Responsable de produits, Gestion des failles de sécurité de la cybersécurité

Aperçu de l’équipe et du poste

Dirigé Par Le Ou La Chef Des Services Informatiques, Le Groupe Des Solutions Numériques Et Technologiques a Vu Le Jour En 2023 Afin De Donner à Nos Clients Et à Nos Employés Les Outils Nécessaires Pour Conquérir Le Monde En Offrant De Façon Cohérente Des Services Numériques Fiables Et Sécurisés. Le Groupe Vise Les Objectifs Suivants

• Définir, instaurer et maintenir l’état cible technologique intégré, le modèle de données cible et les activités technologiques nécessaires à la transformation opérationnelle d’EDC d’ici 2030.
• Créer et gérer la feuille de route numérique continue sur trois ans; ce document établit l’ordre d’obtention des résultats requis pour l’atteinte de l’état cible technologique et facilite celle-ci dans tous les secteurs de l’organisation.
• Demeurer au fait des tendances sectorielles et des technologies émergentes pour qu’EDC dispose des outils numériques qui assureront sa pertinence sur le marché afin d’accroître la présence commerciale du Canada sur la scène internationale.
• Voir à la mise en œuvre intégrée des projets sur le plan du numérique, des données, des infrastructures et de la cybersécurité pour offrir une excellente expérience aux clients, aux utilisateurs et aux employés.

Le Groupe des solutions numériques et technologiques est à la recherche d’une personne expérimentée pour assumer le rôle de responsable de produits, Gestion des failles de sécurité. La personne choisie travaillera avec la direction du Groupe, l’Équipe de la cybersécurité et des parties prenantes clés pour définir des objectifs, mettre au point des plans tactiques et des exigences en matière de sécurité et mener des projets de sécurité ciblant les risques liés à la sécurité de l’information dans le but de protéger les actifs numériques d’EDC.

La coopération transfonctionnelle, essentielle à la stratégie de la Sécurité de l’information d’entreprise et aux activités du Groupe, occupera une place centrale dans le quotidien de la personne choisie.

La personne choisie devra maîtriser les techniques utilisées pour protéger les données sensibles dans des environnements multiples. Son intégrité, son sérieux et sa fiabilité ne faisant aucun doute, elle représentera EDC et la direction des équipes responsables de la sécurité avec un professionnalisme exemplaire tout en prêchant par l’exemple.

Principales responsabilités

• Diriger la pratique de gestion des failles de sécurité d’EDC, notamment en créant une stratégie, une feuille de route et une offre de service pour assurer la réussite continue de la pratique.
• Apprendre et comprendre le noyau principal d’activités d’EDC, et contribuer à la personnalisation des services en vue de gérer les risques clés de l’organisation.
• Informer et conseiller les responsables et les unités fonctionnelles de la technologie, et collaborer avec ceux-ci en vue d’assurer la sécurité de l’information et des actifs technologiques d’EDC.
• Gérer et améliorer le processus d’identification, de saisie et de mise en contexte des failles de sécurité découvertes (par l’entremise d’une analyse hebdomadaire) au sein d’infrastructures (infonuagiques et sur place) et d’une couche d’application, que ce soit à l’aide du pipeline DevSecOps et de l’analyse ou des processus et outils de détection de menaces (simulation de brèches et d’attaques, etc.).
• Classer par ordre de priorité les failles de sécurité à éliminer d’après leur gravité, la probabilité qu’elles soient exploitées, leur cote et l’exposition au risque d’EDC.
• Consigner les failles de sécurité, les classer par ordre de priorité, faire des recommandations en la matière, valider leur état et produire des rapports à ce sujet.
• Mettre de l’avant des solutions stratégiques pour réduire le risque d’attaques, des mesures d’endiguement et des protections contre les fraudeurs.
• Travailler étroitement avec des parties prenantes et des fournisseurs de services pour remédier aux failles de sécurité.
• Assurer la liaison avec l’équipe chargée de l’ingénierie de la sécurité pour améliorer les activités de suivi et d’intervention.
• Assumer le rôle de personne-ressource en sécurité de l’information en ce qui concerne les failles de sécurité connues ou nouvelles.
• Collaborer et suivre continuellement les documents sur les politiques et les procédures régissant les failles de sécurité. Faire la promotion et la communication des politiques et des procédures de gestion des failles auprès des parties prenantes.
• Utiliser des outils automatisés et manuels conçus pour détecter des failles de sécurité. Générer les résultats des analyses et tenir des séances avec des parties prenantes, puis consigner les décisions et les dates convenues des mesures correctives.
• Faire le suivi des failles de sécurité ou du registre des risques pour les conclusions des tests de pénétration, de l’analyse de gestion des failles de sécurité et de DevSecOps.
• Gérer les vérifications et le cadre de conformité, la participation des parties prenantes, et les analyses de la conformité (ex., la suite applicative de l’assurance crédit).
• Favoriser les pratiques de codage sécuritaire (principes de conception sécurisée, normes de codage sécurisé, gestion sécurisée de la configuration, etc.).
• Conseiller et soutenir l’adoption de diverses méthodes de tests de sécurité, comme une analyse statistique, un test de sécurité dynamique des applications et un test de pénétration.
• Rester au fait des avancées technologiques et se familiariser avec les applications et systèmes patrimoniaux utilisés à EDC.

Critères de sélection

• Baccalauréat en informatique, en assurance de l’information, en génie ou dans un domaine connexe, ou expérience équivalente
• Au moins 7 années d’expérience en administration de la sécurité de l’information, en gestion des failles de sécurité ou dans les opérations de sécurité ou d’infrastructure
• Au moins 3 ans d’expérience de travail au sein d’un environnement informatique externalisé
• Maîtrise des solutions de gestion des failles informatiques, comme Qualys, Tenable ou ServiceNow
• Expérience des analyses des failles informatiques et des mesures correctrices à l’échelle de la Société
• Aptitudes exceptionnelles pour les techniques d’influence, la gestion d’équipes transfonctionnelles et la livraison de solutions dans un environnement hautement complexe, dynamique et hermétique
• Excellentes aptitudes pour la communication orale et écrite, la pensée critique et stratégique, la gestion de temps, l’établissement de priorités et les relations interpersonnelles
• Expérience confirmée dans les domaines de la technologie et des affaires, et capacité éprouvée à faire le lien entre ces deux domaines
• Connaissance pratique des principes ITIL et Agile, et compréhension de la formation des demandes d’attente et de la manière de les influencer

Atouts

• De 3 à 5 années d’expérience dans un ou plusieurs postes en cybersécurité ou dans les opérations informatiques
• Expérience de travail avec les cadres supérieurs et la haute direction dans un contexte de livraison ou de gestion des risques
• Expérience dans la gestion de relations avec des fournisseurs de technologies de l’information
• Excellente compréhension des applications, des systèmes d’exploitation, de l’infrastructure infonuagique, des tactiques, techniques et procédures derrière les attaques, des cadres d’applications Open Web Application Security Project, CVSS et MITRE ATT&CK, et du cycle de vie du développement de logiciels
• Excellente connaissance des cadres et des analyses de conformité du secteur (ex., suite applicative de l’assurance crédit)
• Aptitude à comprendre une infrastructure complexe du point de vue technique, les services gérés et les dépendances externes
• Une ou plusieurs attestations de sécurité, par exemple : CISSP (Certified Information Systems Security Professional), GCED (GIAC Certified Enterprise Defender), GCCC (GIAC Critical Controls Certification), GPEN (GIAC Penetration Tester Certification), GCIH (GIAC Certified Incident Handler Certification) ou CRISC (Certification en maîtrise des risques liés aux systèmes d’information)
• Maîtrise des deux langues officielles (anglais et français)

Détails De La Rémunération

• Responsable de produits (niveau 18) : Les salaires se situent généralement dans une échelle allant de 92 355 $ à 123 140 $ par an, basent sur les qualifications et l’expérience, plus une rémunération au rendement.

Lieu De Travail

• Exportation et développement Canada offre un environnement de travail hybride.
• Ce rôle peut être exercé à partir du siège social d'EDC à Ottawa, ou à partir du carrefour communautaire dans la ville de Toronto, de Mississauga, de Calgary, de Montréal, de Laval, de Brossard, de Vancouver ou d’Halifax.
• Une aide à la réinstallation est disponible pour les candidats éligibles.