DIRECTEUR.DIRECTRICE SÉCURITÉ ET CYBERSECURITE

Soitec est une société cotée à l'indice SBF 120 de la Bourse de Paris qui intervient en amont de la chaîne de valeur de la microélectronique. Nos matériaux semi-conducteurs innovants sont indispensables au fonctionnement des smartphones et au déploiement de la 5G. Ils offrent également de nombreuses opportunités pour l’automobile connectée, les véhicules électriques et autonomes et l’intelligence embarquée dans les objets connectés. 

Cette place nous confère une incroyable responsabilité, qui nous inspire au quotidien : rendre possible l’adoption massive d’innovations technologiques tout en limitant considérablement leur impact environnemental, dans une logique d’innovation responsable et de développement durable.

Rattaché(e) directement à la Secrétaire Générale, le/la Directeur(rice) Sécurité et Cybersécurité est responsable de la stratégie, de la gouvernance et de la mise en œuvre de l'ensemble des mesures de sécurité au sein de l’organisation et en particulier celles visant à garantir la sécurité des sites et des actifs (sûreté), des personnes (sécurité des personnes) et de l'information et des systèmes (cybersécurité) contre toutes menaces à l'échelle mondiale, qu’elles soient numériques ou physiques, et notamment sur les environnements critiques (IT, OT, Cloud et R&D).

Il/Elle assure la protection du patrimoine physique, informationnel et immatériel de l’entreprise et de ses employés, s’assure de la définition, de l’adéquation, de la cohérence et du pilotage de l’ensemble des moyens de protection des sites, des actifs, des personnes, des systèmes d’information et des systèmes industriels. En lien étroit avec les services de l’entreprise, il/elle est le garant de la protection de la surface d’attaque globale et de la culture de sécurité.

• Gouvernance et Stratégie:
• Définir et mettre en œuvre la Politique de Sécurité des Systèmes d’Information (PSSI) du Groupe, en l'adaptant aux exigences réglementaires et aux spécificités des différents pays (e.g., réglementation locale, exigences clients, normes industrielles).
• Superviser les équipes de sécurité opérationnelle (SOC, réponse aux incidents, gestion des vulnérabilités).
• Assurer la conformité aux réglementations sur la protection des données (ex. : RGPD).
• Mettre en œuvre les mesures techniques (pare-feux, EDR, IAM, etc.) pour protéger le réseau, les applications et les données.
• Définir et suivre un plan de protection et de prévention de l’information (basé sur des référentiels comme ISO 27001, NIST, ANSSI) et piloter sa certification/conformité.
• Suivre et adapter la Charte de Sécurité de l’Information du Groupe et en assurer la promotion à l'international.
• Valider l’usage des IA génératives et s’assurer que les données de l’entreprise ne “fuitent” pas dans les modèles publiques.
• Définir et mettre en œuvre la politique de sûreté des sites (sièges, usines, entrepôts, etc.) et des actifs.
• Gérer les systèmes d'accès physique (badges, vidéosurveillance, alarmes, clôtures).
• Gérer la sécurité de la chaîne d'approvisionnement et des partenaires critiques.
• Protéger les actifs matériels sensibles, la propriété intellectuelle et les installations contre le vol, le vandalisme ou l'espionnage industriel.
• Suivre et mettre en œuvre la politique de sécurité des personnes et de leurs déplacements et de leurs missions à l'étranger (Travel Security).
• Assurer la sécurité des employés sur site et lors d'événements d'entreprise.
• Gérer la sécurité des cadres et des dirigeants (Executive Protection).
• Coordonner les plans d'évacuation et les exercices de sécurité des personnes.

• Gestion des Risques et Conformité:
• Analyser, cartographier et valoriser les risques du système d’information (IT et OT) et des risques physiques dans l’entreprise à l'échelle mondiale, définir les urgences et priorités (Risk Assessment) et en assurer le suivi.
• Garantir le respect des normes et réglementations internationales et s’inspirer des bonnes pratiques en matière de sécurité de l’information (ANSSI, NIST, CISA, etc.).
• Identification des points potentiels de vulnérabilité (techniques, organisationnels, humains) sur les sites industriels et les bureaux.
• Développer et tester les Plans de Continuité d'Activité (PCA) et les Plans de Reprise d'Activité (PRA).
• Diriger la cellule de crise en cas d'incident majeur (cyberattaque, désastre naturel, urgence sûreté).
• Gérer le budget, l'équipe Sécurité et les fournisseurs de services de sécurité (gardiennage, audit).

• Opérations et Veille:
• Traiter et assurer le plan de remédiation des incidents informatiques et cybernétiques majeurs (gestion de crise).
• Assurer une veille technologique et réglementaire permanente sur les risques, équipements, solutions et contre-mesures potentielles.
• Piloter l'évolution et l'intégration des projets de sécurité dans les infrastructures IT et OT (Sécurité du Cloud, EDR/XDR, IAM, Sécurité des réseaux industriels).

• Sensibilisation et Formation:
• Mettre en œuvre et déployer un plan de formation et de sensibilisation à la sécurité des systèmes d’information adapté et obligatoire pour l’ensemble des collaborateurs et des tiers à travers le monde.

Responsabilités

• Management
• Management de l’équipe Global Security Office
• Leadership et Conseil:
• Être le garant, le conseil et la recommandation du respect de la sécurité auprès du Comité de Direction, du service IT Global, des Directions Métiers (Opérations, R&D, Finances, Achats, RH, etc.) et des entités locales.
• Organiser ses activités en fonction des priorités définies par les besoins opérationnels et la criticité des enjeux.
• Transversalité:
• S’assurer de la cohérence des actions entreprises avec les autres fonctions support de l’entreprise (Secrétariat Général, IP, HSE, Facilities, RH).
• Piloter le budget de Cybersécurité et la gestion des prestataires externes spécialisés.

Connaissances (théoriques et pratiques)

• Formation: BAC +5, ingénieur en informatique ou en gestion des risques cybersécurité, ou équivalent.
• Expérience: Expérience significative d’au moins 10 ans dans un emploi similaire, idéalement dans un environnement industriel (OT) ou de R&D (Propriété Intellectuelle) avec une forte dimension internationale.
• Compétences techniques:
• Connaissances générales des composants d’un système d’information (IT et OT).
• Connaissance pointue des normes de cybersécurité (ISO 27001, NIST).
• Excellente compréhension des menaces spécifiques au secteur des semi-conducteurs et de l'espionnage économique.
• Maîtrise des concepts de sûreté (analyse environnementale, contrôle des accès, gestion des risques physiques).Maîtrise des référentiels de sécurité majeurs (ISO 27001, ISO 27032, ISO 27005, NIST CSF).
• Anglais courant impératif (travail dans un contexte global).
• Maîtrise des concepts de sûreté (analyse environnementale, contrôle d'accès, gestion des risques physiques).
• Expérience dans la gestion des situations d'urgence (crise cyber et crise physique).

Relations de travail

• Interagir, informer, recommander, collaborer avec le Service IT au niveau du groupe et les acteurs en lien avec le système d’information.
• Communiquer avec les prestataires spécialisés dans la cybersécurité et les acteurs privilégiés internes (Finance, Innovation, Opérations, R&D, RH) et externes (ANSSI, CISA, experts, assureurs).
• Animer des groupes de travail transverses à l'international (ISO 27001, Cloud sécurisé, équipements de protection informatique, surveillance des tiers).
• Représenter l'entreprise lors d'évènements et salons professionnels en lien avec la cybersécurité.