Détails du poste
- Lieu de travail : Montreal (Hybride)
- Type de poste : Permanent à temps plein
Job Description
Experience: 10+ years Location: Montreal Hybrid: 3 days in office
Description du poste
La mission de l’équipe SecDesign est de fournir des évaluations d’architecture de sécurité des systèmes technologiques et des processus afin d’identifier les risques pour l’entreprise et de recommander des actions correctives selon des normes de sécurité établies ou des meilleures pratiques.
Le SecDesign Generalist agit à titre de consultant interne, en réalisant diverses évaluations d’architecture et de conception de la sécurité dans des technologies variées. L’Intégrateur collabore à l’échelle mondiale avec la Technologie, les Affaires, les Fournisseurs, les Parties prenantes et les Partenaires pour effectuer les évaluations SecDesign.
Le rôle comprend également le travail avec une équipe mondiale pour moderniser la plateforme SDLC de la firme, en permettant l’automatisation du déploiement vers des points de terminaison cloud privés/publics et des outils basés sur SaaS.
Responsabilités (SecDesign Generalist)
Assessment & Risk Prioritization
Mener des sessions approfondies SecDesign avec les demandeurs d’évaluation
Prioriser les risques en fonction de l’impact sur les activités
-
Réaliser des évaluations et fournir des risques/contraintes technologiques à travers :
Authentification, Autorisation, Audit
Sécurité applicative (sécurité de session, vulnérabilité / tests de pénétration, validation d’entrée)
Transport et stockage sécurisés des données
Principes de sécurité réseau
Principes de sécurité cloud
Architecture & Governance
Revoir et mettre à jour périodiquement la security reference architecture
Participer aux processus de gouvernance des risques opérationnels et des risques technologiques
Identifier de nouveaux domaines et opportunités d’investissement technologique
Compétences et expérience
Soft Skills (Required)
Excellentes compétences en écriture, à l’oral, en présentation et en écoute
Capacité à influencer grâce à un raisonnement factuel
Gestion du temps solide ; capacité à gérer plusieurs évaluations simultanées
Axé sur la livraison dans des délais courts et avec l’implication de la haute direction
Capacité d’ajuster la communication des risques technologiques vs. risques d’affaires
Security Architecture Skills
Required — Connaissance approfondie des vulnérabilités des applications, des réseaux et des plateformes ; capacité à les expliquer aux développeurs
Required — Expérience pour mener des évaluations de la Sécurité de l’Information / Sécurité Informatique / Audit et présenter les résultats
Required — Forte capacité à revoir les conceptions techniques et les exigences fonctionnelles afin d’identifier les faiblesses de sécurité
Required — Connaissance des fournisseurs de services cloud (AWS/Google/Azure), DevOps, CI/CD
-
Required — Expérience pratique dans au moins trois des domaines suivants :
Authentication: SAML, SiteMinder, Kerberos, OpenID
Entitlements & gestion de l’identité
Protection des données, DLP, transfert/stockage sécurisé des données
Sécurité applicative (vérification de validation, méthodologies d’attaque)
Cryptographie (chiffrement, hachage)
-
Desired — Expérience en administration :
Contrôle de version (Bitbucket, GitHub)
Suivi des incidents (Jira)
CI (Jenkins, GitHub Actions)
Gestion des versions
Desired — Connaissance des modèles réseau, des risques à chaque couche, et des fonctions des commutateurs, routeurs, pare-feux, proxys, VPN, équilibreurs de charge
Desired — Connaissance pratique des systèmes d’exploitation majeurs (Unix, Windows, z/OS, Mac OS), configuration/gestion d’entreprise, risques de sécurité de plateforme
Desired — Expérience avec des outils de tests : Veracode, Fortify, OunceLabs, AppScan, WebInspect, Burp
Development Experience
Required — Profil en programmation, conception et architecture applicative
Required — Expérience dans la mise en œuvre d’applications d’entreprise complexes
-
Required — Connaissance pratique de :
Java, JavaScript, C#, C/C++, Perl, Python, Ruby
Desired — Connaissance approfondie des technologies web (navigateurs, serveurs, services)
Other Areas of Expertise
Frameworks, protocoles, sous-systèmes : J2EE, .NET, Spring, RPC, SOAP, MQSeries, JMS, RMI, JMX, Hibernate
Connaissance de JSP/Servlet/EJB ou ASP.NET, HTTP/HTTPS, Cookies, AJAX, JavaScript, Flex/Silverlight
Conception de base de données et expérience en programmation
Expérience à faire l’interface avec des entités tierces (échanges, fournisseurs, régulateurs)
Expérience pour mener / réviser des tests de pénétration, des évaluations dynamiques/statiques des vulnérabilités
Compréhension des réglementations géographiques et de leur impact sur les évaluations de sécurité
Expérience dans les Services financiers préférable
CISSP ou autre qualification dans l’industrie
Desired — Expérience de travail avec des organisations mondiales
Requirements
Sailpoint
