Gestionnaire, Évaluation des risques liés à la cybersécurité

ID de la demande d'emploi : 10748  

Type d'emploi : Permanent à plein temps 

Type de poste : Hybride 

Emplacement du bureau : préférablement Ottawa (ON), Montréal (QC) et Toronto (ON) seront considérés

Exigences relatives aux déplacements : Déplacements occasionnels 

Désignation linguistique : Bilingue 

Niveaux de compétence linguistique (Lire/écrire/parler) : CBC 

Exigence en matière de sécurité : Secret 

Rémunération:  Notre échelle salariale se situe entre 99646.37 $ et 124557.97 $ en fonction des qualifications et de l'expérience.

 

À propos de la SCHL

Le travail que vous accomplissez et le travail que nous réalisons ensemble comptent. Nous travaillons jour après jour pour atteindre un but commun : contribuer au bon fonctionnement du système de logement.

 

À la SCHL, nous sommes responsables de nos résultats et nous soutenons les réalisations de nos collègues. Nous misons sur la collaboration, en établissant des liens dans l’ensemble de la SCHL et en faisant intervenir les bonnes personnes pour effectuer le travail. Nous accordons de l’importance à la flexibilité, en vous permettant de choisir comment, quand et où vous travaillez dans le respect des limites selon les besoins de l’organisation et de votre rôle. Notre style de leadership repose sur la confiance, c’est-à-dire que nos gestionnaires adoptent une approche adaptée aux besoins de leur équipe. 

 

Joignez-vous à nous pour faire partie d’une équipe déterminée à réellement changer les choses et participer à une mission importante.

 

Ce que nous offrons

Nous avons la raison d’être, les personnes et les avantages dont vous avez besoin pour vous bâtir une carrière épanouissante. Voici le généreux programme d'avantages sociaux en tant qu’employé permanent : 

  • Vacances annuelles payées;
  • Une prime de rendement individuelle annuelle;
  • Un régime de retraite à prestations déterminées;
  • Un régime complet d’assurance collective pour favoriser votre bien-être dès le premier jour;
  • Du soutien pour votre croissance personnelle et professionnelle grâce à de la formation, du mentorat et plus encore;
  • Une culture et un environnement de travail inclusifs.

 

À propos du rôle

Le gestionnaire, Évaluation des risques liés à la cybersécurité est responsable de soutenir l’élaboration et la mise en œuvre de stratégies d’atténuation des risques de cybersécurité et de surveiller les niveaux de risque en cybersécurité au sein de l’organisation. Le titulaire de ce poste aide à déterminer et à évaluer les menaces, assure l’harmonisation avec les objectifs organisationnels et collabore avec d’autres services pour intégrer les pratiques de gestion des risques aux activités opérationnelles. 

 

Emplacement du bureau : préférablement Ottawa (ON), Montréal (QC) et Toronto (ON) seront considérés.

 

Ce que vous ferez : 
 

  • Appuyer la détermination des risques et des vulnérabilités potentielles afin d’élaborer des stratégies ciblées d’atténuation des risques visant à limiter l’impact des risques relevés (menaces liées aux technologies, aux opérations, aux finances et à la conformité). Superviser la mise en œuvre des plans d’atténuation des risques en collaboration avec la ligne 1B. Surveiller et appuyer l’exécution des stratégies, soutenir la surveillance continue des risques et l’efficacité des stratégies d’atténuation, et s’assurer que celles-ci sont conformes aux normes, aux pratiques exemplaires et aux règlements concernés du secteur;
  • Contribuer à la surveillance continue des niveaux de risque liés aux TI et à la cybersécurité dans l’ensemble de l’organisation. Aider à évaluer et à améliorer les méthodes d’évaluation des risques, afin de cerner les vulnérabilités, les menaces et leur impact potentiel sur les actifs organisationnels, notamment les systèmes, les données et l’infrastructure, pour qu’elles demeurent efficaces et conformes aux pratiques exemplaires du secteur et aux exigences réglementaires. Recommander des améliorations pour renforcer la capacité de l’organisation à cerner, à évaluer et à atténuer les risques, et à y répondre. Tirer parti des outils et cadres de gestion des risques pour fournir une analyse approfondie des risques et de leurs conséquences potentielles. Contribuer à l’élaboration et à l’amélioration des processus, procédures et normes de gestion des risques liés aux TI et à la cybersécurité afin de déterminer, d’évaluer et d’atténuer efficacement ces risques. Collaborer avec les parties prenantes concernées pour intégrer ces processus aux activités opérationnelles, en assurant l’uniformité et la conformité dans l’ensemble de l’organisation; 
  • Fournir des rapports périodiques à la direction et à la haute direction sur l’état des risques, les menaces émergentes et les progrès réalisés pour atténuer les risques, en soulignant les risques émergents, les tendances et l’efficacité des efforts d’atténuation existants;
  • Apporter une assistance en cas d’incident de sécurité, au besoin, en fournissant des conseils sur les stratégies d’intervention visant à limiter les dommages et à assurer une résolution rapide. Assurer la coordination avec les équipes concernées pour veiller à ce que la documentation et l’analyse après incident soient adéquates aux fins de l’amélioration continue;
  • Collaborer avec la direction, les TI, la Conformité et l’Audit, ainsi qu’avec les première et deuxième lignes de maîtrise, pour intégrer les stratégies d’atténuation des risques liés à la cybersécurité aux processus opérationnels. Cette collaboration assure une gestion des risques efficace et proactive et l’harmonisation des efforts d’évaluation des risques avec les objectifs organisationnels généraux et les cadres de gestion des risques. Elle veille aussi à ce que les pratiques de gestion des risques respectent les normes réglementaires et les exigences d’audit interne. Appuyer la préparation et la réponse aux audits en veillant à ce que les contrôles des risques soient documentés et mis en œuvre efficacement;
  • Aider la direction à prioriser les initiatives et les programmes portant sur les risques liés aux TI en fonction de leur incidence potentielle, de leur urgence et de leur harmonisation avec les objectifs organisationnels. Veiller à la surveillance des initiatives hautement prioritaires en ce qui a trait aux risques liés aux TI et à leur harmonisation avec les objectifs globaux de gestion des risques;
  • Évaluer et peaufiner continuellement le cadre de gestion des risques de l’organisation pour s’assurer qu’il tient compte des menaces émergentes, des exigences réglementaires et des pratiques exemplaires du secteur. Recommander des améliorations à apporter aux méthodes d’évaluation des risques et aux processus de production de rapports pour suivre le rythme de l’évolution des risques. Assurer une communication claire et uniforme de l’information sur les risques dans l’ensemble de l’organisation, en adaptant les messages aux diverses parties prenantes. Élaborer et offrir une formation de sensibilisation aux risques à l’intention des employés afin de favoriser une culture proactive à l’égard des risques et d’assurer une prise de décision éclairée à tous les niveaux. Communiquer à la haute direction et aux principales parties prenantes les résultats des évaluations des risques liés à la cybersécurité, notamment les risques relevés, les vulnérabilités potentielles et les recommandations d’atténuation. Préparer des rapports détaillés qui présentent clairement et concrètement les évaluations techniques et non techniques; 
  • Diriger les évaluations des risques après une atteinte à la sécurité ou un cyberincident afin d’en évaluer l’impact et de recommander des mesures correctives. Expliquer comment tirer parti d’un incident pour éclairer les stratégies futures d’atténuation des risques et améliorer le niveau global de cybersécurité. Superviser la réalisation des programmes de formation et de sensibilisation afin d’améliorer la compréhension des risques liés à la cybersécurité et des pratiques d’évaluation des risques dans toute l’organisation. Promouvoir une culture de gestion proactive des risques à tous les niveaux de l’organisation, en veillant à ce que les employés possèdent les compétences et les outils nécessaires pour reconnaître une menace de cybersécurité et y répondre.

 

Les compétences que vous devriez posséder :

  • Diplôme universitaire de premier cycle en cybersécurité, en sécurité informatique, en sécurité des systèmes d’information, en informatique ou dans un domaine connexe. Une combinaison équivalente d’études et d’expérience peut être prise en compte;
  • Sept années d’expérience en sécurité des TI ou en sécurité de l’information en utilisant des méthodes de gestion des risques, y compris l’évaluation et l’atténuation des risques;
  • Trois années d’expérience dans la direction et l’orientation du personnel responsable de la cybersécurité;
  • Capacité à appliquer de façon indépendante les cadres de gestion des risques (p. ex., NIST, ISO) et à fournir des conseils sur l’application de ces méthodes dans un contexte de cybersécurité.
  • Capacité à appliquer de façon indépendante les cadres de gestion des risques (p. ex., NIST, ISO) et à fournir des conseils sur l’application de ces méthodes dans un contexte de cybersécurité.
  • Connaissance :
    • de l’impact des lacunes en matière de cybersécurité, y compris dans des fonctions opérationnelles et systèmes de TI spécifiques. Capacité à évaluer et à fournir des renseignements exploitables sur la façon dont les lacunes en matière de cybersécurité influencent les activités opérationnelles;
    • de la résilience des systèmes de sécurité et de l’impact des changements environnementaux ou opérationnels sur le rendement des systèmes;
    • des lois et des règlements pertinents en matière de cybersécurité; capacité à les appliquer dans le contexte organisationnel et à en assurer la conformité.
  • Expérience dans :
    • la gestion des risques liés à la cybersécurité, y compris la détermination et l’atténuation des risques et leur communication aux parties prenantes;
    • l’évaluation des risques, l’analyse de leurs répercussions potentielles et la transmission de renseignements exploitables à la haute direction;
    • l’application des exigences de cybersécurité et de protection des renseignements personnels aux besoins opérationnels, en veillant au respect des lois et des normes pertinentes;
    • la réalisation d’analyses des risques et d’études de faisabilité, afin d’évaluer les compromis dans le cadre de projets et d’initiatives de cybersécurité.
  • Solides aptitudes pour la communication (orale et écrite) en français et en anglais, et capacité à transmettre des évaluations techniques des risques et des stratégies d’atténuation à la direction et aux parties prenantes (y compris la haute direction).

 

Il serait formidable que vous possédiez aussi ce qui suit :

  • Préférence accordée au titre de Certified Information Security Manager (CISM);
  • Titre de Certification Information Systems Security Professional (CISSP), GIAC Security Leadership (GSLC), GIAC Critical Controls Certification (GCCC) ou autre licence, désignation ou certificat pertinent en matière de sécurité des TI;
  • Expérience et connaissance des technologies de sécurité, comme la gestion des identités, l’expertise judiciaire en informatique, la sécurité des applications et les technologies de sécurité de réseau;
  • Expérience ou connaissance des normes reconnues, p. ex., NIST Cybersecurity Framework, ISO 27001/27002, ITSG-33, ligne directrice B13 du Bureau du surintendant des institutions financières, Center for Internet Security;
  • Connaissance des lois canadiennes et des exigences et normes réglementaires du gouvernement du Canada, p. ex., Conseil du Trésor, Bureau du surintendant des institutions financières.


Date de fermeture : Ce poste sera affiché jusqu’à ce qu’une candidature soit retenue.

 

Notre engagement envers la diversité, l’équité et l’inclusion

Nous sommes déterminés à assurer l’équité en matière d’emploi et encourageons les femmes, les Autochtones, les personnes handicapées, les anciens combattants et les personnes de tous les groupes raciaux et de toutes les ethnicités, religions, capacités, orientations sexuelles et identités et expressions de genre à poser leur candidature. Nous acceptons également les candidatures de personnes qui ne sont pas canadiennes, mais qui ont le droit de travailler au Canada. 

 

La SCHL est un milieu de travail inclusif où la diversité de pensée ‒ et des personnes ‒ est reconnue, valorisée et jugée essentielle à la réalisation de notre mission.

 

Apprenez-en plus sur notre engagement envers la diversité et l’inclusion.

 

Prochaines étapes après le dépôt de votre candidature 

Nous vous remercions de poser votre candidature; nous sommes conscients que c’est une étape à la fois emballante et intimidante. Apprenez-en plus sur notre processus d’embauche.  Si vous êtes l’une des personnes convoquées à une entrevue ou appelées à passer un test, veuillez nous indiquer si vous avez besoin d'un accommodement. 

 

Si vous avez déjà posé votre candidature, mais que cette dernière n’a pas été concluante, ne vous en faites pas. Nous affichons toujours de nouveaux postes, alors n’hésitez pas à retenter votre chance. Nous avons hâte de voir quelle sera votre contribution cette fois-ci!