Le Third-Party Risk Manager (TPRM) est responsable de la mise en place, de la gestion, de la supervision et de l’atténuation des risques liés à la sécurité de l’information associés aux fournisseurs, prestataires de services et sous-traitants tiers, et ce en conformité avec la Directive NIS2. Ce rôle garantit que les partenaires externes respectent les normes et politiques de sécurité de Belnet, se conforment aux obligations de la NIS2 et n’introduisent pas de risques inacceptables pour les opérations métier.

Le manager développera et maintiendra des relations solides avec les tiers, facilitera les évaluations des risques et collaborera avec les parties prenantes internes pour renforcer la résilience de l’organisation face aux menaces de sécurité de l’information.

Nous recherchons uniquement des candidats ayant effectivement exercé ce rôle tel que décrit ici.

Responsabilités principales

Gouvernance de la sécurité des fournisseurs tiers : Définir et construire la gouvernance et les processus nécessaires pour la gestion des risques liés à la sécurité de l’information des fournisseurs tiers. Évaluer et classifier les tiers en fonction de leur criticité et du risque pour les services essentiels ou importants. Assister le CISO et l’équipe Procurement dans le développement et la maintenance des politiques et procédures de sécurité pour la sécurité des fournisseurs.

Conformité NIS2 : S’assurer que toutes les relations avec les tiers respectent les exigences en cybersécurité définies par la Directive NIS2, incluant la gestion des risques, la notification des incidents et la sécurité de la chaîne d’approvisionnement.

Évaluation et gestion des risques des tiers :

• Réaliser des due diligence de sécurité approfondies et des évaluations des risques des fournisseurs tiers existants et potentiels, en se concentrant sur leur capacité à satisfaire aux normes NIS2.
• Maintenir un registre des risques actualisé et des plans de traitement des tiers ainsi que leur statut de risque, comme l’exige la NIS2.
• Établir des méthodologies de scoring des risques et des critères pour la catégorisation des fournisseurs.
• Mettre en place et surveiller des indicateurs de performance de sécurité pour les fournisseurs clés.
• Gérer l’ensemble du cycle de vie du risque tiers, de l’intégration jusqu’à la fin du contrat.

Support Contractuel et Procurement :

• Collaborer avec Procurement et le CISO pour s’assurer que les contrats avec les tiers incluent des clauses de cybersécurité robustes, des exigences claires de notification d’incident, et des droits d’audit conformément à la NIS2.
• Revoir et approuver les clauses cybersécurité dans les accords tiers.
• S’assurer que les exigences de protection des données et de confidentialité sont intégrées dans les contrats fournisseurs.
• Soutenir les négociations contractuelles sur les aspects sécurité et l’allocation des risques.
• Gérer les accords de niveau de service (SLA) liés à la sécurité et les pénalités associées.

Sécurité de la chaîne d’approvisionnement : Développer et maintenir des processus permettant d’identifier, de surveiller et d’atténuer les risques dans la cyber-résilience de la chaîne d’approvisionnement, en veillant à ce que les fournisseurs mettent en œuvre les mesures techniques et organisationnelles appropriées. Cela inclut la surveillance continue des dépendances fournisseurs.

Suivi & Reporting : Superviser la surveillance continue de la conformité des tiers, incluant les KPI, SLA, revues régulières, audits et suivi des actions correctives :

• Développer et maintenir des tableaux de bord et mécanismes de reporting sur les risques des tiers.
• Préparer des rapports réguliers pour le Management, le Risk Office et Procurement sur la posture de risque des tiers, le statut de conformité et l’avancement des remédiations, en mettant en avant toute problématique liée à la NIS2.
• Suivre et rapporter l’efficacité des activités de mitigation des risques.

Gestion des incidents et notifications : Coordonner avec les tiers afin d’assurer une notification rapide et une gestion efficace des incidents de sécurité ou des notifications de violation, conformément aux délais de notification d’incident NIS2.

Engagement des parties prenantes : Faire le lien avec les équipes internes (ICT, Risk, Procurement) et les partenaires externes pour promouvoir une compréhension partagée des exigences NIS2 et des meilleures pratiques de gestion des risques tiers. Faciliter des réunions régulières de revue de sécurité avec les fournisseurs critiques.

Sensibilisation & Formation : Superviser le développement et la délivrance de programmes de sensibilisation et de formation pour les tiers sur les obligations NIS2 et la sécurité de la chaîne d’approvisionnement, ainsi que sur les politiques de sécurité de l’information pertinentes de Belnet.

Qualifications et Expérience

• Diplôme de Bachelor ou Master en Sécurité de l’Information, Gestion des Risques, Droit ou domaine connexe.
• Minimum 4 ans d’expérience en third-party risk management, cybersécurité ou conformité, de préférence dans un environnement réglementé ou gouvernemental.
• Bonne connaissance de la Directive NIS2 et de ses exigences pour les entités essentielles.
• Maîtrise des clauses de la norme ISO/IEC 27001 relatives à la sécurité des relations fournisseurs fortement souhaitée.
• Expérience générale en supply chain security, évaluation des fournisseurs et négociation de contrats.
• Bonne connaissance d’autres standards de sécurité de l’information appréciée (ex : NIST, CIS Controls, CCB CyberFundamentals).
• Certifications pertinentes (ex : CISM, CISSP, CRISC, ISO 27001 Lead Implementer) ou certifications en Third-Party Risk Management sont un atout.
• Expérience avec les marchés publics fortement appréciée.
• Bonne connaissance de la protection des infrastructures critiques ou du Cyber Resilience Act de l’UE appréciée.
• Expérience avec les plateformes GRC, en particulier ServiceNow, est un atout.
• Excellentes compétences en communication, négociation et gestion des parties prenantes.

Compétences clés

• Compréhension approfondie de la conformité réglementaire, en particulier NIS2.
• Solides compétences analytiques et d’évaluation des risques.
• Expérience dans la réalisation et le maintien d’évaluations des risques fournisseurs.
• Capacité à traduire les exigences de sécurité de l’information en clauses contractuelles.
• Aptitude à influencer et collaborer avec les parties prenantes internes et externes.
• Proactif, rigoureux et engagé dans l’amélioration continue.