(KPMG) Directeur(trice), Génie informatique

summary description of functions

• Conseiller les clients dans la gestion des risques technologiques en matière de projets de transformation digitale (technologies nouvelles ou émergentes), d’ analyses de risques technologiques, de gouvernance informatique, de services fournis par des tiers, de protection des renseignements personnels, de résilience et de continuité des activités, de cybersécurité, de conformité réglementaire…
• Encadrer les consultants séniors sur les mandats
• Servir de mentor et de gestionnaire de performance pour le personnel junior, en mettant l'accent sur l'exploitation et le développement de leur potentiel.
• Assurer la rentabilité des mandats gérées.
• Stimuler la croissance de nouvelles affaires en identifiant et en promouvant les services dans la communauté des affaires par le biais de présentations, en recherchant des opportunités et en élaborant des propositions.

• Planifier les mandats et l’allocation des ressources.
• Mettre en place et opérationnaliser des dispositifs de gestion de risques TI.
• Identifier l'état des contrôles existants et leur efficacité pour l'atténuation des risques informatiques y compris la continuité des affaires.
• Réaliser des évaluations des risques en analysant les scénarios de risques informatiques, en déterminant leur probabilité et leur impact.
• Réaliser des analyses d’impact sur les activités (BIA), et déterminer les paramètres de reprise (Recovery Point Objective –RPO-, Recovery Time Objective – RTO-).
• Faciliter la sélection des réponses recommandées aux risques par les principales parties prenantes.
• Collaborer avec les propriétaires de risques à l'élaboration de plans de traitement des risques.
• Collaborer avec les responsables des contrôles sur la sélection, la conception, la mise en œuvre et la maintenance des contrôles TI.
• Examiner les résultats des évaluations de contrôle pour déterminer l'efficacité et la maturité de l'environnement de contrôle TI.
• Communiquer les informations pertinentes sur les risques et les contrôles aux parties prenantes concernées.
• Évaluer en règle générale les thématiques suivantes :
• La conformité des politiques et pratiques informatiques de l'organisation avec les exigences réglementaires et légales.
• Les processus de sélection des fournisseurs de solutions et de services TI et de gestion des contrats sont conformes aux exigences opérationnelles et de sécurité.
• Les politiques et les pratiques de l'organisation en matière de gestion de projet
• Les contrôles à toutes les étapes du cycle de vie du développement des systèmes d'information.
• L'état de préparation des systèmes d'information en vue de leur mise en œuvre et de leur migration en production.
• Les systèmes après leur mise en œuvre afin de déterminer si les produits livrables, les contrôles et les exigences du projet sont respectés.
• Les pratiques de gestion des services informatiques sont conformes aux exigences opérationnelles et répondent aux attentes des affaires.
• Les opérations informatiques pour déterminer si elles sont contrôlées efficacement et continuent de soutenir les objectifs des affaires.
• Les politiques et les pratiques de gouvernance des données.
• Les politiques et les pratiques de gestion des problèmes et des incidents.
• Les politiques et pratiques de gestion des changements, des configurations, des versions et des correctifs.
• Les politiques et pratiques de l'organisation en matière de sécurité de l'information et de confidentialité.
• Les contrôles physiques et environnementaux afin de déterminer si les actifs informationnels sont adéquatement protégés.
• Les contrôles de sécurité logique pour vérifier la confidentialité, l'intégrité et la disponibilité des informations.
• Les pratiques de classification des données
• Les politiques et les pratiques liées à la gestion du cycle de vie des actifs.
• Le programme de sécurité de l'information pour déterminer son efficacité et son alignement sur les stratégies et les objectifs de l'organisation.
• Effectuer des tests de sécurité technique pour identifier les menaces et les vulnérabilités potentielles.

• De formation supérieure maîtrise en Science, école d’ingénieur en informatique ou doctorat, spécialités informatique, cybersécurité audit ou gestion des TI (architecture et urbanisation TI, développement, gestion des projets TI, administration et gestion des bases de données...)
• Une expérience d’au moins 6 ans en tant que responsable d’une entité d’audit ou manager/sénior consultant dans un cabinet d’audit ou de conseil;
• Disposition d’une ou plusieurs certifications professionnelles : CISA, CRISC, CISM, CISSP, ITIL, ISO 2700X, Ethical Hacker ou autre référentiel et standard du marché ;
• Connaissance des cadres et des normes de contrôle, de gestion des risques et de sécurité de l'information : COBIT, NIST CSF, NIST SP 800-30, NIST SP 800-53, NIST SP 800-37, CIS, ISO 22301, ISO 27001, ISO 27002, ISO 27005, ISO 31000…
• Maitrise de l’environnement des TI et de ses risques (sur un ou plusieurs des domaines suivants) : Architecture d'entreprise; gestion des opérations informatiques (par exemple, gestion des changements, actifs informatiques, problèmes, incidents); cycle de vie de développement des systèmes (SDLC); la gouvernance des données; les concepts de la sécurité de l'information; la gestion de la continuité et de la résilience des affaires
• Capacités d’analyse et de synthèse ;
• Très bonne qualité rédactionnelle;
• Maitrise de la langue française et de la langue anglaise, afin d'offrir un support à nos clients internes et externes.