(Cyber) Missions GRC
Free-Worker-772537
Bonjour,
Je voulais savoir si vous saviez s'il y a un marché pour les missions de GRC (DORA, NIS, ISO27001, RGPD etc.) pour les freelances.
En effet, je suis en CDI et j'aimerais passer en freelance dans ce domaine là. Etant moyen techniquement (SOC, archi réseau, pentest), j'aimerais me concentrer sur la GRC.
Cependant, j'ai l'impression qu'il s'agit majoritairement de postes en interne en GRC (car sensibles et stratégiques), qui travaillent en collaboration avec des freelances pour leurs compétences techniques.
J'ai vu quelques offres passer sur Linkedin et sur Freework, cependant, je ne suis pas certain de la perennité et de l'abondance de missions dans la GRC Cyber.
Pouvez-vous m'en dire plus ?
-
Droopyann
Nombre de posts : 3730Nombre de likes : 1864Inscrit : 21 mai 2018Alors, pour moi, GRC = Gestion de la Relation Client, mais en creusant, on serait plutôt sur Gouvernance Risque et Conformité, c'est bien ça ?
A mon sens, il y a du boulot sur ce domaine, plutôt sur de l'audit et du conseil.
Peut être aussi de l'accompagnement type gestion de projet.Après, de manière général, le marché est compliqué en ce moment.
Donc bien réfléchir avant de se lancer en free.-- Yann EURL IS depuis 2019 -
Lelouch77
Nombre de posts : 2Nombre de likes : 0Inscrit : 12 septembre 2022il y a de la demande mais peu de recruter je suis Grc en freelance depuis un an , et j'ai fais plus de mission de chefferie de projet secu que de GRC, les ESN/ clients cherchent souvent le mouton à 5 Pattes , on va te parler une offre pour un Junior (2-5ans) et lors de l'entretien tu as juste l'impression que cest un poste pour senior, si tu nas pas de certif ( ISO2700x, CISSP) tu as tres peu de chance, Sachant que pour info la CISSP n'est detenue que par environ 1700personnes en france et je doute qu'elles soient toutes en freelance . Bref je suis un peu aigri fais pas attention
- Free-Worker-587146
Salut Free ,
Je suis pas un spécialiste mais de ce que j'ai vu comme offre sur le site free work et d'autre , il y a de la demande .
Exemple : ISO27001, la certification pour la gestion de la sécurisation des donnée en informatique , y a du taf !
Ta aussi des missions pour le règlement général de la protection des données ca se rapproche de la cyber sécurité
ou si t'est balèze tu peut négocier du 800 euros / jour .
Si tu reste en CDI c'est crégnos , tu gagne 3 cacahuètes et 2 bistons !
-
Free-worker-59100
Nombre de posts : 4Nombre de likes : 1Inscrit : 2 août 2023Salut collègue de la cyber !
Oui la GRC est plus orienté sur des postes internes avec des accompagnements ponctuels (remplissage PAS, process, etc...). Tout dépend de ton XP là dedans, (retex d'un gars qui vient de se lancer et plutôt bon techniquement avec un passage d'un et demi en GRC cyber).
Tout dépend de là où tu vis et des entreprises que tu vises, car tout reste une question de moyens (volonté ?) de s'armer face aux risques cyber. Cependant, selon-moi, la GRC n'est utile que si on a un niveau de sécurité """mature""", autrement, un bon technicien sera à privilégier avec une prise de hauteur.
Le marché free étant ce qu'il est, il vaut mieux rester prudent si tu n'as pas de matelas financier au cas où que ça ne démarre pas.
N'hésite pas à me mp pour en parler de vive-voix !
-
yanolezard
Nombre de posts : 307Nombre de likes : 292Inscrit : 5 décembre 2016Bonjour "Free-Worker-772537",
Comme l'a rappelé très humoristiquement notre joyeux, éminent et estimé @Droopyann, ce sigle ou trigramme peut faire penser aux domaines de la "Relation Client" (GRC = Gestion de la Relation Client / CRM : Customer Relation*ship Management) ou bien à la "Gendarmerie Royale du Canada"
Or, ce n'est pas le sujet du post car la "GRC" (Governance & Risk & Compliance) ou (Gouvernance/Risque/Conformité) est un des sous-domaines des vastes écosystèmes qui peuvent appartenir à bien d'autres choses que de l'informatique (IT), au sens bien large (la demande ici est plus ciblée, orientée IT "cyber"sécurité).
La "GRC" existe depuis bien longtemps et on l'utilise bien souvent sans s'en rendre compte, un peu comme Mr Jourdain avec sa prose.
Pour rappel historique, ces trois termes représentent les trois piliers indissociables permettant à une organisation de réussir à atteindre ses objectifs :
Gouvernance : la combinaison des processus assurés et exécutés par l'organe dirigeant (exemples : conseil d'administration, etc).
Gestion des risques : la gestion du risque est la prédiction et la gestion des risques qui pourraient empêcher l'atteinte des objectifs d'une société
Conformité : la conformité aux politiques et aux procédures de l'entreprise, lois et règlements.
Sans faire de débats philosophiques sur la question (je n'aurais pas assez de place ici et il faudrait à certains membres de ce forum, "poser plus d'une 1/2 journée pour me lire 😅 ), il est possible de résumer :
La GRC du domaine financier se rapporte à des activités assurant le bon fonctionnement de tous les processus financiers, ainsi que le respect des mandats liés aux finances.
La GRC se rapportant aux technologies de l’information se rapporte aux activités visant à assurer que l'organisation informatique prend en compte les besoins actuels et futurs de l'entreprise et respecte tous les mandats liés aux technologies de l'information.
La GRC concernant le légal se concentre sur le regroupement des trois composantes via le service juridique d'une organisation et le chef de la conformité.
Nous l'avons bien compris, transposées à l'IT, au numérique, à la "cyber", sécurité (au sens très ..... large), les marchés autour de la GRC sont légions.
Effectivement, comme l'a précisé précédemment un "Free-Worker", les pré-carrés ou les platebandes de la GRC sont plutôt (quoi que !) dans un service interne de l'organisation, cela s'élargit toutefois à l'extérieur car il devient compliqué de trouver les bons éléments (ils sont ou doivent être multi-casquettes ou couteaux-suisses).
Pourquoi plus en interne qu'en externe ? Simple : la dimension du service de la financière (un externe qui "met son museau pointu" tel un renard au bord d'un arbre creux, a plus de chance de se "prendre un coup de griffe, un coup de bec ou un coup de dent de l'habitant de ce lieu 😧). Blague à part, l'argent, dans les entreprises, est et restera toujours un sujet de polémiques et de tabous.
Pour en revenir à la question de base :
Il existe certes un marché et des missions freelance dans le domaine de la GRC, sous certaines conditions.
Il faut travailler intelligemment la ou les propositions de services de prestations.
Les juniors (pas chers) de la GRC, tous fraîchement sortis des écoles et/ou des instituts, vont réaliser des audits sous couvert d'un "mentor".
Cela fait un peu plus de 40 ans que je travaille, preste, exerce, pratique, forme, éduque, blatère et déblatère, navigue, grenouille, dans le "milieu" des Systèmes d'information, de la sécurité, cyber, sûreté (à tous les étages qui m'ont été permis d'accéder à ce jour), de la GRC. Et au regard de mes tribulations et de mes pérégrinations, dans les organisations civiles, militaires, publiques et privées, j'ai retenu quelques éléments clés si l'on veut "faire un peu de beurre" dans la baratte :
La GRC est un monde d'us et coutumes, notamment dans le secteur publique (notamment dans les Ministères, où un chat n'est pas un chat, mais un "chat de race Persan Bleu") : avoir les bons codes et le bon vocabulaire au moment opportun avec les interlocuteurs adéquats.
La GRC est un "meltingpot" et un chaudron de compétences : finances & contrôle de gestion, qualité, risques, règlementaire, juridique & légal & pénal, sûreté/sécurité (si vous cochez, comme moi, l'ensemble des cases, alors vous serez, peut-être l'hôte des Bois de la GRC)
La GRC fonctionne sur un regroupement de référentiels : ISO (International Standard Organization), RGPD/GDPR, Sécurité, Qualité, Organisation, Processus, Lois, Normes (produits, processus, services, gestion), aussi diverses que variées ou avariées ... Certains "officiers " de la GRC sont loin d'être à jour.
Pour ce qui est du vaste écosystème du numérique IT/OT (plus orienté industriel), dont les branches "sûreté/sécurité/cyber/risques", il est plus que nécessaire d'être un expert, sinon de bien maîtriser les périmètres référentiels sur lesquels on agit/travaille :
Règlementaire : RGPD/GDPR, Digital Marketing Act, Data Act, Cloud Act, ... (au-delà du RGPD "Français", si vous êtes une pointure RGPD Européen comme l'Allemagne, l'Italie, la Belgique ou avant le Brexit, l'Angleterre ou bien encore la Suisse ou bien encore les "territoires" comme Monaco ou Saint-Marin, ce sera mieux).
Qualité : ISO 20000, référentiels COFACE, COFRAC
LPM (Loi de Programmation Militaire et/ou assimilé) : IGI1300, II2100, IGI2102, II910, ...
L'industrie : IEC 62442, 62443, ... (normes : https://www.iso.org/fr/popular-standards.html)
Les normes, risques, processus de la sphère financière : les "Sapin : I, II, III", Sarbanes-Oxley (SOX), LCB-FT (Lutte Contre le Blanchiment d'argent et le Financement du Terrorisme), etc.
Les risques soit au sens génériques, soit sur un axe : ISO 27005 (Sécurité de l'information, cybersécurité et protection de la vie privée, Préconisations pour la gestion des risques liés à la sécurité de l'information),
La gestion et la sécurité des systèmes d'information : ISO 27001, 27002, 27004, 27722, ....
Le contrôle de gestion (4 axes : discrète, partenaire, garde-fou, omnipotente)
L'audit interne / externe.
Le marché ou les missions "forfaits" (parfois déguisés en régies)/régie disposent de "miroirs aux alouettes" (4 chiffres parfois annoncés en TJM). Les TJM fourchette haute sont généralement présents sur des missions à très fortes valeurs ajoutées, où le consultant arbore des expériences, des compétences, des accréditation, des certifications, des savoir-faire et des savoir-être "longs comme le bras", facilement vérifiables.
Comme le soulignait les précédents interlocuteurs de ce fil, le marché est tendu, voire instable ... la GRC n'est pas épargnée, néanmoins, si l'on sait présenter la "chose" en parallélisant avec l'écosystème sécurité, on peut facilement démontrer que vous avez contracté des expériences de GRC, dans les différentes tâches réalisées ou fonctions/profils occupés précédemment :
Analyses de risques, analyses d'impact, analyse des processus, analyses règlementaires, ...
PSI (Plan de Secours Informatique) côté IT, et côté GRC (PCA, PRA)
Participation et contribution à la mise en place d'un SIEM / SOC (Security Information and Event Management)/ (Security Operational Center) : ISO 27001, contribution à HDS (Hézbergement de Données de Santé) ...
Contrôles des assets : attribution des licences logiciels, contrats fournisseurs, renouvellements de prestation, achats ....> contrôle de gestion.
Sphère RGPD/GDPR : le CRM 🙄 , l'ERP, les données traitées, la signature électronique, la facturation électronique, le LAD/RAD, l'IA ...
Les domaines/secteurs vers lesquels se diriger peuvent donner une orientation : industries, tertiaires, banque/assurance/finance, luxe& eCommerce, startups, émergences (Blockchain, IA, Quantique), services publiques, militaires, hospitaliers ....
Comme me le disait un de mes feux grands-pères : "Toujours bien réfléchir avant d'agir, sinon je ne pourrais plus rien pour toi"
A cela, au fil des temps, j'ai ajouté : "Never give up" et " Si tu ne peux pas entrer par la grande porte, tentes les plus petits et improbables interstices".
En espérant avoir éclairé quelques lanternes,
Bien à vous toutes et tous,
Yanolezard (et ce n'est ni une IA générative et encore moins un poisson d'Avril)
-
Tuve
Nombre de posts : 26Nombre de likes : 4Inscrit : 19 novembre 2019Bonjour,
Je confirme. Il y a bien un marché GRC pour les freelances. Je reçois régulièrement des propositions en particulier sur l'implémentation SMSI 27001, analyse de risques (27005, Ebiso), sécurité dans les projets, définir des politiques de sécurité, etc... et avec NIS2 et DORA, ca ne risque pas de tarir.
Les grands groupes n'ont pas toujours assez de gens ou ceux avec l'expertise sur un standard/référentiel en particulier.
Plus des PME sous-traitant à qui on impose des réglementations, et ne savent pas par quel bout le prendre.
En revanche, les recruteurs me cherchent pas moins de 5-7 ans d'expériences de ce que j'ai vu.
Contactes moi en MP si tu veux des pistes.