POSTE : RSSI - Ciso - Plateforme de Données de Santé H/F DESCRIPTION : Rattaché·e à la direction technique, vous êtes le·la premier·ère RSSI de la structure et portez la stratégie de sécurité et de conformité d'une plateforme qui opère sur des données de santé hautement sensibles. Vos missions principales : - Stratégie & gouvernance : construire et faire vivre la PSSI et le corpus documentaire associé, cartographier les risques (méthode EBIOS RM ou ISO 27005) sur la data platform et la couche applicative, et définir la roadmap sécurité 12-24 mois alignée avec la roadmap produit et commerciale. - Conformité & certifications : maintenir et faire évoluer la conformité HDS, ISO 27001 et RGPD, préparer les recertifications, piloter les audits internes et externes ainsi que les plans de remédiation, et être l'interlocuteur·rice de référence des autorités et auditeurs. À moyen terme, préparer les certifications utiles à l'expansion européenne. - Sécurité technique (avec l'équipe Engineering) : mener les revues d'architecture sécurité (cloud, multi-tenant, IAM, chiffrement, gestion des secrets), définir et déployer les standards DevSecOps (SAST, SCA, DAST), conduire le threat modeling de la couche IA/agentique (prompt injection, exfiltration de données, gouvernance des accès), gérer les incidents et orchestrer les exercices de crise. - Culture sécurité : onboarding et sensibilisation continue (exercices phishing, table-top), réponses aux questionnaires sécurité des prospects et clients, et représentation de la sécurité dans les comités des partenaires. Contexte : poste créé, sécurité jusqu'ici portée par la direction technique. CDI, statut cadre au forfait jour, démarrage ASAP, et carte blanche pour structurer la stack sécurité. - CDI, statut cadre au forfait jour. - Localisation : Paris (centre), full remote ou hybride. - Congés illimités. - Mutuelle et 2 séminaires d'équipe de 3 jours par an. - Rémunération à définir selon l'expérience (grilles de marché). - Un rôle structurant et autonome, dans une organisation où la sécurité est un enjeu produit central. PROFIL : Expérience : - 4 à 6 ans d'expérience en sécurité des SI, avec au moins une expérience structurante en gouvernance et conformité. - Idéalement acquise dans un environnement régulé : santé, fintech, défense ou opérateur de services essentiels. - Une expérience en scale-up ou environnement à forte croissance est un vrai plus. Compétences techniques : - Maîtrise concrète des standards ISO 27001, HDS et RGPD. - Aisance avec les architectures cloud modernes (AWS, GCP, Azure), les patterns multi-tenant, l'IAM et le chiffrement. - Expérience opérationnelle des outils SecOps : SIEM, EDR, scanners SAST, DAST, SCA, gestion des secrets, et du DevSecOps. - Exposition aux enjeux de sécurité des LLMs et des architectures agentiques (un plus), et capacité à dialoguer techniquement avec des data/backend engineers. Soft skills : capacité à influencer sans autorité hiérarchique directe, pédagogie (vulgariser la sécurité auprès de profils variés), pragmatisme dans les arbitrages, et sens du produit. Formation & certifications : Bac +5 (école d'ingénieur·e, cybersécurité, IT) ou équivalent. Une certification CISSP, CISM, ISO 27001 Lead Implementer ou Lead Auditor est appréciée. Aucun diplôme requis si une expérience équivalente peut être démontrée.