Responsable de la Sécurité du Système d’Information (m/f)

L'administration communale se propose de recruter pour les besoins du Service Technologies de l’information et de la communication (TIC) de la Ville, un responsable de la Sécurité du Système d’Information (m/f), dans le régime du salarié, à plein temps, sous contrat à durée indéterminée et rémunéré par analogie au « groupe d’indemnité A1, sous-groupe scientifique et technique » de l’employé communal.

a) Conditions d'admissibilité :

• être ressortissant d’un Etat membre de l’Union européenne tel que déterminé par l’article 2 de la loi modifiée du 24 décembre 1985 fixant le statut général des fonctionnaires communaux ; 
• faire preuve d’une connaissance adéquate des trois langues administratives (français, allemand et luxembourgeois) telles que définies par la loi modifiée du 24 février 1984 sur le régime des langues ;
• être titulaire d’un grade ou diplôme délivré par un établissement d’enseignement supérieur reconnu par l’Etat du Grand-Duché de Luxembourg et sanctionnant l’accomplissement avec succès d’un grade de « Master » en informatique, sécurité de l’information et des systèmes ou d’un diplôme d’ingénieur en électronique et électrotechnique ou similaire.

Les diplômes d'études supérieures doivent être inscrits au registre des titres de formation prévu par la loi modifiée du 28 octobre 2016 relative à la reconnaissance des qualifications professionnelles.

b) Missions et tâches 

Gouvernance & Stratégie

• Définir la Politique de Sécurité des Systèmes d’Information (PSSI) ;
• Élaborer et suivre le plan d’action cybersécurité ;
• Conseiller la direction sur les enjeux stratégiques et investissements nécessaires.

Conformité & Réglementation

• Assurer une veille réglementaire et normative (NIS2, Cybersecurity Act, RGPD, IA Act, Data Governance Act, Data Act) ;
• Garantir la mise en œuvre des exigences légales et des standards ;
• Assurer l’application des standards SCADA/OT ;
• Collaborer avec le DPO pour la conformité en matière de protection des données.

Gestion des risques

• Gérer les risques et cartographier les menaces ;
• Piloter la gouvernance des plans de continuité ;
• Définir et suivre les indicateurs et audits de sécurité.

Gestion des incidents & crises

• Piloter les incidents majeurs de sécurité en collaboration avec les équipes opérationnelles ;
• Garantir le processus de gestion des incidents en relation avec le SOC et le CSIRT ;
• Communiquer avec les autorités compétentes au besoin (ILR, HCPN, CIRCL, ILNAS, CNPD).

Sensibilisation

• Organiser des programmes de sensibilisation à la sécurité ;
• Promouvoir les bonnes pratiques de cybersécurité au sein de l’organisation.

Coordination et communication

• Animer le comité de sécurité et assurer la coordination inter-départements ;
• Interagir avec les prestataires et les autorités ;
• Garantir la cohérence des politiques avec les équipes techniques et métiers.

Cette énumération des tâches n’est pas exhaustive et elle pourra être sujette à modification suivant les besoins du service. De plus amples renseignements concernant les tâches peuvent être demandés auprès de Mme Anne LANG, chef de service f.f. du Service Technologies de l’information et de la communication.

c) Profil :

Pour pouvoir assurer sa mission, le candidat doit :

• être doté des compétences sociales suivantes :
• Leadership : capacité à inspirer et mobiliser les équipes autour des enjeux de sécurité. 
• Communication claire : vulgariser des concepts techniques pour des interlocuteurs non spécialistes. 
• Négociation : trouver des compromis entre exigences de sécurité et besoins métiers. 
• Gestion des conflits : résoudre les tensions entre services ou partenaires. 
• Influence et persuasion : convaincre la direction et les parties prenantes de l’importance des mesures de sécurité. 
• Esprit collaboratif : travailler efficacement avec la direction et les autres équipes du TIC, le collège des bourgmestre et échevins, les services métiers, les prestataires et les autorités. 
• Empathie : comprendre les contraintes des utilisateurs pour adapter les politiques. 
• Capacité à former et sensibiliser : animer des sessions pédagogiques et promouvoir la culture sécurité. 
• Prise de décision en situation de crise : garder son sang-froid et coordonner les actions. 
• Éthique et intégrité : garantir la confiance et la transparence dans la gestion des données et des risques.

• Disposer des compétences techniques suivantes :
• Standards : maîtrise des standards ISO 27001 (SMSI), ISO 22301 (continuité), ISO 27701 (protection des données), ISO 27005 (gestion des risques) même si les certifications ne sont pas demandées. 
• Certification CISSP ou CISM
• Réglementations : NIS2, RGPD, directives européennes, lois nationales sur la cybersécurité. 
• Gestion des risques : connaissance des méthodologies EBIOS, MEHARI, NIST CSF.
• Sécurité des réseaux et systèmes : compréhension avancée des technologies type parefeu, VPN, IDS/IPS, segmentation réseau. 
• Cryptographie et PKI : connaissance des standards de chiffrement des données, certificats, signatures électroniques. 
• Gestion des identités et des accès (IAM) : maîtrise des principes d’authentification forte (SSO, MFA, fédération d’identités, Zero Trust, PAM). 
• Sécurité applicative : connaissance des principes Secure Coding, tests de vulnérabilité, DevSecOps. 
• Supervision et détection : connaissance des principes SIEM, SOC, outils de monitoring et corrélation d’événements. 
• Plan de continuité et reprise d’activité (PCA/PRA) : conception des plans et tests. 
• Gestion des incidents : expérience de procédures de réponse, forensique, coordination avec CSIRT. 
• Cloud et virtualisation : expérience sécurité des environnements on-premise, hybrides, conformité des services cloud. 
• Veille technologique et cyber : suivi des menaces, vulnérabilités, tendances IA et DATA.

Une expérience dans les domaines suivants constitue également un atout :

• Systèmes SCADA/OT et réseaux industriels ;
• Sécurisation de l’IA.