Information security manager (rssi) h/f - exotrail

A propos d'Exotrail 🚀

Animée par l’ambition de repousser les frontières du spatial, Exotrail est une scale-up du New Space fondée en 2017, avec une mission claire : rendre la mobilité spatiale accessible à l’échelle mondiale.

Nous concevons, développons et opérons des solutions de services en orbite ainsi que des moteurs de propulsion dédiés aux petits satellites, au cœur des technologies spatiales les plus avancées.

À la croisée du spatial et du digital, Exotrail se distingue par son agilité, son orientation client et son esprit entrepreneurial. Nous évoluons dans un environnement innovant où la prise de risques maîtrisée est un levier pour repousser les limites du modèle spatial traditionnel et créer des solutions inédites.

Forte de sa culture d’innovation et de son ADN de pionnier, Exotrail entre aujourd’hui dans une nouvelle phase : bâtir une entreprise industrielle ambitieuse, capable de transformer durablement le secteur spatial.

Job Description 👨‍💻


Le/la RSSI est responsable de la définition, du pilotage et de l’amélioration continue de la stratégie de cybersécurité de l’entreprise. Il/elle garantit la protection :

- des systèmes d’information,

- des données (corporate, clients, techniques),

- des produits et environnements industriels,

- et des interactions avec les tiers (fournisseurs, partenaires).

Il/elle agit comme un leader transverse, en étroite collaboration avec les équipes IT, Data & ERP, Produit/Ingénierie, Legal et l’Officier de Sécurité.

Relation de travail

Relations fonctionnelles clés : IT, Data & ERP, Legal, Officier de Sécurité, Produit/Ingénierie, Direction.

Relations externes : Prestataires cybersécurité (expertise, sous-traitance, …), fournisseurs, partenaires, clients, auditeurs, etc.

Clarification des rôles :

- Le RSSI est responsable de la sécurité du SI et des actifs numériques.

- L’Officier de Sécurité couvre la sûreté globale (organisationnelle, physique, etc.).

Les deux fonctions collaborent étroitement sur les sujets de gestion des risques et de crise.

Activités significatives

- la gestion des risques cyber,

- la conformité réglementaire en collaboration avec l’équipe Legal,

- la prévention des incidents,

- la réponse aux crises,

- la sensibilisation des collaborateurs.

Responsabilités exercées et champ d’actions

1. Gouvernance & stratégie cybersécurité

- Définir et piloter la stratégie cybersécurité et la protection de la donnée alignée avec les enjeux business et industriels, en collaboration avec l’Officier de Sécurité,

- Structurer et maintenir la Politique de Sécurité des Systèmes d’Information (PSSI) et les politiques associées,

- Mettre en place une gouvernance sécurité (comités, reporting COMEX, KPIs),

- Définir et maintenir une cartographie des risques cyber et l’appétence aux risques,

- Assurer la conformité aux normes et réglementations (ISO 27001, NIS2, RGPD, etc.),

- Être le/la référent·e sécurité vis-à-vis de la Direction et des parties prenantes externes.

2. Protection des systèmes & architecture sécurité

· Participer à la définition des principes d’architecture de cybersécurité (cloud, on-premise, hybride),

· Piloter la stratégie de protection (IAM, endpoint, réseau, chiffrement, antivirus/EDR/NDR/XDR, etc.) et superviser les dispositifs de sécurité,

· Encadrer et piloter les audits, tests d’intrusion et gestion des vulnérabilités,

· Superviser les partenaires cybersécurité (SOC, MSSP, CERT),

· S’assurer de l’intégration de la sécurité dans les projets IT (security by design).

3. Sécurité des données (Data Security)

- Définir la stratégie de protection des données sensibles en collaboration avec l’Officier de Sécurité,

- Mettre en place une classification des données en collaboration avec l’Officier de Sécurité,

- Travailler avec l’équipe Data Management & ERP sur la gouvernance des données,

- Promouvoir les principes de privacy by design,

- Encadrer les dispositifs de protection (DLP, chiffrement, accès),

- Participer à la rédaction et l’évolution des politiques internes sur la sensibilité des données et supports.

4. Sécurité produit & ingénierie

- Intégrer la cybersécurité dans les cycles de développement (DevSecOps),

- Définir les exigences de sécurité pour les produits et systèmes embarqués,

- Piloter les analyses de risques sur les systèmes critiques,

- Contribuer à la sécurisation des interfaces clients et des plateformes associées.

5. Cybersécurité des tiers & supply chain

- Mettre en place une démarche de gestion des risques SI fournisseurs,

- Évaluer la maturité cybersécurité des partenaires et sous-traitants,

- Définir les exigences sécurité SI dans les contrats et appels d’offres,

- Suivre les risques liés à la supply chain numérique.

6. Gestion des incidents & continuité

- Définir et piloter le dispositif de réponse aux incidents cyber,

- Animer les cellules de crise cyber,

- Coordonner avec les équipes Legal et Communication en cas d’incident cyber majeur,

- Piloter les dispositifs de continuité (PCA/PRA),

- Organiser des exercices de crise réguliers (y compris avec la Direction).

7. Culture & sensibilisation sécurité

- Déployer un programme structuré de sensibilisation et de protection de la donnée, en lien avec l’Officier de Sécurité,

- Mesurer l’efficacité (KPIs, campagnes de phishing, etc.),

- Accompagner les équipes métiers dans l’intégration de la sécurité,

- Promouvoir une culture sécurité à tous les niveaux de l’entreprise.

8. Pilotage & transformation

- Piloter les programmes de transformation cybersécurité,

- Prioriser les investissements cyber,

- Gérer le budget et les ressources,

- Contribuer aux choix d’outils et d’architecture.

Diplômes requis

· Bac+5 (ingénierie, informatique, cybersécurité ou équivalent)


Compétences professionnelles requises

Must-have-

- Expérience significative (8-12+ ans) en cybersécurité, dont rôle RSSI ou équivalent

- Maîtrise des référentiels : ISO 27001/27005, NIS2, RGPD

- Expérience en gestion des risques (EBIOS RM ou équivalent)

- Bonne compréhension des architectures IT modernes (cloud, hybride, réseau)

- Connaissances des technologies de sécurité : IAM, SIEM, EDR/XDR, chiffrement, réseau, cloud (Azure, AWS, GCP)

- Expérience en pilotage de programmes sécurité

- Gestion d’incidents et de crise

- Capacité à interagir avec des comités de direction

- Expérience en environnement industriel / produit complexe (fortement recommandé)

- Bonne maîtrise de l’anglais professionnel

Nice-to-have

- Expérience en sécurité produit / systèmes embarqués

- Connaissance des environnements data / ERP

- Connaissance des référentiels II901, IM900

- Expérience en DevSecOps

- Certifications (CISSP, CISM, ISO 27001 Lead Implementer/Auditor)

- Expérience avec des environnements multi-cloud

- Mise en place de SOC / MSSP

- Expérience en gestion des risques tiers / supply chain

Soft skills

- Leadership et capacité à influencer sans lien hiérarchique

- Excellente communication (technique et exécutive)

- Vision stratégique et pragmatisme opérationnel

- Capacité à prioriser dans des environnements complexes

- Sang-froid en situation de crise

- Haut sens de la confidentialité, de l’éthique professionnelle et de l’intégrité.


Notre process de recrutement 🤝

Nous nous engageons à recruter les bonnes personnes pour le bon poste, indépendamment de vos antécédents privés.

Nous nous rencontrons au moins trois fois afin de vous donner une meilleure idée de ce que c'est que de travailler chez Exotrail :

1. Entretien par appel vidéo avec notre Talent Acquisition Team : vous découvrirez votre environnement de travail et en apprendrez davantage sur notre culture.

2. Entretien technique avec votre futur manager : vous en apprendrez plus sur le poste et les qualifications requises.

3. Entretien sur place avec le Chief Infrastructure & Security Officer : vous pourrez vous assurer que vous partagez la même vision et les mêmes valeurs de l'entreprise.

A propos d'Exotrail 🚀

Animée par l’ambition de repousser les frontières du spatial, Exotrail est une scale-up du New Space fondée en 2017, avec une mission claire : rendre la mobilité spatiale accessible à l’échelle mondiale.

Nous concevons, développons et opérons des solutions de services en orbite ainsi que des moteurs de propulsion dédiés aux petits satellites, au cœur des technologies spatiales les plus avancées.

À la croisée du spatial et du digital, Exotrail se distingue par son agilité, son orientation client et son esprit entrepreneurial. Nous évoluons dans un environnement innovant où la prise de risques maîtrisée est un levier pour repousser les limites du modèle spatial traditionnel et créer des solutions inédites.

Forte de sa culture d’innovation et de son ADN de pionnier, Exotrail entre aujourd’hui dans une nouvelle phase : bâtir une entreprise industrielle ambitieuse, capable de transformer durablement le secteur spatial.

Job Description 👨‍💻


Le/la RSSI est responsable de la définition, du pilotage et de l’amélioration continue de la stratégie de cybersécurité de l’entreprise. Il/elle garantit la protection :

- des systèmes d’information,

- des données (corporate, clients, techniques),

- des produits et environnements industriels,

- et des interactions avec les tiers (fournisseurs, partenaires).

Il/elle agit comme un leader transverse, en étroite collaboration avec les équipes IT, Data & ERP, Produit/Ingénierie, Legal et l’Officier de Sécurité.

Relation de travail

Relations fonctionnelles clés : IT, Data & ERP, Legal, Officier de Sécurité, Produit/Ingénierie, Direction.

Relations externes : Prestataires cybersécurité (expertise, sous-traitance, …), fournisseurs, partenaires, clients, auditeurs, etc.

Clarification des rôles :

- Le RSSI est responsable de la sécurité du SI et des actifs numériques.

- L’Officier de Sécurité couvre la sûreté globale (organisationnelle, physique, etc.).

Les deux fonctions collaborent étroitement sur les sujets de gestion des risques et de crise.

Activités significatives

- la gestion des risques cyber,

- la conformité réglementaire en collaboration avec l’équipe Legal,

- la prévention des incidents,

- la réponse aux crises,

- la sensibilisation des collaborateurs.

Responsabilités exercées et champ d’actions

1. Gouvernance & stratégie cybersécurité

- Définir et piloter la stratégie cybersécurité et la protection de la donnée alignée avec les enjeux business et industriels, en collaboration avec l’Officier de Sécurité,

- Structurer et maintenir la Politique de Sécurité des Systèmes d’Information (PSSI) et les politiques associées,

- Mettre en place une gouvernance sécurité (comités, reporting COMEX, KPIs),

- Définir et maintenir une cartographie des risques cyber et l’appétence aux risques,

- Assurer la conformité aux normes et réglementations (ISO 27001, NIS2, RGPD, etc.),

- Être le/la référent·e sécurité vis-à-vis de la Direction et des parties prenantes externes.

2. Protection des systèmes & architecture sécurité

· Participer à la définition des principes d’architecture de cybersécurité (cloud, on-premise, hybride),

· Piloter la stratégie de protection (IAM, endpoint, réseau, chiffrement, antivirus/EDR/NDR/XDR, etc.) et superviser les dispositifs de sécurité,

· Encadrer et piloter les audits, tests d’intrusion et gestion des vulnérabilités,

· Superviser les partenaires cybersécurité (SOC, MSSP, CERT),

· S’assurer de l’intégration de la sécurité dans les projets IT (security by design).

3. Sécurité des données (Data Security)

- Définir la stratégie de protection des données sensibles en collaboration avec l’Officier de Sécurité,

- Mettre en place une classification des données en collaboration avec l’Officier de Sécurité,

- Travailler avec l’équipe Data Management & ERP sur la gouvernance des données,

- Promouvoir les principes de privacy by design,

- Encadrer les dispositifs de protection (DLP, chiffrement, accès),

- Participer à la rédaction et l’évolution des politiques internes sur la sensibilité des données et supports.

4. Sécurité produit & ingénierie

- Intégrer la cybersécurité dans les cycles de développement (DevSecOps),

- Définir les exigences de sécurité pour les produits et systèmes embarqués,

- Piloter les analyses de risques sur les systèmes critiques,

- Contribuer à la sécurisation des interfaces clients et des plateformes associées.

5. Cybersécurité des tiers & supply chain

- Mettre en place une démarche de gestion des risques SI fournisseurs,

- Évaluer la maturité cybersécurité des partenaires et sous-traitants,

- Définir les exigences sécurité SI dans les contrats et appels d’offres,

- Suivre les risques liés à la supply chain numérique.

6. Gestion des incidents & continuité

- Définir et piloter le dispositif de réponse aux incidents cyber,

- Animer les cellules de crise cyber,

- Coordonner avec les équipes Legal et Communication en cas d’incident cyber majeur,

- Piloter les dispositifs de continuité (PCA/PRA),

- Organiser des exercices de crise réguliers (y compris avec la Direction).

7. Culture & sensibilisation sécurité

- Déployer un programme structuré de sensibilisation et de protection de la donnée, en lien avec l’Officier de Sécurité,

- Mesurer l’efficacité (KPIs, campagnes de phishing, etc.),

- Accompagner les équipes métiers dans l’intégration de la sécurité,

- Promouvoir une culture sécurité à tous les niveaux de l’entreprise.

8. Pilotage & transformation

- Piloter les programmes de transformation cybersécurité,

- Prioriser les investissements cyber,

- Gérer le budget et les ressources,

- Contribuer aux choix d’outils et d’architecture.

Diplômes requis

· Bac+5 (ingénierie, informatique, cybersécurité ou équivalent)


Compétences professionnelles requises

Must-have-

- Expérience significative (8-12+ ans) en cybersécurité, dont rôle RSSI ou équivalent

- Maîtrise des référentiels : ISO 27001/27005, NIS2, RGPD

- Expérience en gestion des risques (EBIOS RM ou équivalent)

- Bonne compréhension des architectures IT modernes (cloud, hybride, réseau)

- Connaissances des technologies de sécurité : IAM, SIEM, EDR/XDR, chiffrement, réseau, cloud (Azure, AWS, GCP)

- Expérience en pilotage de programmes sécurité

- Gestion d’incidents et de crise

- Capacité à interagir avec des comités de direction

- Expérience en environnement industriel / produit complexe (fortement recommandé)

- Bonne maîtrise de l’anglais professionnel

Nice-to-have

- Expérience en sécurité produit / systèmes embarqués

- Connaissance des environnements data / ERP

- Connaissance des référentiels II901, IM900

- Expérience en DevSecOps

- Certifications (CISSP, CISM, ISO 27001 Lead Implementer/Auditor)

- Expérience avec des environnements multi-cloud

- Mise en place de SOC / MSSP

- Expérience en gestion des risques tiers / supply chain

Soft skills

- Leadership et capacité à influencer sans lien hiérarchique

- Excellente communication (technique et exécutive)

- Vision stratégique et pragmatisme opérationnel

- Capacité à prioriser dans des environnements complexes

- Sang-froid en situation de crise

- Haut sens de la confidentialité, de l’éthique professionnelle et de l’intégrité.


Notre process de recrutement 🤝

Nous nous engageons à recruter les bonnes personnes pour le bon poste, indépendamment de vos antécédents privés.

Nous nous rencontrons au moins trois fois afin de vous donner une meilleure idée de ce que c'est que de travailler chez Exotrail :

Entretien par appel vidéo avec notre Talent Acquisition Team : vous découvrirez votre environnement de travail et en apprendrez davantage sur notre culture.

Entretien technique avec votre futur manager : vous en apprendrez plus sur le poste et les qualifications requises.

Entretien sur place avec le Chief Infrastructure & Security Officer : vous pourrez vous assurer que vous partagez la même vision et les mêmes valeurs de l'entreprise.