Contexte

Digit’Eaux est le partenaire de référence des acteurs du secteur de l’eau en Wallonie pour leurs projets de transformation digitale, accompagnant notamment la SWDE, la SPGE et plusieurs Organismes d’Assainissement Agréés (OAA).

Reconnue comme entité essentielle au sens de la directive NIS2, Digit’Eaux intervient dans la conception, la coordination et la mise en œuvre de projets informatiques structurants, tout en accompagnant ses coopérateurs en amont dans la définition de leur stratégie de gouvernance et de gestion des risques SI.

Dans ce cadre, le pôle Cybersécurité de Digit’Eaux souhaite s’adjoindre les services d’un GRC Manager expérimenté, chargé de structurer et piloter les démarches de gouvernance, de gestion des risques et de conformité (NIS2, ISO 27001) pour Digit’Eaux et les coopérateurs du secteur de l’eau (assainissement et eau potable).

Le consultant intégrera l’équipe cybersécurité interne et collaborera étroitement avec le CISO et les équipes et sous-traitants de Digit’Eaux.

Mission

Dans le cadre de la mise en conformité de Digit’Eaux et de ses clients coopérateurs vis-à-vis des exigences réglementaires NIS2 et de la norme ISO 27001:2022, le Cybersecurity GRC Manager vient renforcer l’équipe sécurité pilotée par le CISO.

Il/Elle prend en charge les activités opérationnelles de gouvernance, de gestion des risques et de conformité (GRC), en soutien direct au CISO et en interface avec les clients du portefeuille MSP :

• Piloter et rédiger la documentation du Système de Management de la Sécurité de l’Information (SMSI) : politiques, procédures, plans de traitement des risques.
• Accompagner les clients dans leur démarche de certification ISO 27001, de l’analyse d’écart jusqu’à l’audit de certification.
• Assurer la préparation des audits internes et externes, le suivi des non-conformités, et la mise à jour continue du SMSI.
• Contribuer à la mise en œuvre de la conformité NIS2 pour les entités essentielles et importantes du périmètre.
• Utiliser et administrer l’outil GRC CISO Assistant (ou équivalent) pour le suivi des contrôles, des risques et des plans d’action.

Skills

Softskills

Rigueur documentaire : Capacité à produire une documentation précise, cohérente et maintenable dans la durée — politiques, procédures, plans de traitement des risques rédigés sans ambiguïté.

Communication orale et écrite : Aisance à s’exprimer clairement face à des interlocuteurs variés (direction, Comex, équipes techniques, responsables métier clients) et à rédiger synthèses et présentations destinées aux instances dirigeantes. Capacité à adapter le niveau de langage selon l’audience — vulgariser sans simplifier à l’excès.

Écoute active et intelligence relationnelle : Aptitude à comprendre les contraintes réelles des clients et des sous-traitants, à reformuler leurs besoins, et à instaurer un climat de confiance propice à la co-construction des procédures et processus de sécurité.

Négociation et influence sans autorité hiérarchique : Capacité à faire avancer des sujets de conformité auprès d’interlocuteurs qui ne sont pas sous l’autorité directe de Digit’Eaux — clients coopérateurs, prestataires tiers, équipes IT externes. Savoir défendre une exigence de sécurité tout en restant constructif et orienté solution.

Sens de la pédagogie : Aptitude à rendre accessibles les exigences ISO 27001 et NIS2 auprès d’opérationnels non-spécialistes, à conduire des ateliers de travail collaboratifs (ateliers risques, revues documentaires, sensibilisation), et à embarquer les parties prenantes dans la démarche de conformité.

Gestion des résistances et conduite du changement : Capacité à gérer les réticences organisationnelles face aux exigences de conformité, à identifier les bons relais internes chez le client, et à transformer des contraintes réglementaires perçues comme des obstacles en leviers d’amélioration opérationnelle.

Autonomie et proactivité : Capacité à avancer de manière indépendante sur les workstreams GRC, en rendant compte régulièrement au CISO et en escaladant les points de blocage au bon moment.

Orientation résultat : Focus sur les livrables concrets : politiques rédigées, audits préparés, non-conformités clôturées.

Adaptabilité : À l’aise dans un environnement MSP multi-clients à forte responsabilité opérationnelle, capable de jongler entre plusieurs contextes organisationnels et niveaux de maturité sécurité différents.

Compétences en gouvernance

• Maîtrise du cycle PDCA appliqué à un SMSI (ISO 27001).
• Capacité à rédiger et maintenir une Déclaration d’Applicabilité (SOA) avec justifications contextualisées.
• Connaissance des exigences NIS2 (entités essentielles/importantes, obligations de notification, mesures de sécurité).
• Expérience dans la conduite d’analyses de risques (ISO 27005 ou équivalent).
• Capacité à interagir avec les CISO clients et à positionner Digit’Eaux en tant qu’équipe sécurité opérationnelle étendue.
• Sensibilisation aux obligations RGPD et à leur articulation avec les exigences ISO 27001 / NIS2.

Compétences techniques (niveau fonctionnel/encadrement)

ISO 27001:2022 : maîtrise des 93 mesures de l’Annexe A, des clauses 4 à 10, et des exigences d’audit.

Rédaction documentaire : politiques de sécurité, procédures opérationnelles, plans de traitement des risques, rapports d’audit.

Gestion de projet : planification des jalons de conformité, suivi des plans d’action, reporting Comex.

Outils GRC : CISO Assistant, ou toute plateforme GRC équivalente (OneTrust, ServiceNow GRC, Archer…).

Culture IT et sécurité des infrastructures : compréhension solide des concepts fondamentaux de la sécurité des systèmes d’information et des réseaux, nécessaire pour évaluer la pertinence des contrôles et dialoguer efficacement avec les équipes techniques.

• Connaissance des environnements MSP et des architectures IT critiques (OT/IT, secteur de l’eau ou équivalent apprécié).
• Utilisation des frameworks complémentaires : CIS Controls, IEC 62443, ANSSI guides sectoriels.

Expérience

• Minimum 3 à 5 ans d’expérience dans un rôle GRC, Conformité SI ou Sécurité de l’Information.
• Expérience avérée dans la conduite ou le support à la certification ISO 27001 (participation à au moins un cycle complet : préparation, audit à blanc, audit de certification), une certification de type Lead Implementer ISO27001 est un plus.
• Expérience en contexte MSP, cabinet de conseil ou environnement multi-clients appréciée.
• Exposition aux secteurs réglementés (infrastructure critique, eau, énergie, santé, finance) considérée comme un atout.
• Bonne pratique de la langue française à l’écrit (production documentaire intensive) ; l’anglais technique est un plus.

La mission est susceptible au renouvellement selon l’appréciation du client.