Responsable de la Sécurité de l'Information et de la Conformité

À propos de nous

Ikerian AG (anciennement RetinAI Medical) est une entreprise de logiciels de dispositifs médicaux en forte croissance, dont le siège est à Berne, en Suisse. Notre mission est de permettre de prendre les bonnes décisions plus tôt dans le domaine de la santé, grâce à des solutions de gestion des données et d'IA transformantes pour le dépistage et le suivi des maladies. Rejoignez notre équipe diversifiée d'entrepreneurs, de développeurs, de chercheurs et d'experts commerciaux qui façonnent collectivement l'avenir des soins de santé.

Description du poste

Relevant du CTO, le Responsable de la Sécurité de l'Information et de la Conformité possède notre Système de Gestion de la Sécurité de l'Information (SGSI). Vous serez responsable de la certification ISO 27001, de la conformité et du maintien de la loi sur l'IA de l'UE, de la loi sur les services numériques en Allemagne, des conformités GDPR/HIPAA/PIPEDA/Protection des données suisses et de la loi sur la gouvernance informatique au Royaume-Uni (UKGDPR) ainsi que de toute autre conformité en matière de données et de cybersécurité, de la gestion des risques et de la sécurité des fournisseurs, et agirez en tant que point de contact unique pour les auditeurs, les clients et les régulateurs. Il s'agit d'un rôle senior pratique et autonome avec une influence indirecte sur l'ingénierie, les opérations informatiques, les ressources humaines et les achats.

Responsabilités clés

• Diriger la mise en œuvre et la certification ISO 27001
• Finaliser le périmètre, la méthodologie de risque, la Déclaration d'Applicabilité et le déploiement des contrôles.
• Présider le Comité de Pilotage du SGSI et présenter les KPI trimestriels à la direction.
• Certification SOC2/HITRUST ou similaire.  
• Posséder la conformité continue en matière de sécurité et de confidentialité
• Maintenir l'ISO 27001, le GDPR (UE/CH), l'HIPAA (US) et les clauses IT de l'Annexe I du MDR et les clauses IT & Cybersécurité de la FDA.
• Servir en tant que Délégué à la Protection des Données (DPD) et Responsable de la Sécurité des Données (RSD).
• Conformités à la loi sur l'IA de l'UE, à la loi sur les services numériques en Allemagne, à la PIPEDA/Protection des données suisses et à la loi sur la gouvernance informatique au Royaume-Uni (UKGDPR). 
• Gestion des risques et amélioration continue
• Tenir à jour le Registre des Actifs/Risques ; réaliser des évaluations annuelles des risques et des plans de traitement.
• Conduire des actions correctives suite à des incidents, des audits et des tests de pénétration.
• Audit et assurance client
• Planifier et organiser des audits internes, des audits de surveillance externes et des évaluations clients.
• Produire des livres blancs sur la sécurité, des questionnaires de diligence raisonnable (DDQs) et des artefacts de type SoC.
• Gouvernance de la sécurité des fournisseurs et du cloud
• Posséder l'intégration des fournisseurs, les questionnaires de sécurité, les clauses de droit d'audit et les examens périodiques.
• Facilitation de l'ingénierie de la sécurité
• Collaborer avec DevOps pour renforcer l'infrastructure cloud (AWS) et les pipelines CI/CD.
• Intégrer des pratiques Secure-SDLC (modélisation des menaces, SAST/DAST, analyse des dépendances).
• Conscience et culture
• Fournir une formation d'intégration, des simulations de phishing et des sessions de sécurité basées sur les rôles.
• Publier des métriques de sécurité mensuelles et des enseignements sur les incidents à l'ensemble de l'équipe.

5–8 ans dans la sécurité de l'information / GRC, y compris une expérience de mise en œuvre de bout en bout de l'ISO 27001 ou du SOC 2 dans un environnement cloud-native.

Expérience avérée en tant que propriétaire du SGSI ou Auditeur Principal ; gestion des audits et des actions correctives.

Familiarité avec le GDPR, l'HIPAA et la gestion des risques fournisseurs pour les logiciels SaaS ou les dispositifs médicaux.

Bachelor ou Master en Sécurité de l'Information, Informatique ou similaire.

ISO 27001 Lead Implementer/Auditor, CISM ou CISSP (un atout majeur).

Excellente maîtrise de l'anglais écrit et parlé ; forte influence sur les parties prenantes, capacité de formation et reporting concis au niveau exécutif/conseil.

Autonome et à l'aise dans une startup à forte autonomie ; capable de prioriser et d'exécuter avec des ressources limitées.

Éligible pour travailler à distance en Europe ; capable de voyager en Suisse environ 3 fois par an.

• Salaire compétitif et bonus plus participation à notre Plan d'Options d'Achat d'Actions pour les Employés.
• Culture axée sur le télétravail avec des horaires flexibles et un véritable équilibre entre vie professionnelle et vie privée.
• Budget pour les certifications, les conférences et l'équipement de votre choix.
• Opportunité de construire un SGSI vierge qui impacte directement les résultats des patients.
• Équipe inclusive et collaborative qui valorise la propriété et l'itération rapide.