2 Ingénieur(e)s cybersécurité spécialisé(e)s en traitement des incidents (H/F)


La direction des technologies et de l'innovation (DTI) recrute deux ingénieur(e)s chargé(e)s des notifications de violation de données pour le service de l'expertise technologique dans le cadre de nouvelles créations de poste. Au sein d'une équipe de seize collaborateurs, ces ingénieur(e)s auront notamment pour mission principale de gérer les incidents de sécurité sur les données personnelles qui sont notifiés à la CNIL sous la forme de notifications de violation de données au titre de l'article 33 du RGPD.

Date de publication de l'offre: 
Jeudi, 13 janvier, 2022

La direction des technologies et de l’innovation (DTI) a pour mission principale de mettre l’expertise technologique et informatique de la CNIL à la disposition de l’ensemble des services, et de faire partager les enjeux d’innovation et de prospective par l’ensemble de l’institution. Elle est composée du service de l’expertise technologique, du service de l’informatique interne, du service laboratoire d’innovation numérique de la CNIL (LINC) et du pôle transformation numérique.

Au sein de cette direction, le service de l’expertise technologique (SET) est chargé d'aider à appréhender les nouvelles technologies, leurs enjeux en matière de protection de la vie privée et les bonnes pratiques à appliquer. Il aide les autres services de la CNIL qui le sollicitent dans l'instruction de leurs dossiers soumis par des organismes privés ou publics, et il développe la doctrine de la Commission sur des thèmes techniques. Il crée des outils à destination des entreprises et des usagers, en collaboration avec les autres services de la CNIL et notamment le LINC. Il est également chargé d’effectuer la gestion des notifications de violations de données personnelles. Enfin, il promeut la doctrine de la CNIL et du CEPD (autorités européennes) en France et à l'international.

Il est créé en son sein deux postes d’ingénieur(e) cybersécurité spécialisé(e) en traitement des incidents qui auront pour mission principale de gérer les incidents de sécurité sur les données personnelles qui sont notifiés à la CNIL sous la forme de notifications de violation de données au titre de l'article 33 du RGPD (environ 5000 par an). Ils/elles seront chargé(e)s d’analyser ces incidents, tant du point de vue technique que du risque pour les personnes concernées, de proposer d’éventuelles actions de remédiation et de valoriser les informations reçues. Enfin, ils/elles réaliseront également des analyses en sécurité des systèmes d’information (SSI) sur les dossiers techniques que le service sera amené à traiter.

Ces personnes feront partie de l’équipe du SET qui devrait atteindre seize agents en 2022, et travailleront en binôme sur le traitement des notifications, avec l’appui du reste du service.

 

Activités principales :

Sous la responsabilité du chef de service et de son adjoint, et en collaboration avec l’équipe, ces personnes seront notamment chargées des activités suivantes :

  • Gérer les notifications de violations reçues par la Commission :
    • traiter, analyser et qualifier les notifications, tant du point de vue de la sécurité des systèmes d’information que de celui des conséquences pour les personnes ;
    • déterminer si les personnes doivent être informées de la violation qui les concerne et de quelle manière ;
    • informer la hiérarchie en particulier sur les cas les plus graves / sensibles, en prenant en compte les conséquences pour les personnes, le contexte et la nature de l’organisme, les éventuelles répercussions médiatiques, et les aspects techniques ;
    • transmettre, lorsque nécessaire, les notifications aux autres autorités compétentes en matière de protection des données les violations affectant des traitements transfrontaliers ;
    • dialoguer avec les déclarants afin de répondre à leurs interrogations et/ou de les guider dans les actions vers des solutions adéquates ;
    • informer proactivement ou à leur demande les autres services de la Commission (communication, service des relations avec les publics, contrôles, sanctions, plaintes, etc.) des cas qui peuvent être pertinents pour eux ;
    • superviser et améliorer de manière continue le service rendu par la CNIL et notamment le téléservice de notification de violation ainsi que les processus de gestion (backoffice).

 

  • Valoriser l’activité de gestion de notifications :
    • participer à la rédaction d’articles sur le site de la CNIL, par exemple « la violation du trimestre », afin de faire passer les messages de la Commission ;
    • produire des indicateurs métiers et des statistiques sur l’activité des violations ;
    • participer à la rédaction du rapport annuel sur la partie violation et cybersécurité ;
    • gérer l’ouverture des données liées aux notifications (open data) ;
    • informer les autres services lors de la découverte de vulnérabilités pouvant faire l’objet de travaux de la Commission et, le cas échéant, y participer ;
    • réaliser des interventions extérieures afin de présenter l’activité de gestion des notifications ou les obligations légales dans ce domaine ;
    • être force de proposition sur l’évolution de l’activité de gestion des notifications et notamment la mise en place de nouveaux services à destination des déclarants du type de ceux qu’un CERT ou un SOC pourrait offrir.

 

  • Réaliser des analyses sur la sécurité des systèmes d’information sur des dossiers (formalités, demandes de conseils) soumis à la Commission :
    • analyser le niveau de sécurité des traitements décrits dans les dossiers d’architecture ou les AIPD ;
    • identifier des points d’amélioration ;
    • rédiger des préconisations, des notes de synthèse ou des délibérations basées sur les conclusions des analyses.

 

Compétences et qualités requises :

  • Diplôme d’ingénieur ou équivalent en cybersécurité, sécurité des systèmes d’information ou informatique ;
  • Expérience d’au moins deux ans en gestion de crise ou en gestion d’incidents de sécurité ;
  • Maîtrise des technologies de l’information et de la communication, de la sécurité des réseaux et des systèmes d’information, de l’évaluation des stratégies et des risques informatiques ;
  • Connaissance du RGPD et de la loi informatique et libertés ou a minima appétence particulière pour ce sujet ;
  • Compréhension des enjeux des notifications effectuées auprès de la Commission ;
  • Capacité à vulgariser les notions techniques et à travailler avec des profils non techniques ;
  • Sens de la synthèse ;
  • Qualités d’expression écrite et orale ;
  • Pratique courante de l’anglais écrit et oral.
  • Sens de l’organisation ;
  • Réactivité et capacité à travailler dans l’urgence ;
  • Rigueur et respect des délais ;
  • Sens de la pédagogie ;
  • Force de proposition et esprit d’initiative ;
  • Sens du travail en équipe ;
  • Capacités relationnelles.

 

Statut et candidature :

Agent contractuel de l’Etat en CDI. Les agents publics sont soumis aux dispositions réglementaires en matière de déontologie.

Le poste peut être pourvu par détachement sur contrat (CDD) ou mise à disposition d’un fonctionnaire titulaire d’une des fonctions publiques.

Rémunération selon profil et expérience.

Les candidats souhaitant faire acte de candidature pour ce poste sont invités à adresser un CV et une lettre de motivation au service ressources humaines, sous la référence ICNV à rh@cnil.fr

Date limite de candidature : 
Dimanche, 13 février, 2022

Type de contrat