Cybersecurity GRC Manager

Keystone Solutions is seeking a Cybersecurity GRC Manager for a consultancy mission at a client site. This role involves working closely with the internal cybersecurity team and the CISO to enhance governance, risk management, and compliance (NIS2, ISO 27001) for our client and its partners in the water sector.

• →Lead and draft the Information Security Management System (ISMS) documentation: policies, procedures, risk treatment plans.
• →Support clients in their ISO 27001 certification journey, from gap analysis to certification audit.
• →Prepare for internal and external audits, track non-conformities, and continuously update the ISMS.
• →Contribute to the implementation of NIS2 compliance for essential and important entities within the scope.
• →Utilize and manage the GRC tool CISO Assistant (or equivalent) for tracking controls, risks, and action plans.

• Soft Skills:
• Documentary rigor: Ability to produce precise, coherent, and maintainable documentation.
• Oral and written communication: Comfort in expressing ideas clearly to diverse audiences and adapting language level accordingly.
• Active listening and relational intelligence: Aptitude for understanding client constraints and building trust.
• Negotiation and influence: Ability to advance compliance topics with stakeholders not directly under authority.
• Pedagogical skills: Capability to make ISO 27001 and NIS2 requirements accessible to non-specialists.
• Change management: Ability to manage organizational resistance to compliance requirements.
• Autonomy and proactivity: Capacity to work independently on GRC workstreams.
• Results orientation: Focus on tangible deliverables.
• Adaptability: Comfortable in a multi-client MSP environment.
• Governance Skills:
• Mastery of the PDCA cycle applied to an ISMS (ISO 27001).
• Ability to draft and maintain a Statement of Applicability (SOA).
• Knowledge of NIS2 requirements.
• Experience in conducting risk analyses (ISO 27005 or equivalent).
• Awareness of GDPR obligations and their relation to ISO 27001/NIS2 requirements.
• Technical Skills:
• ISO 27001:2022: mastery of the 93 measures of Annex A and audit requirements.
• Document drafting: security policies, operational procedures, risk treatment plans, audit reports.
• Project management: planning compliance milestones, tracking action plans, reporting.
• GRC tools: CISO Assistant or equivalent platforms.
• IT culture and infrastructure security: solid understanding of fundamental concepts necessary for effective dialogue with technical teams.
• Knowledge of MSP environments and critical IT architectures appreciated.

• Minimum 3 to 5 years of experience in a GRC, IT Compliance, or Information Security role.
• Proven experience in leading or supporting ISO 27001 certification.
• Experience in an MSP context, consulting firm, or multi-client environment appreciated.
• Exposure to regulated sectors (critical infrastructure, water, energy, health, finance) considered an asset.
• Good command of written French; technical English is a plus.

As a consultant at Keystone Solutions, you will engage in dynamic projects that offer turbo-charged learning opportunities and a commitment to your career growth. Being a

If you are ready to tackle technical and strategic challenges in a dynamic consultancy environment, apply today at Keystone Solutions Career Portal.

• Softskills
• Rigueur documentaire : Capacité à produire une documentation précise, cohérente et maintenable dans la durée — politiques, procédures, plans de traitement des risques rédigés sans ambiguïté.
• Communication orale et écrite : Aisance à s'exprimer clairement face à des interlocuteurs variés (direction, Comex, équipes techniques, responsables métier clients) et à rédiger synthèses et présentations destinées aux instances dirigeantes. Capacité à adapter le niveau de langage selon l'audience — vulgariser sans simplifier à l'excès.
• Écoute active et intelligence relationnelle : Aptitude à comprendre les contraintes réelles des clients et des sous-traitants, à reformuler leurs besoins, et à instaurer un climat de confiance propice à la co-construction des procédures et processus de sécurité.
• Négociation et influence sans autorité hiérarchique : Capacité à faire avancer des sujets de conformité auprès d'interlocuteurs qui ne sont pas sous l'autorité directe de Digit'Eaux — clients coopérateurs, prestataires tiers, équipes IT externes. Savoir défendre une exigence de sécurité tout en restant constructif et orienté solution.
• Sens de la pédagogie : Aptitude à rendre accessibles les exigences ISO 27001 et NIS2 auprès d'opérationnels non-spécialistes, à conduire des ateliers de travail collaboratifs (ateliers risques, revues documentaires, sensibilisation), et à embarquer les parties prenantes dans la démarche de conformité.
• Gestion des résistances et conduite du changement : Capacité à gérer les réticences organisationnelles face aux exigences de conformité, à identifier les bons relais internes chez le client, et à transformer des contraintes réglementaires perçues comme des obstacles en leviers d'amélioration opérationnelle.
• Autonomie et proactivité : Capacité à avancer de manière indépendante sur les workstreams GRC, en rendant compte régulièrement au CISO et en escaladant les points de blocage au bon moment.
• Orientation résultat : Focus sur les livrables concrets : politiques rédigées, audits préparés, non-conformités clôturées.
• Adaptabilité : À l'aise dans un environnement MSP multi-clients à forte responsabilité opérationnelle, capable de jongler entre plusieurs contextes organisationnels et niveaux de maturité sécurité différents.
• Compétences en gouvernance
• Maîtrise du cycle PDCA appliqué à un SMSI (ISO 27001).
• Capacité à rédiger et maintenir une Déclaration d'Applicabilité (SOA) avec justifications contextualisées.
• Connaissance des exigences NIS2 (entités essentielles/importantes, obligations de notification, mesures de sécurité).
• Expérience dans la conduite d'analyses de risques (ISO 27005 ou équivalent).
• Capacité à interagir avec les CISO clients et à positionner Digit'Eaux en tant qu'équipe sécurité opérationnelle étendue.
• Sensibilisation aux obligations RGPD et à leur articulation avec les exigences ISO 27001 / NIS2.
• Compétences techniques (niveau fonctionnel/encadrement)
• ISO 27001:2022 : maîtrise des 93 mesures de l'Annexe A, des clauses 4 à 10, et des exigences d'audit.
• Rédaction documentaire : politiques de sécurité, procédures opérationnelles, plans de traitement des risques, rapports d'audit.
• Gestion de projet : planification des jalons de conformité, suivi des plans d'action, reporting Comex.
• Outils GRC : CISO Assistant, ou toute plateforme GRC équivalente (OneTrust, ServiceNow GRC, Archer…).
• Culture IT et sécurité des infrastructures : compréhension solide des concepts fondamentaux de la sécurité des systèmes d'information et des réseaux, nécessaire pour évaluer la pertinence des contrôles et dialoguer efficacement avec les équipes techniques
• Connaissance des environnements MSP et des architectures IT critiques (OT/IT, secteur de l'eau ou équivalent apprécié).
• Utilisation des frameworks complémentaires : CIS Controls, IEC 62443, ANSSI guides sectoriels.
• Expérience
• Minimum 3 à 5 ans d'expérience dans un rôle GRC, Conformité SI ou Sécurité de l'Information.
• Expérience avérée dans la conduite ou le support à la certification ISO 27001 (participation à au moins un cycle complet : préparation, audit à blanc, audit de certification), une certification de type Lead Implementer ISO27001 est un plus.
• Expérience en contexte MSP, cabinet de conseil ou environnement multi-clients appréciée.
• Exposition aux secteurs réglementés (infrastructure critique, eau, énergie, santé, finance) considérée comme un atout.
• Bonne pratique de la langue française à l'écrit (production documentaire intensive) ; l'anglais technique est un plus.
• La mission est susceptible au renouvellement selon l’appréciation du client.
• View more
• Job specifications
• Cybersecurity GRC Manager_12062026.docx

English
Level Nice to have
French
Level Native or bilingual proficiency