Job Openings Expert en gouvernance et conformité NIS2 (Freelance)

About the job Expert en gouvernance et conformité NIS2 (Freelance)

📋 Tâches et responsabilités

Cette mission a pour objectif de relancer et de structurer un programme de conformité NIS2 au sein d’une organisation considérée comme service essentiel. Elle vise à remettre en place un cadre opérationnel, à rétablir un pilotage clair du programme et à assurer un transfert de compétences vers le Programme Manager interne.

L’intervention se fera principalement en qualité d’expert NIS2, en support du Programme Manager interne. Durant la phase de démarrage uniquement, une posture plus structurante pourra être adoptée afin de mettre en place la gouvernance, les rituels de pilotage, la priorisation, la feuille de route et le reporting, sans se substituer durablement à la fonction interne.

La démarche repose sur une logique risk-based et sur la définition d’un socle de Minimum Viable Compliance, afin de concentrer les efforts sur les risques réels pesant sur les activités essentielles.

Objectifs

  • Relancer rapidement la dynamique de conformité NIS2.
  • Structurer une gouvernance et un pilotage lisibles du programme.
  • Prioriser les actions en fonction des risques cyber et des activités essentielles.
  • Définir un socle minimal, réaliste et démontrable de conformité.
  • Renforcer l’autonomie du Programme Manager interne grâce à un accompagnement expert et à un transfert de compétences.

Périmètre de la mission

  • Prendre connaissance de manière structurée du programme NIS2 existant à partir des rapports, auto-évaluations, analyses d’écarts, documents produits et plans d’action disponibles.
  • Clarifier le périmètre d’intervention au démarrage avec le sponsor, le CISO et les parties prenantes de gouvernance concernées, en tenant compte des travaux déjà prévus ou réalisés.
  • Revoir la cartographie des activités métiers, des services critiques et des dépendances internes et externes, y compris les fournisseurs, ainsi que leur alignement avec les risques cyber.
  • Objectiver les points d’attention du programme, identifier les éléments à clarifier ou à consolider et mettre en évidence les leviers facilitant sa poursuite, sa priorisation et son pilotage.
  • Identifier des quick wins pour relancer rapidement la dynamique de conformité.
  • Définir une approche méthodologique risk-based pour prioriser les actions selon les risques réels pesant sur les activités essentielles.
  • Définir une approche de type Minimum Viable Compliance, avec un périmètre clarifié, une gouvernance définie, une cartographie des activités critiques, un plan d’action priorisé et les premiers éléments de preuve associés.
  • Accompagner, soutenir et former le Programme Manager interne afin de faciliter la reprise en main durable du programme NIS2.
  • Construire une feuille de route phasée, graduée et itérative couvrant les actions immédiates, les remédiations prioritaires, l’industrialisation du pilotage et l’amélioration continue.

Livrables attendus

  1. Cadrage et consolidation du programme NIS2
    • Note de cadrage de la mission et confirmation du périmètre avec les parties prenantes.
    • Définition de la charte du programme et de son planning.
    • Synthèse structurée des éléments existants : rapports, auto-évaluations, analyses d’écarts, documents de gouvernance, plans d’action et éléments de preuve disponibles.
    • Matrice des points d’attention, zones à clarifier, dépendances et décisions à arbitrer.
  2. Cartographie, criticité et priorisation par les risques
    • Revue de la pertinence de la cartographie métier existante et de son alignement avec les services critiques.
    • Identification des dépendances internes et externes significatives, notamment les fournisseurs et les services support.
    • Mise en lien entre activités critiques, risques cyber, exigences NIS2 et priorités de remédiation.
  3. Approche méthodologique risk-based et Minimum Viable Compliance
    • Approche de priorisation fondée sur les risques réels pesant sur les activités essentielles.
    • Définition du socle de Minimum Viable Compliance afin de rendre la conformité progressive, réaliste et démontrable.
    • Identification des premiers éléments de preuve à constituer ou à consolider.
  4. Plan d’amélioration et feuille de route
    • Plan d’amélioration priorisé distinguant quick wins, actions immédiates, remédiations prioritaires et chantiers d’industrialisation.
    • Feuille de route phasée, graduée et itérative pour le pilotage du programme NIS2.
    • Recommandations de gouvernance, rapports de suivi, indicateurs et mécanismes de reporting.
  5. Accompagnement du Programme Manager interne
    • Sessions de support, de coaching et de transfert de compétences.
    • Préparation et animation d’ateliers ciblés avec les parties prenantes pertinentes.
    • Support à la structuration des décisions, arbitrages et suivis nécessaires à la relance du programme.
  6. Reporting et restitution
    • Rapports périodiques d’avancement couvrant l’état des actions, les risques, les décisions attendues et les points bloquants.
    • Support de restitution à la direction, incluant la situation du programme, les priorités et la trajectoire proposée.
    • Capitalisation des supports méthodologiques utiles à la poursuite du programme après la mission.

Modalités d’intervention

L’intervention combine des analyses documentaires, des entretiens, des ateliers ciblés et des points de validation avec les parties prenantes, en présentiel et/ou à distance.

Démarrage souhaité : dès que possible.

📝Votre profil

Vous disposez d’une expérience avérée dans l’accompagnement d’entités importantes ou essentielles au regard de NIS2 et du Framework CYFUN, idéalement dans le secteur public.

  • Expérience confirmée en gouvernance cybersécurité, conformité NIS2, gestion des risques et structuration de programmes de conformité.
  • Expérience pertinente en tant que Senior IT Security Program Manager ou dans une fonction équivalente.
  • Bonne connaissance des environnements de services digitaux et publics.
  • Capacité à accompagner un Programme Manager interne, à former les parties prenantes et à produire des livrables exécutifs exploitables par la direction.
  • Maîtrise experte en Cyber Security, Risk Management et ISO 27001:2005.
  • Certifications de référence attendues : CISSP, CISM et ISO 27001 Senior Lead Implementer, ou équivalents démontrables.
  • Langues : néerlandais ou français, ainsi que l’anglais.