience confirmée en management ou en tant que RSSI;
  • Bonne connaissance de la santé et/ou de la sécurité sociale luxembourgeoise et de son fonctionnement;
  • Excellente connaissance de la Directive NIS2, de ses exigences et de son implémentation et connaissances approfondies sur les normes internationales (p.ex. ISO 27001/27002 ou ISO 27005) et la gestion de la continuité d’activité (BCP/DRP);
  • Compétences et solide expérience dans le domaine de la protection des données à caractère personnel (GDPR);
  • Disposer d’une très bonne compréhension des technologies de l’information et de la sécurité des données, notamment des nouvelles technologies telles que l’intelligence artificielle ou la Blockchain;
  • Témoigner d’une compétence en gestion de projets;
  • Disposer de certifications en sécurité de l’information (p.ex. CISSP, CISM ou ISO 27001);
  • Maîtriser la formalisation et la mise à jour des processus de sécurité des systèmes traitement;
  • Actif au niveau associatif (networking) dans le domaine de la sécurité de l’information ou de la protection des données;
  • Connaissance de l’outil d’analyse de risques MONARC.

Compétences comportementales

• Qualités personnelles : leadership, esprit d’analyse, rigueur, pédagogie, excellente communication auprès d’équipes techniques comme de la direction générale.
• Autonomie et sens de l’initiative;
• Esprit d’équipe;
• Être capable de promouvoir une culture de la sécurité de l’information;
• Avoir des capacités à animer des formations ou des workshops;
• Discrétion et loyauté.

Atouts

• Une certification en sécurité de l’information (p.ex. CISSP, CISM ou ISO 27001);
• Expérience et connaissances dans l’audit de systèmes d’information;
• Excellente compréhension de la langue Luxembourgeoise.

Conditions d’admission

Le poste peut être brigué sous le statut du fonctionnaire de l’État ou de l’employé de l’État. Il est ouvert au changement d'administration des fonctionnaires.

Obtenez plus de détails sur les conditions d'admission :

• Pour devenir fonctionnaire de l'État
• Pour changer d'administration en tant que fonctionnaire
• Pour devenir employé de l'État.

Diplômes

Vous êtes titulaire d’un grade ou diplôme délivré par un établissement d’enseignement supérieur reconnu par l’État du siège de l’établissement et sanctionnant l’accomplissement avec succès d’un master en informatique, cybersécurité (école d’ingénieur), en management de la sécurité des systèmes d’information ou de son équivalent.

Le grade ou diplôme requis doit correspondre au moins au niveau 7 tel que défini par le Cadre luxembourgeois des qualifications.

Expérience

Vous avez une expérience d'au moins 10 ans dans le domaine.

Langues

Applicable à l'employé et au fonctionnaire (hors changement d'administration) : Vous répondez aux exigences de connaissances des 3 langues administratives pour le groupe A1.

Nationalité

Vous avez la nationalité luxembourgeoise.