Analyste des risques de cybersécurité / Cybersecurity Risk Analyst

Analyste des risques de cybersécurité

Se rapporte à :Responsable de la gouvernance, de la sécurité et de la conformité informatique

En soutenant le responsable de l'équipe de sécurité de la conformité et de la gouvernance informatiques, l'Analyste des risques de cybersécurité contribuera à la pratique de gestion des risques informatiques au sein du Groupe Paper Excellence en maintenant et en améliorant le cadre de gestion des risques informatiques, en gérant les exceptions informatiques et en effectuant des évaluations des risques liés aux fournisseurs tiers.

L’Analyste participera également à des projets commerciaux et informatiques et collaborera avec les équipes chargées des opérations informatiques afin d'évaluer les risques et de formuler des recommandations pour les atténuer.

Principales responsabilités :

Cadre d'évaluation des risques informatiques et de sécurité

• Maintenir et améliorer le cadre d'évaluation des risques en matière de sécurité informatique.
• Documenter les risques liés à la sécurité informatique, les contrôles d'atténuation et les présenter au responsable des risques pour qu'il prenne une décision.
• Assurer la coordination avec l'équipe chargée de la conformité informatique pour veiller à ce que des contrôles compensatoires soient mis en place.
• Tenir à jour le registre des risques informatiques tout au long de leur cycle de vie.
• Effectuer des évaluations de l'impact sur la vie privée (PIA).

Évaluation de la sécurité des fournisseurs tiers

• Maintenir et améliorer la méthodologie d'évaluation des fournisseurs tiers.
• Effectuer l'évaluation de la posture de sécurité des fournisseurs tiers et des fournisseurs de cloud, documenter l'évaluation et présenter les résultats aux responsables de l'entreprise.
• Examiner les contrats de tiers pour y trouver des clauses relatives à la sécurité informatique et à la confidentialité des données et travailler en collaboration avec les équipes chargées des achats informatiques et les équipes juridiques.
• Tenir à jour le registre des fournisseurs de services de Cloud
• Fournir des services de sélection des fournisseurs pour les aspects liés à la cybersécurité afin d'aider les unités opérationnelles à sélectionner un fournisseur dans le cadre du processus d'appel d'offres.

Processus de traitement des exceptions informatiques

• Gérer et maintenir le processus de traitement des exceptions informatiques.
• Documenter les exceptions informatiques, valider les besoins des demandeurs et du propriétaire de l'exception, demander l'approbation de l'exception à la direction de la cybersécurité.
• Documenter l'évaluation des risques si nécessaire.
• Tenir à jour le registre des exceptions informatiques et assurer le suivi des exceptions approuvées.

Conseil en matière de projets

• Fournir des services de conseil aux projets commerciaux et informatiques sur les questions relatives aux risques informatiques afin de garantir des activités de gestion des risques au cours du cycle de vie du projet. Occasionnellement, apporter un soutien à l'équipe de conseil en sécurité du projet pour documenter les exigences de sécurité du projet et les contrôles à mettre en œuvre.

KPI et KRI de la gestion des risques

• Produire et rapporter les KPI et KRI de la gestion des risques informatiques sur une base mensuelle.

Qualifications / expérience professionnelle requises :

• Baccalauréat ou 5 ans d'expérience professionnelle en cybersécurité ;
• Au moins 8 ans d'expérience dans le domaine de la gouvernance, du risque et de la conformité en matière de sécurité (GRC) ;
• Détenir des certifications liées à la sécurité telles que CISSP, CISM, CSSP ou similaires est considéré comme un atout ;

Qualifications/expériences professionnelles/années d'expérience préférables:

• Expérience pratique de la mise en œuvre et/ou de l'utilisation de cadres de gestion des risques informatiques ;
• Expérience pratique de l'évaluation des risques informatiques dans le cadre de projets et d'opérations de sécurité ;
• Expérience pratique de la mise en œuvre de contrôles de sécurité et de mesures d'atténuation des risques.
• Expérience pratique de l'évaluation des risques liés aux fournisseurs tiers et de l'examen des documents d'assurance relatifs à la sécurité et aux contrôles informatiques fournis par les tiers (par exemple, certifications ISO 27001, SSAE-16/18, SOC1, SOC2, etc...) ;
• Expérience pratique de la gestion d'un processus de traitement des exceptions informatiques ;
• Expérience pratique et bonnes connaissances dans des domaines tels que : la gestion des identités et des accès, la sécurité des réseaux, la sécurité de l'informatique en nuage, la cryptographie, la sécurité du web, les solutions de sécurité de nouvelle génération et la sécurité des systèmes d'exploitation ; et
• Expérience des cycles de vie des projets, en particulier de l'analyse des risques de sécurité, de la conception de solutions et de l'intégration de systèmes à grande échelle.

Domtar applique un programme d’accès à l’égalité et invite les femmes, les minorités visibles, les Autochtones et les personnes handicapées à présenter leur candidature.

Notre offre

• Un emplacement au cœur du centre-ville (métro Place des Arts);
• Un environnement de travail moderne et spacieux;
• Un plan d’assurance « À la carte » (vie, soins médicaux, soins dentaires);
• Un programme d’aide aux employés;
• Un Centre de la Petite Enfance sur place;
• Une rémunération concurrentielle, incluant un régime de boni annuel;
• Un régime de retraite avec participation de l’employeur;
• Du développement et de la formation continue payés par l’employeur.

Position title: Cybersecurity Risk Analyst

Location: Downtown Montreal (hybrid)

Reports to: Manager, Governance Security & IT Compliance

By supporting the Manager of IT Compliance & Governance Security team, the Cybersecurity Risk Analyst will contribute the to IT risk management practice at the Paper Excellence Group by maintaining and improving the IT risk management framework, manage IT exceptions and perform 3rd party vendor risk assessments.

The resource will also participate to Business and IT projects and work with IT operation teams to assess risks and provide risk mitigation recommendations.

Job Responsibilities/Accountabilities:

IT/Security Risk Assessment Framework

• Maintain and improve an IT/Security Risk Assessment Framework
• Document IT security risk, mitigating controls and present them to risk owner for decision taking.
• Coordinate with IT compliance team to ensure compensating controls have been put in place.
• Maintain the IT risk register through out IT risks lifecycle.
• Perform Privacy Impact Assessments (PIA).

3rd party vendors security assessment

• Maintain and improve 3rd party vendors assessment methodology.
• Perform 3rd party and cloud vendor security posture assessment, document the assessment and present the results to business owners.
• Review 3rd party contracts for IT security and data privacy related clauses and work in collaboration with IT Procurement and Legal teams.
• Maintain the Cloud vendor register.
• Provide vendor selection services for cybersecurity aspects to help business units select a vendor as part of RFP process.

IT Exception Handling Process

• Manage and maintain the IT Exception Handling Process.
• Document IT Exceptions, validate the needs from exception requestors and owner, seek exception approval from Cybersecurity management.
• Document risk assessment as needed.
• Maintain the IT Exceptions register and follow-up on approved exceptions.

Project advisory

• Provide project advisory services to Business and IT projects on IT risk matters to ensure risk management activities during project’s lifecycle. Occasionally provide support to project security advisory team to document project security requirements and controls to implement.

Risk management KPI and KRI

• Produce and report IT risk management KPI and KRI on a monthly basis.

Required Qualifications/Professional Experiences

• Bachelor degree or 5 years of professional experience in Cybersecurity;
• Minimum of 8 years’ experience of security governance, risk and compliance (GRC);
• Holds security related certifications such as CISSP, CISM, CSSP or similar an considered an asset;

Preferred Qualifications/Professional Experiences/Years of Experience:

• Practical experience with implementing and/or working with IT Risk management frameworks;
• Practical experience with performing IT Risk assessment during projects and as part of security operations;
• Practical experience with security controls and risk mitigation measures implementation.
• Practical experience by assessing 3rd party vendor risks and reviewing security and IT controls related assurances documentation provided by 3rd parties (e.g., ISO 27001 certifications, SSAE-16/18, SOC1, SOC2, etc...);
• Practical experience with managing an IT exception handling process;
• Hands-on experience and good knowledge in topics such as: identity and access management, network security, Cloud security, cryptography, web security, next generation security solutions and operating system security; and
• Experience with project life cycles, particularly security risk analysis, solutions design and broad systems integration.

Domtar is an equal opportunity employer. We invite women, Aboriginal peoples, persons with disabilities and members of visible minorities to apply.

Our Offer:

• A downtown location (metro Place des Arts)
• Alternative Work Arrangements; hybrid remote work and flextime.
• A modern, spacious and dynamic environment.
• Competitive compensation, including annual bonus plan.
• An extended flexible insurance plan (life, medical, dental).
• An employee assistance program.
• A pension plan with matching company contributions to help make planning for your retirement easy.
• Employer-paid development and continuing education.