Bonjour M. BACH, quels sont les différents pôles en SSI qu'il est possible d'intégrer à COVEA ?

Bonjour !
Il y a effectivement plusieurs grands domaines de la SSI qui sont répartis en l'état dans des équipes au sein du groupe.
Notamment, dans les grandes lignes :

- L'accompagnement sécurité des projets IT et métiers du groupe
> Cette activité nous permet de nous assurer que chaque projet effectuant une modification sur le SI prend en compte les besoins essentiels de sécurité par l'intermédiaire d'analyses de risques et de plans d'actions priorisés. Compte tenu du grand nombre de projets à suivre, cette activité est subdivisée sur plusieurs entités gérant différents projets en fonction de leur provenance.

- La GRC (Gouvernance / Risque / Conformité)
> Cette activité nous permet de cadrer et contrôler la gestion de la sécurité IT au sein du groupe par le biais de la définition des politiques internes, de la construction de cartographies des risques, de la réalisation d'audits de sécurité, etc.

- Le SOC
> Concrètement, permet de détecter et traiter tout incident potentiel de sécurité par le biais d'outils d'analyse et de centralisation de logs (SIEM).

- La Protection périmétrique
> Manage directement tous les systèmes de sécurité nous interfaçant avec l'extérieur (firewall / WAF, proxy, etc.) en maintenant des configurations et des règles appropriées.

Si tu souhaites avoir plus de détails sur certains de ces domaines ou sur d'autres que je n'ai pas spécifiquement mentionné, n'hésites pas à revenir vers moi :)

Cordialement,

Pierre-Alexandre

J'aimerais aussi avoir des détails sur les normes que vous suivez pour votre pole GRC en matière de gestion des risques cyber. Avez-vous également des pistes à explorer pour quelqu'un qui voudraient s'autoformer à la GRC en tant que novice ?

Disons que nous avons assimilé des normes de différentes provenances pour les intégrer à nos politiques internes > La NIST SP 800-53 étant l'une des plus prépondérante, mais pour te donner d'autres exemples, tout guide provenant de l'ANSSI est également bon à prendre naturellement !
Au-delà de cela, nous suivons plusieurs textes réglementaires qui viennent alimenter nos exigences sécurité internes (le RGPD étant l'exemple le plus évident, mais plus récemment nous nous mobilisons autour de la réglementation DORA)

Concernant l'auto-formation, comme indiqué dans mon premier message, la GRC est un domaine vaste qui comporte de nombreuses sous-activités. De plus, chaque entreprise a ses propres enjeux et ses propres besoins (en fonction de leur taille, de leur domaine d'activité, etc.)
Par défaut, je pense qu'il faut te demander ce qui t'intéresse spécifiquement dans le domaine GRC et creuser dans cette direction > Est-ce la gestion des réglementations ? La définition des politiques propres à une entreprise ? La gestion des tests de sécurité et de conformité ? Le management du risque de façon macro ?
Dans des entreprises de plus petites tailles tu pourrais être amené à gérer tous ces aspects, mais dans de plus grandes entités comme Covéa tu es nécessairement amené à te spécialiser compte tenu de l'ampleur du périmètre sur lequel les exigences et les réglementations s'appliquent.

Au global, il y a plusieurs textes et normes qui explicitent les attendus essentiels de la GRC que tu pourrais consulter pour construire une base de connaissance. Bien qu'ils soient potentiellement chers, les textes de la suite ISO 27000 restent une base notable du métier > démontrer des connaissances de l'ISO 27001, sans parler nécessairement de certification, donne un avantage certain pour un recrutement dans ce domaine (à Covéa et ailleurs :) )
Au-delà des textes ISO, j'ai déjà mentionné le NIST qui catalogue un grand nombre d'informations essentielles et les guides de l'ANSSI qui sont facilement accessibles et s'appliquent à une grande majorité d'entreprises françaises.
Toute information provenant d'entités reconnues est bonne à prendre, il faut rester curieux ! (le CIS, l'OWASP, le Clusif, etc.)

A ton écoute.

Cordialement,

Pierre-Alexandre

Je prends note de vos suggestions et je vais me renseigner sur la spécificités des domaines dans la GRC SSI. Par contre, sur le site de recrutement de COVEA, je ne retrouve pas d'offre de stage en lien avec la SSI en général et plus particulièrement la GRC. Pouvez-vous m'indiquer comment les trouver ?

A l'instant, sauf erreur de ma part nous n'avons pas d'offre officiellement ouverte. Néanmoins, je te conseille de surveiller régulièrement le site suivant pour toute nouveauté : https://covea.csod.com/ux/ats/careersite/11/home?c=covea&;sq=alternance&utm_medium=pageRH
Tu peux également réaliser une candidature spontanée via ce même site.