Responsable de produits, Gestion des failles de sécurité de la cybersécurité
Ville : Ottawa
Catégorie : Temps plein
Industrie : Finances
Employeur : Export Development Canada (EDC)
Société d’État à vocation financière, Exportation et développement Canada (EDC) aide les entreprises canadiennes à générer des retombées au Canada et à l’étranger. EDC leur offre les produits financiers et l’expertise dont elles ont besoin pour percer de nouveaux marchés en toute confiance, réduire le risque financier et croître.
En intégrant notre équipe, vous aiderez les entreprises canadiennes à se familiariser avec les possibilités illimitées qui s’ouvrent à elles grâce à l’exportation et à faire en sorte que leur vision, leur passion et leur sens de l’innovation rayonnent à l’international. Vos connaissances et votre expertise profiteront à plus de 25 000 entreprises canadiennes et leurs clients répartis sur pas moins de 200 marchés dans le monde. Vous travaillerez avec la crème de la crème, dans un environnement inclusif et collaboratif propice au perfectionnement professionnel et à la réussite. Chaque jour, vous aurez la certitude d’avoir un impact auprès des entreprises, du Canada et de vos collègues.
Êtes-vous prêt à passer à l’action? Joignez-vous à EDC, reconnue comme l’un des employeurs favorisant le plus la conciliation travail-famille, tandis que nous assumons les risques pour que les entreprises canadiennes puissent conquérir le monde. #LI-Hybrid
Aperçu de l’équipe et du poste
Dirigé par le ou la chef des services informatiques, le Groupe des solutions numériques et technologiques a vu le jour en 2023 afin de donner à nos clients et à nos employés les outils nécessaires pour conquérir le monde en offrant de façon cohérente des services numériques fiables et sécurisés. Le Groupe vise les objectifs suivants :
- Définir, instaurer et maintenir l’état cible technologique intégré, le modèle de données cible et les activités technologiques nécessaires à la transformation opérationnelle d’EDC d’ici 2030.
- Créer et gérer la feuille de route numérique continue sur trois ans; ce document établit l’ordre d’obtention des résultats requis pour l’atteinte de l’état cible technologique et facilite celle-ci dans tous les secteurs de l’organisation.
- Demeurer au fait des tendances sectorielles et des technologies émergentes pour qu’EDC dispose des outils numériques qui assureront sa pertinence sur le marché afin d’accroître la présence commerciale du Canada sur la scène internationale.
- Voir à la mise en œuvre intégrée des projets sur le plan du numérique, des données, des infrastructures et de la cybersécurité pour offrir une excellente expérience aux clients, aux utilisateurs et aux employés.
Le Groupe des solutions numériques et technologiques est à la recherche d’une personne expérimentée pour assumer le rôle de responsable de produits, Gestion des failles de sécurité. La personne choisie travaillera avec la direction du Groupe, l’Équipe de la cybersécurité et des parties prenantes clés pour définir des objectifs, mettre au point des plans tactiques et des exigences en matière de sécurité et mener des projets de sécurité ciblant les risques liés à la sécurité de l’information dans le but de protéger les actifs numériques d’EDC.
La coopération transfonctionnelle, essentielle à la stratégie de la Sécurité de l’information d’entreprise et aux activités du Groupe, occupera une place centrale dans le quotidien de la personne choisie.
La personne choisie devra maîtriser les techniques utilisées pour protéger les données sensibles dans des environnements multiples. Son intégrité, son sérieux et sa fiabilité ne faisant aucun doute, elle représentera EDC et la direction des équipes responsables de la sécurité avec un professionnalisme exemplaire tout en prêchant par l’exemple.
Principales responsabilités
- Diriger la pratique de gestion des failles de sécurité d’EDC, notamment en créant une stratégie, une feuille de route et une offre de service pour assurer la réussite continue de la pratique.
- Apprendre et comprendre le noyau principal d’activités d’EDC, et contribuer à la personnalisation des services en vue de gérer les risques clés de l’organisation.
- Informer et conseiller les responsables et les unités fonctionnelles de la technologie, et collaborer avec ceux-ci en vue d’assurer la sécurité de l’information et des actifs technologiques d’EDC.
- Gérer et améliorer le processus d’identification, de saisie et de mise en contexte des failles de sécurité découvertes (par l’entremise d’une analyse hebdomadaire) au sein d’infrastructures (infonuagiques et sur place) et d’une couche d’application, que ce soit à l’aide du pipeline DevSecOps et de l’analyse ou des processus et outils de détection de menaces (simulation de brèches et d’attaques, etc.).
- Classer par ordre de priorité les failles de sécurité à éliminer d’après leur gravité, la probabilité qu’elles soient exploitées, leur cote et l’exposition au risque d’EDC.
- Consigner les failles de sécurité, les classer par ordre de priorité, faire des recommandations en la matière, valider leur état et produire des rapports à ce sujet.
- Mettre de l’avant des solutions stratégiques pour réduire le risque d’attaques, des mesures d’endiguement et des protections contre les fraudeurs.
- Travailler étroitement avec des parties prenantes et des fournisseurs de services pour remédier aux failles de sécurité.
- Assurer la liaison avec l’équipe chargée de l’ingénierie de la sécurité pour améliorer les activités de suivi et d’intervention.
- Assumer le rôle de personne-ressource en sécurité de l’information en ce qui concerne les failles de sécurité connues ou nouvelles.
- Collaborer et suivre continuellement les documents sur les politiques et les procédures régissant les failles de sécurité. Faire la promotion et la communication des politiques et des procédures de gestion des failles auprès des parties prenantes.
- Utiliser des outils automatisés et manuels conçus pour détecter des failles de sécurité. Générer les résultats des analyses et tenir des séances avec des parties prenantes, puis consigner les décisions et les dates convenues des mesures correctives.
- Faire le suivi des failles de sécurité ou du registre des risques pour les conclusions des tests de pénétration, de l’analyse de gestion des failles de sécurité et de DevSecOps.
- Gérer les vérifications et le cadre de conformité, la participation des parties prenantes, et les analyses de la conformité (ex., la suite applicative de l’assurance crédit).
- Favoriser les pratiques de codage sécuritaire (principes de conception sécurisée, normes de codage sécurisé, gestion sécurisée de la configuration, etc.).
- Conseiller et soutenir l’adoption de diverses méthodes de tests de sécurité, comme une analyse statistique, un test de sécurité dynamique des applications et un test de pénétration.
- Rester au fait des avancées technologiques et se familiariser avec les applications et systèmes patrimoniaux utilisés à EDC.
Critères de sélection
- Baccalauréat en informatique, en assurance de l’information, en génie ou dans un domaine connexe, ou expérience équivalente
- Au moins 7 années d’expérience en administration de la sécurité de l’information, en gestion des failles de sécurité ou dans les opérations de sécurité ou d’infrastructure
- Au moins 3 ans d’expérience de travail au sein d’un environnement informatique externalisé
- Maîtrise des solutions de gestion des failles informatiques, comme Qualys, Tenable ou ServiceNow
- Expérience des analyses des failles informatiques et des mesures correctrices à l’échelle de la Société
- Aptitudes exceptionnelles pour les techniques d’influence, la gestion d’équipes transfonctionnelles et la livraison de solutions dans un environnement hautement complexe, dynamique et hermétique
- Excellentes aptitudes pour la communication orale et écrite, la pensée critique et stratégique, la gestion de temps, l’établissement de priorités et les relations interpersonnelles
- Expérience confirmée dans les domaines de la technologie et des affaires, et capacité éprouvée à faire le lien entre ces deux domaines
- Connaissance pratique des principes ITIL et Agile, et compréhension de la formation des demandes d’attente et de la manière de les influencer
Atouts
- De 3 à 5 années d’expérience dans un ou plusieurs postes en cybersécurité ou dans les opérations informatiques
- Expérience de travail avec les cadres supérieurs et la haute direction dans un contexte de livraison ou de gestion des risques
- Expérience dans la gestion de relations avec des fournisseurs de technologies de l’information
- Excellente compréhension des applications, des systèmes d’exploitation, de l’infrastructure infonuagique, des tactiques, techniques et procédures derrière les attaques, des cadres d’applications Open Web Application Security Project, CVSS et MITRE ATT&CK, et du cycle de vie du développement de logiciels
- Excellente connaissance des cadres et des analyses de conformité du secteur (ex., suite applicative de l’assurance crédit)
- Aptitude à comprendre une infrastructure complexe du point de vue technique, les services gérés et les dépendances externes
- Une ou plusieurs attestations de sécurité, par exemple : CISSP (Certified Information Systems Security Professional), GCED (GIAC Certified Enterprise Defender), GCCC (GIAC Critical Controls Certification), GPEN (GIAC Penetration Tester Certification), GCIH (GIAC Certified Incident Handler Certification) ou CRISC (Certification en maîtrise des risques liés aux systèmes d’information)
- Maîtrise des deux langues officielles (anglais et français)
Détails de la rémunération :
- Responsable de produits (niveau 18) : Les salaires se situent généralement dans une échelle allant de 92 355 $ à 123 140 $ par an, basent sur les qualifications et l’expérience, plus une rémunération au rendement.
Lieu de travail:
- Exportation et développement Canada offre un environnement de travail hybride.
- Ce rôle peut être exercé à partir du siège social d'EDC à Ottawa, ou à partir du carrefour communautaire dans la ville de Toronto, de Mississauga, de Calgary, de Montréal, de Laval, de Brossard, de Vancouver ou d’Halifax.
- Une aide à la réinstallation est disponible pour les candidats éligibles.
Engagement d'EDC envers l’équité en matière d’emploi
EDC souscrit au principe de l’équité en matière d’emploi et s’engage à établir une main-d’œuvre diversifiée. EDC invite les femmes, les Autochtones, les personnes handicapées, les membres d’un groupe de minorité visible et les membres de la communauté 2ELGBTQI+ à poser leur candidature. Nous prions les personnes sélectionnées de nous indiquer si des mesures d’adaptation seront nécessaires pour leur entrevue.
"