Analyste des risques de cybersécurité / Cybersecurity Risk Analyst
Description
Titre du poste : Analyste des risques de cybersécurité
Lieu : Centre-ville de Montréal (hybride)
Se rapporte à : Responsable de la gouvernance, de la sécurité et de la conformité informatique
En soutenant le responsable de l'équipe de sécurité de la conformité et de la gouvernance informatiques, l'Analyste des risques de cybersécurité contribuera à la pratique de gestion des risques informatiques au sein du Groupe Paper Excellence en maintenant et en améliorant le cadre de gestion des risques informatiques, en gérant les exceptions informatiques et en effectuant des évaluations des risques liés aux fournisseurs tiers.
L’Analyste participera également à des projets commerciaux et informatiques et collaborera avec les équipes chargées des opérations informatiques afin d'évaluer les risques et de formuler des recommandations pour les atténuer.
Principales responsabilités :
Cadre d'évaluation des risques informatiques et de sécurité
- Maintenir et améliorer le cadre d'évaluation des risques en matière de sécurité informatique.
- Documenter les risques liés à la sécurité informatique, les contrôles d'atténuation et les présenter au responsable des risques pour qu'il prenne une décision.
- Assurer la coordination avec l'équipe chargée de la conformité informatique pour veiller à ce que des contrôles compensatoires soient mis en place.
- Tenir à jour le registre des risques informatiques tout au long de leur cycle de vie.
- Effectuer des évaluations de l'impact sur la vie privée (PIA).
Évaluation de la sécurité des fournisseurs tiers
- Maintenir et améliorer la méthodologie d'évaluation des fournisseurs tiers.
- Effectuer l'évaluation de la posture de sécurité des fournisseurs tiers et des fournisseurs de cloud, documenter l'évaluation et présenter les résultats aux responsables de l'entreprise.
- Examiner les contrats de tiers pour y trouver des clauses relatives à la sécurité informatique et à la confidentialité des données et travailler en collaboration avec les équipes chargées des achats informatiques et les équipes juridiques.
- Tenir à jour le registre des fournisseurs de services de Cloud
- Fournir des services de sélection des fournisseurs pour les aspects liés à la cybersécurité afin d'aider les unités opérationnelles à sélectionner un fournisseur dans le cadre du processus d'appel d'offres.
Processus de traitement des exceptions informatiques
- Gérer et maintenir le processus de traitement des exceptions informatiques.
- Documenter les exceptions informatiques, valider les besoins des demandeurs et du propriétaire de l'exception, demander l'approbation de l'exception à la direction de la cybersécurité.
- Documenter l'évaluation des risques si nécessaire.
- Tenir à jour le registre des exceptions informatiques et assurer le suivi des exceptions approuvées.
Conseil en matière de projets
- Fournir des services de conseil aux projets commerciaux et informatiques sur les questions relatives aux risques informatiques afin de garantir des activités de gestion des risques au cours du cycle de vie du projet. Occasionnellement, apporter un soutien à l'équipe de conseil en sécurité du projet pour documenter les exigences de sécurité du projet et les contrôles à mettre en œuvre.
KPI et KRI de la gestion des risques
- Produire et rapporter les KPI et KRI de la gestion des risques informatiques sur une base mensuelle.
Compétences essentielles :
- Grandes capacités d'organisation et d'analyse ;
- Capacité à vulgariser, facilité à exprimer des idées, à influencer les autres, à remettre en question des idées et à être convaincant ;
- Excellentes compétences interpersonnelles pour pouvoir interagir à tous les niveaux ;
- Capacité à influencer et à s'engager auprès des cadres supérieurs ;
- Capacité à s'adapter rapidement à l'évolution des priorités et des demandes ;
- Avoir travaillé dans un environnement décentralisé (tant sur le plan technique que sur celui des processus) ;
- Expérience dans un rôle de sécurité de l'information (application et/ou infrastructure) dans un environnement d'entreprise ;
- Personne structurée et autonome ;
- Vous avez la capacité de bien travailler au sein d'une équipe collaborative et d'influencer les autres sans avoir d’autorité directe ;
- Excellentes compétences en communication écrite (documentation) et orale (anglais* et français).
(*) Cette qualification est requise puisque dans le cadre de cette fonction, vous serez amené à interagir de manière récurrente avec des clients, des partenaires et/ou nos filiales américaines tant à l'oral qu'à l'écrit.
Qualifications / expérience professionnelle requises :
- Baccalauréat ou 5 ans d'expérience professionnelle en cybersécurité ;
- Au moins 8 ans d'expérience dans le domaine de la gouvernance, du risque et de la conformité en matière de sécurité (GRC) ;
- Détenir des certifications liées à la sécurité telles que CISSP, CISM, CSSP ou similaires est considéré comme un atout ;
Qualifications/expériences professionnelles/années d'expérience préférables:
- Expérience pratique de la mise en œuvre et/ou de l'utilisation de cadres de gestion des risques informatiques ;
- Expérience pratique de l'évaluation des risques informatiques dans le cadre de projets et d'opérations de sécurité ;
- Expérience pratique de la mise en œuvre de contrôles de sécurité et de mesures d'atténuation des risques.
- Expérience pratique de l'évaluation des risques liés aux fournisseurs tiers et de l'examen des documents d'assurance relatifs à la sécurité et aux contrôles informatiques fournis par les tiers (par exemple, certifications ISO 27001, SSAE-16/18, SOC1, SOC2, etc...) ;
- Expérience pratique de la gestion d'un processus de traitement des exceptions informatiques ;
- Expérience pratique et bonnes connaissances dans des domaines tels que : la gestion des identités et des accès, la sécurité des réseaux, la sécurité de l'informatique en nuage, la cryptographie, la sécurité du web, les solutions de sécurité de nouvelle génération et la sécurité des systèmes d'exploitation ; et
- Expérience des cycles de vie des projets, en particulier de l'analyse des risques de sécurité, de la conception de solutions et de l'intégration de systèmes à grande échelle.
Vous devez réussir un processus de sélection qui comprend des entrevues, des tests d’aptitudes (selon le poste) ainsi que des vérifications pré-emploi.
Domtar applique un programme d’accès à l’égalité et invite les femmes, les minorités visibles, les Autochtones et les personnes handicapées à présenter leur candidature.
Notre offre
- Un emplacement au cœur du centre-ville (métro Place des Arts);
- Un environnement de travail moderne et spacieux;
- Un plan d’assurance « À la carte » (vie, soins médicaux, soins dentaires);
- Un programme d’aide aux employés;
- Un Centre de la Petite Enfance sur place;
- Une rémunération concurrentielle, incluant un régime de boni annuel;
- Un régime de retraite avec participation de l’employeur;
- Du développement et de la formation continue payés par l’employeur.
À propos de Domtar :
Domtar fabrique des produits sur lesquels les gens du monde entier comptent chaque jour.
Au service de clients dans plus de 50 pays, nous sommes un important fournisseur d'un large éventail de produits à base de fibre, dont des papiers de communication, de spécialité et d’emballage, de la pâte commerciale ainsi que des produits non-tissés air-laid. Nous fabriquons nos produits au sein de nos usines et de nos centres de façonnage aux États-Unis et au Canada, en mettant l'accent sur la sécurité, la qualité et la croissance durable.
Fidèles à nos valeurs que sont l’agilité, l’engagement et l’innovation, nous trouvons toujours de meilleures façons de répondre aux besoins de nos clients, de soutenir nos employés et de renforcer nos collectivités.
Le bureau administratif principal de Domtar se trouve à Fort Mill, en Caroline du Sud, et Domtar fait partie du groupe d’entreprises Paper Excellence. Pour en savoir davantage, visitez www.domtar.com.
Position title: Cybersecurity Risk Analyst
Location: Downtown Montreal (hybrid)
Reports to: Manager, Governance Security & IT Compliance
By supporting the Manager of IT Compliance & Governance Security team, the Cybersecurity Risk Analyst will contribute the to IT risk management practice at the Paper Excellence Group by maintaining and improving the IT risk management framework, manage IT exceptions and perform 3rd party vendor risk assessments.
The resource will also participate to Business and IT projects and work with IT operation teams to assess risks and provide risk mitigation recommendations.
Job Responsibilities/Accountabilities:
IT/Security Risk Assessment Framework
| |
3rd party vendors security assessment
| |
IT Exception Handling Process
| |
Project advisory
| |
Risk management KPI and KRI
Critical Competencies:
*This is required since as part of this function, you will have to intervene with customers, partners and/or our American subsidiaries on a recurring basis, both orally and in writing. |
Required Qualifications/Professional Experiences
|
Preferred Qualifications/Professional Experiences/Years of Experience:
|
You must successfully complete a selection process that includes interviews, aptitude tests (for some positions) and pre-employment verification.
Domtar is an equal opportunity employer. We invite women, Aboriginal peoples, persons with disabilities and members of visible minorities to apply.
Our Offer:
- A downtown location (metro Place des Arts)
- Alternative Work Arrangements; hybrid remote work and flextime.
- A modern, spacious and dynamic environment.
- Competitive compensation, including annual bonus plan.
- An extended flexible insurance plan (life, medical, dental).
- An employee assistance program.
- A pension plan with matching company contributions to help make planning for your retirement easy.
- Employer-paid development and continuing education.
About Domtar :
Domtar makes products that people around the world rely on every day.
Serving more than 50 countries, we are a leading provider of a wide variety of fiber-based products including communication, specialty and packaging papers, market pulp and airlaid nonwovens. We make our products at manufacturing and converting facilities in the U.S. and Canada, with a focus on safety, quality, and sustainability.
Through our values of agility, caring and innovation, we constantly find better ways to serve our customers, support our employees and strengthen our communities.
Domtar’s principal executive office is in Fort Mill, South Carolina and Domtar is part of the Paper Excellence group of companies. To learn more, visit www.domtar.com.
#LI-Hybrid