Détails du poste
- Lieu de travail : Montreal (Hybride)
- Type de poste : Permanent à temps plein
Security Design Architect - Application and Cloud Security
Experience: 10+ years Location: Montreal Hybrid: 3 days in office
Description du poste
La mission de l’équipe SecDesign est de fournir des évaluations d’architecture de sécurité des systèmes technologiques et des processus afin d’identifier les risques pour l’entreprise et de recommander des actions correctives selon des normes de sécurité établies ou des bonnes pratiques.
Le/la SecDesign Generalist agit en tant que consultant interne, en réalisant plusieurs évaluations d’architecture et de conception de sécurité dans des technologies variées. L’Intégrateur collabore à l’échelle mondiale avec la Technologie, les Affaires, les Fournisseurs, les Parties prenantes et les Partenaires afin d’effectuer les évaluations SecDesign.
Le rôle inclut également le travail avec une équipe mondiale pour moderniser la plateforme SDLC de l’entreprise, permettant l’automatisation du déploiement vers des points de terminaison cloud privés/publics et des outils basés sur SaaS.
Responsabilités (SecDesign Generalist)
Assessment & Risk Prioritization
- Diriger les approfondissements SecDesign avec les demandeurs d’évaluation
- Prioriser les risques en fonction de l’impact sur les activités
-
Mener des évaluations et fournir des risques/exigences technologiques pour :
- Authentification, Autorisation, Audit
- Sécurité applicative (sécurité de session, vulnérabilité/Tests d’intrusion, validation des entrées)
- Transport et stockage des données sécurisés
- Principes de sécurité réseau
- Principes de sécurité cloud
Architecture & Governance
- Revoir et mettre à jour périodiquement la security reference architecture
- Participer aux processus de gouvernance du risque opérationnel et technologique
- Identifier de nouvelles zones et opportunités d’investissement technologique
Compétences et expérience
Soft Skills (Required)
- Excellentes compétences en rédaction, à l’oral, en présentation et en écoute
- Capacité à influencer à travers un raisonnement factuel
- Forte gestion du temps ; capacité à gérer plusieurs évaluations concurrentes
- Axé sur la livraison dans des délais courts et avec l’implication de la haute direction
- Capacité à ajuster la communication des risques technologiques vs. risques pour les activités
Security Architecture Skills
- Required — Connaissance approfondie des vulnérabilités applicatives, réseau et plateforme ; capacité à les expliquer aux développeurs
- Required — Expérience en réalisant des évaluations de Information Security / IT Security / Audit et en présentant les résultats
- Required — Forte capacité à examiner les conceptions techniques et les exigences fonctionnelles afin d’identifier les faiblesses de sécurité
- Required — Connaissance des fournisseurs de services cloud (AWS/Google/Azure), DevOps, CI/CD
-
Required — Expérience pratique dans au moins trois des domaines suivants :
- Authentication : SAML, SiteMinder, Kerberos, OpenID
- Entitlements & identity management
- Protection des données, DLP, transfert/stockage des données sécurisé
- Sécurité applicative (vérification de validation, méthodologies d’attaque)
- Crypographic (encryption, hashing)
-
Desired — Expérience en administration :
- Version control (Bitbucket, GitHub)
- Issue tracking (Jira)
- CI (Jenkins, GitHub Actions)
- Release management
- Desired — Connaissance des modèles réseau, des risques à chaque couche, et des fonctions des switches, routeurs, pare-feu, proxys, VPN, load-balancers
- Desired — Connaissance pratique des principaux systèmes d’exploitation (Unix, Windows, z/OS, Mac OS), configuration/gestion d’entreprise, risques de sécurité de la plateforme
- Desired — Expérience avec des outils de test : Veracode, Fortify, OunceLabs, AppScan, WebInspect, Burp
Développement (Development Experience)
- Required — Fondations en programmation, conception et architecture d’application
- Required — Expérience dans la mise en œuvre d’applications d’entreprise complexes
-
Required — Connaissance pratique de :
- Java, JavaScript, C#, C/C++, Perl, Python, Ruby
- Desired — Connaissance approfondie des technologies web (navigateurs, serveurs, services)
Autres domaines d’expertise
- Frameworks, protocoles, sous-systèmes : J2EE, .NET, Spring, RPC, SOAP, MQSeries, JMS, RMI, JMX, Hibernate
- Connaissance de JSP/Servlet/EJB ou ASP.NET, HTTP/HTTPS, Cookies, AJAX, JavaScript, Flex/Silverlight
- Conception de bases de données et expérience en programmation
- Expérience en liaison avec des entités tierces (bourses, fournisseurs, régulateurs)
- Expérience en réalisant/reviewing des tests d’intrusion, des évaluations de vulnérabilité dynamiques/statiques
- Compréhension des réglementations géographiques et de leur impact sur les évaluations de sécurité
- Expérience en Services financiers préférée
- CISSP ou autre qualification dans l’industrie
- Desired — Expérience de travail avec des organisations mondiales
Exigences
Sailpoint
