Nous recherchons uniquement des candidats ayant effectivement exercé cette fonction telle que décrite ici, au plus tard au cours des 5 dernières années.

Aperçu du rôle

Le Third-Party Risk Manager (TPRM) est responsable de la mise en place, la gestion, la supervision et l’atténuation des risques liés à la sécurité de l’information associés aux fournisseurs, prestataires de services et sous-traitants tiers, et ce en conformité avec la Directive NIS2. Ce rôle veille à ce que les partenaires externes respectent les standards et politiques de sécurité de Belnet, soient conformes aux obligations NIS2, et n’introduisent pas de risques inacceptables pour les opérations de l’entreprise.

Le manager est positionné au sein du Procurement, construit et maintient de solides relations avec les tiers, facilite les évaluations des risques, et collabore avec les parties prenantes internes afin de renforcer la résilience de l’entreprise face aux menaces de sécurité de l’information.

Responsabilités principales

Gouvernance de la sécurité des fournisseurs tiers :
Définir et établir la gouvernance et les processus nécessaires à la gestion des risques de sécurité de l’information des fournisseurs tiers. Évaluer et classer les tiers selon leur criticité et le risque pour les services essentiels ou importants. Assister le CISO et Procurement dans le développement et la maintenance des politiques et procédures de sécurité pour la sécurité des fournisseurs.

Conformité NIS2 :
Veiller à ce que toutes les relations avec les tiers respectent les exigences de cybersécurité définies dans la Directive NIS2, y compris la gestion des risques, la notification des incidents et la sécurité de la chaîne d’approvisionnement.

Évaluation & gestion des risques des tiers :

• Effectuer une due diligence approfondie et des évaluations des risques de sécurité des fournisseurs tiers existants et potentiels, en se concentrant sur leur capacité à répondre aux normes NIS2.
• Maintenir un registre des risques et des plans de traitement des tiers à jour, ainsi que leur statut de risque, conformément aux exigences NIS2.
• Définir les méthodologies de scoring des risques et les critères de catégorisation des fournisseurs.
• Définir et surveiller les indicateurs de performance de la sécurité pour les fournisseurs clés.
• Gérer l’ensemble du cycle de vie du risque des tiers, de l’onboarding à la résiliation du contrat.

Support contractuel et procurement :

• Collaborer avec Procurement et le CISO pour garantir que les contrats avec les tiers comprennent des clauses de cybersécurité robustes, des exigences claires de notification d’incident et des droits d’audit tels que requis par NIS2.
• Revoir et approuver les clauses de cybersécurité dans les accords avec les tiers.
• Veiller à ce que les exigences en matière de protection des données et de respect de la vie privée soient intégrées dans les contrats fournisseurs.
• Soutenir les négociations contractuelles concernant les termes de sécurité et la répartition des risques.
• Gérer les accords de niveau de service liés à la sécurité ainsi que les pénalités.

Sécurité de la chaîne d’approvisionnement :
Développer et maintenir des processus pour identifier, surveiller et atténuer les risques liés à la cyber résilience de la chaîne d’approvisionnement, en s’assurant que les fournisseurs mettent en œuvre des mesures techniques et organisationnelles appropriées. Cela inclut la surveillance continue des dépendances fournisseurs.

Surveillance & Reporting :
Superviser la surveillance continue de la conformité des tiers, incluant les KPI, SLA, examens réguliers, audits et suivi des actions correctrices :

• Développer et maintenir des tableaux de bord de risques des tiers et des mécanismes de reporting.
• Préparer des rapports réguliers pour le Management, le Risk Office et Procurement sur la posture de risque des tiers, le statut de conformité et l’avancement des remédiations, en mettant en avant toute problématique liée à NIS2.
• Suivre et rapporter les activités et l’efficacité des mesures d’atténuation des risques.

Gestion des incidents et notifications :
Coordonner avec les tiers pour garantir la notification rapide et la gestion efficace des incidents de sécurité ou des notifications de violation, conformément aux délais de notification des incidents NIS2.

Engagement des parties prenantes :
Collaborer avec les équipes internes (ICT, Risk, Procurement) et les partenaires externes afin de promouvoir une compréhension partagée des exigences NIS2 et des meilleures pratiques en gestion des risques liés aux tiers. Animer des réunions régulières de revue de la sécurité avec les fournisseurs critiques.

Sensibilisation & Formation :
Superviser le développement et la mise en œuvre de programmes de formation et de sensibilisation pour les tiers concernant les obligations NIS2 et la sécurité de la chaîne d’approvisionnement, ainsi que la sensibilisation aux politiques de sécurité de l’information pertinentes de Belnet.

Qualifications et expérience

• Expérience avec les clauses de la norme ISO/IEC 27001 relatives à la sécurité des relations avec les fournisseurs.
• Minimum 4 ans d’expérience en gestion des risques liés aux tiers et cybersécurité, ou en conformité, de préférence dans un environnement réglementé ou gouvernemental.
• Bonne connaissance de la Directive NIS2 et de ses exigences pour les entités essentielles.
• Expérience générale en sécurité de la chaîne d’approvisionnement, évaluation des fournisseurs et négociation contractuelle.
• Bonne connaissance d’autres standards de sécurité de l’information est un atout (ex. NIST, CIS Controls, CCB CyberFundamentals).
• Certifications pertinentes (ex. CISM, CISSP, CRISC, ISO 27001 Lead Implementer) ou certifications en Third-Party Risk Management sont un avantage.
• Expérience des marchés publics est un atout considérable.
• Sensibilisation à la protection des infrastructures critiques appréciée, ou du EU Cyber Resilience Act.
• Expérience avec les plateformes GRC est un plus, en particulier ServiceNow.
• Excellentes compétences en communication, négociation et gestion des parties prenantes.

Compétences clés

• Compréhension approfondie de la conformité réglementaire, en particulier NIS2.
• Solides compétences analytiques et en évaluation des risques.
• Expérience dans la réalisation et le maintien d’évaluations des risques des fournisseurs.
• Traduction des exigences de sécurité de l’information en clauses contractuelles.
• Capacité à influencer et à collaborer avec les parties prenantes internes et externes.
• Proactif, orienté détail et engagé dans l’amélioration continue.

Timing

Le contrat initial est de trois mois et sera renouvelé de manière continue jusqu’à un an.