CDI · Paris ou full remote · Démarrage ASAP

Pourquoi ce poste, maintenant

Notre plateforme opère sur les données les plus sensibles qui existent : les données de santé de millions de patient·es français·es. Nous sommes hébergeur HDS et certifiés ISO 27001, soumis au RGPD et à l’AI Act, et nous co-construisons avec les hôpitaux des agents IA qui interviennent dans des parcours de soin réels.

Jusqu’ici, la sécurité et la compliance ont été portées par notre CTO (Olivier) et notre cofondateur et CPO (Théo) en marge de leurs missions. Cette organisation devient intenable à mesure que nous scalons. Tu seras le·la premier·ère RSSI d’Arkhn. Tu seras rattaché·e au COO (Thierry), mais tu échangerais avec de nombreuses personnes d’Arkhn, en particulier avec Olivier sur la sécurité technique.

Tes missions

Définir et piloter la stratégie de sécurité et de compliance d’Arkhn :

• construire et faire vivre la PSSI ainsi que le corpus documentaire associé
• cartographier les risques (méthode EBIOS RM ou ISO 27005) sur la data platform comme sur la couche agentique, et arbitrer en continu risque vs business
• définir la roadmap sécurité 12-24 mois, en l’alignant avec la roadmap produit et commerciale.

Piloter la conformité réglementaire et le maintien des certifications :

• Préparer la prochaine recertification ISO 27001/HDS
• Maintenir et faire évoluer notre conformité HDS, ISO 27001, RGPD, tout en anticipant les exigences AI Act, Data Governance Act et NIS 2
• Piloter les audits internes et externes, le suivi des non-conformités et les plans de remédiation
• Être l’interlocuteur·rice de référence pour la CNIL, l’ANSSI, les DSI hospitalières et les auditeur·rices
• À moyen terme, préparer Arkhn aux certifications utiles à l’expansion européenne (C5 en Allemagne, équivalents nationaux ailleurs).

Sécuriser la plateforme sur le plan technique, en lien avec l’équipe Engineering :

• Mener les revues d’architecture sécurité (cloud, multi-tenant, IAM, chiffrement, secrets management)
• Définir les standards DevSecOps et accompagner leur déploiement par l’équipe Engineering (SAST, SCA, secrets scanning, gestion des dépendances)
• Conduire le threat modeling de la couche agentique (prompt injection, data exfiltration, gouvernance des accès LLM, traçabilité des actions des agents)
• Gérer les incidents de sécurité et orchestrer les exercices de crise.

Diffuser une culture sécurité dans l’équipe et chez nos clients :

• Onboarding sécurité, sensibilisation continue, exercices phishing et table-top
• Réponses aux questionnaires sécurité des prospects et clients, qui sont un fort accélérateur du cycle de vente hospitalier
• Représenter Arkhn dans les comités sécurité de nos hôpitaux clients.

Les 12 premiers mois

• À 3 mois : tu as cartographié l’ensemble des risques, posé une PSSI v2 alignée avec les évolutions récentes de la plateforme, et fait valider un plan de closure des non-conformités HDS embarqué par les équipes concernées.
• À 6 mois : toutes les non-conformités mineures du dernier audit sont closes, le framework DevSecOps est déployé dans l’équipe Eng, et le threat model de la couche agentique est documenté et acté avec les founders.
• À 12 mois : la recertification HDS et ISO 27001 est obtenue sans non-conformité mineures. Le processus de réponse aux RFP sécurité hospitalières est standardisé. Tu es la référence sécurité d’Arkhn auprès des hôpitaux clients et des autorités.

Stack et environnement

• Cloud : on-premise, multi-cloud souverains français, hybride.
• Stack : Kubernetes, ClickHouse, dbt, Dagster
• Couche agentique : modèles open-weights (Mistral, Qwen, Kimi) et harnessing layer open source (DeepAgent de Langchain).
• Sécurité : la stack reste à structurer avec toi, tu auras carte blanche pour la définir.

Ce qu’on offre

Compétences techniques

• Tu maîtrises concrètement les standards ISO 27001, HDS et RGPD, et tu as une compréhension solide des enjeux AI Act.
• Tu es à l’aise avec les architectures cloud modernes (AWS, GCP, Azure), les patterns multi-tenant, l’IAM et les bonnes pratiques de chiffrement en transit et au repos.
• Tu as une expérience opérationnelle des outils SecOps : SIEM, EDR, scanners SAST, DAST, SCA, secrets management.
• Tu as déjà été exposé·e aux enjeux de sécurité des LLMs et des architectures agentiques, ou tu as très envie de t’y plonger. Ce n’est pas un prérequis dur.
• Tu sais dialoguer techniquement avec des data engineers et des backend engineers sur les sujets DevSecOps.

Soft skills

• Tu sais influencer sans autorité hiérarchique directe, ce qui sera clé puisque tu seras seul·e dans ta fonction au démarrage.
• Tu es pédagogue : tu sais traduire les enjeux sécurité aussi bien pour des médecins, des directeur·rices d’hôpitaux, des engineers que pour des équipes commerciales.
• Tu fais preuve de pragmatisme dans tes arbitrages : tu sais dire non quand il faut, mais surtout tu sais dire oui en proposant une façon de faire.
• Tu as un vrai sens du produit, pour que la sécurité accélère la vente, sans la bloquer.

Formation et certifications

• Bac+5 (école d’ingénieur·e, cybersécurité, IT) ou équivalent.
• Une certification parmi CISSP, CISM, ISO 27001 Lead Implementer ou Lead Auditor est un plus appréciable.
• Aucun diplôme n’est requis si tu peux démontrer une expérience équivalente.

Arkhn s’engage pour la diversité et l’inclusion. Toutes les candidatures sont les bienvenues, indépendamment du genre, de l’origine, de l’âge, du handicap ou de toute autre caractéristique protégée.Process de recrutement (5 étapes, environ 4 semaines)

• Screen RH (15-30 min, visio) avec Elisabeth/Charlotte.
• Premier entretien (45 min, visio) avec Thierry, COO.
• Double entretien (sur site) : case study à la maison (quelques heures de travail, restitution 60 min) avec Thierry et Julien (Head of Devops) ; entretien tech et produit (60 min, sur site) avec Olivier (CTO) et Théo Ryffel (Cofounder et CPO).
• Entretien fit final (30 min, visio) avec Emeric Lemaire (CEO).
• Références auprès de 2 à 3 personnes.