Analyste GRC Cybersécurité (Gouvernance, Risques et Conformité)

La Fédération des Hôpitaux Vaudois informatique ( FHVi ), est le partenaire informatique privilégié de 12 hôpitaux et établissements de santé régionaux du canton de Vaud. La FHVi les accompagne dans les nombreux défis de la transformation digitale du domaine de la santé et a pour principales missions de planifier, concevoir, réaliser et exploiter le système informatique de ses membres. Ce sont plus de 120 collaborateurs au service de 14'000 utilisateurs, pour un parc de plus de 8'000 postes de travail répartis sur une centaine de sites géographiques et sur trois cantons (VD, VS, FR).

Pour renforcer son équipe cybersécurité, la FHVi recherche un·e Analyste GRC Cybersécurité (Gouvernance, Risques et Conformité).

Votre mission :

Rattaché·e au Responsable de la Sécurité de l'Information (RSSI), vous jouez un rôle central dans la structuration et le déploiement du dispositif GRC de la FHVi et de ses établissements membres. Vous contribuez activement à la mise en œuvre de la stratégie cybersécurité dans un contexte de transformation numérique, de modernisation des infrastructures et d'évolution organisationnelle.

Votre intervention couvre l'ensemble du périmètre hospitalier multisite, en lien étroit avec les équipes techniques, les directions métiers et les instances de gouvernance.

Responsabilités principales :

Gouvernance

• Contribuer à l'élaboration, la mise à jour et la structuration des politiques, procédures et standards de sécurité.
• Élaborer les indicateurs KRI/KPI et assurer le reporting auprès du comité de pilotage cybersécurité.
• Être force de proposition sur l'évolution du dispositif de sécurité et des pratiques associées.

Gestion des risques et conformité

• Piloter les évaluations de risques sur l'ensemble du périmètre de la FHVi (ISO 27005 et référentiels associés).
• Maintenir un référentiel centralisé et rigoureux des risques, contrôles, preuves et statuts.
• Assurer une veille réglementaire active ; LPD, normes hospitalières, évolutions sectorielles ; et conseiller les parties prenantes concernées.
• Accompagner la mise en œuvre progressive et structurée de la norme ISO 27001 à travers les établissements membres.

Audits et contrôles

• Coordonner et accompagner les audits internes et externes (ISO 27001, CIS, autres).
• Compiler les preuves, assurer le suivi des actions correctives et garantir la traçabilité des résultats.
• Contribuer à l'amélioration continue des processus de contrôle et de conformité.

Collaboration et sensibilisation

• Maintenir et faire évoluer un programme de sensibilisation à la sécurité, combinant campagnes de phishing, modules de formation en ligne, séances en présentiel, etc.
• Sensibiliser les directions et équipes métiers aux enjeux de sécurité et aux obligations de conformité.
• Collaborer avec les établissements membres, les équipes infrastructure et applicatives pour assurer la cohérence du dispositif GRC.

Profil recherché :

Vous êtes un·e professionnel·le reconnu·e pour votre rigueur, votre sens de l'organisation et votre capacité à créer du lien entre les enjeux techniques et les réalités opérationnelles des organisations complexes.

• Expérience significative de 5 ans ou plus en cybersécurité, avec une spécialisation marquée en GRC : gestion des risques, conformité et conduite d'audits.
• Maîtrise approfondie des normes et référentiels ISO 27001, ISO 27005, CIS, NIST, ainsi que des exigences réglementaires applicables au secteur de la santé et à la protection des données (LPD)
• Expérience avérée dans la conduite d'audits internes, externes et tierces parties, idéalement dans un environnement multisite ou institutionnel.
• Rigueur documentaire, capacité à structurer l'information et à en garantir l'exploitabilité.
• Aisance relationnelle et aptitude à communiquer avec des interlocuteur·trices techniques et non techniques.
• Autonomie, proactivité et esprit de collaboration transverse.
• Certifications souhaitées : ISO 27001 Lead Implementer, CISA, ou équivalent.
• Connaissance d'un outil GRC : un atout apprécié.

Formation et langues

• Diplôme universitaire en informatique, sécurité des systèmes d'information ou domaine connexe ; ou titre jugé équivalent au regard du parcours professionnel.
• Des certifications ou des formations spécialisées en sécurité sont un avantage.
• Français : excellente maîtrise écrite et orale – indispensable.
• Anglais : niveau opérationnel en lecture, rédaction et expression dans le cadre des activités du poste.

Ce que nous vous offrons :

- Une opportunité stimulante d’évoluer dans le secteur de la santé, un domaine en constante évolution et porteur de sens.

- La possibilité de contribuer activement à des projets ambitieux liés à la transformation digitale en cours

- Un environnement de travail agréable au sein d’une organisation à taille humaine, où l'esprit d'équipe et la proximité sont valorisés.

- Des conditions d’emploi attractives, avec une progression salariale régulière et adaptée aux responsabilités, conformément aux directives du statut du personnel en vigueur à la FHVi, notamment :

• Un 13ème salaire et des prestations sociales compétitives.
• 25 jours de vacances par an (30 jours dès l’année des 50 ans).
• Un accès à la formation continue pour accompagner votre développement professionnel.
• Une possibilité de télétravail partiel.
• Un accès par les transports publics.