Analyste des risques de cybersécurité / Cybersecurity Risk Analyst

Titre du poste : Analyste des risques de cybersécurité

Lieu : Centre-ville de Montréal (hybride)

Se rapporte à : Responsable de la gouvernance, de la sécurité et de la conformité informatique

En soutenant le responsable de l'équipe de sécurité de la conformité et de la gouvernance informatiques, l'Analyste des risques de cybersécurité contribuera à la pratique de gestion des risques informatiques au sein du Groupe Paper Excellence en maintenant et en améliorant le cadre de gestion des risques informatiques, en gérant les exceptions informatiques et en effectuant des évaluations des risques liés aux fournisseurs tiers.

L’Analyste participera également à des projets commerciaux et informatiques et collaborera avec les équipes chargées des opérations informatiques afin d'évaluer les risques et de formuler des recommandations pour les atténuer.

Principales responsabilités :

Cadre d'évaluation des risques informatiques et de sécurité

• Maintenir et améliorer le cadre d'évaluation des risques en matière de sécurité informatique.
• Documenter les risques liés à la sécurité informatique, les contrôles d'atténuation et les présenter au responsable des risques pour qu'il prenne une décision.
• Assurer la coordination avec l'équipe chargée de la conformité informatique pour veiller à ce que des contrôles compensatoires soient mis en place.
• Tenir à jour le registre des risques informatiques tout au long de leur cycle de vie.
• Effectuer des évaluations de l'impact sur la vie privée (PIA).

Évaluation de la sécurité des fournisseurs tiers

• Maintenir et améliorer la méthodologie d'évaluation des fournisseurs tiers.
• Effectuer l'évaluation de la posture de sécurité des fournisseurs tiers et des fournisseurs de cloud, documenter l'évaluation et présenter les résultats aux responsables de l'entreprise.
• Examiner les contrats de tiers pour y trouver des clauses relatives à la sécurité informatique et à la confidentialité des données et travailler en collaboration avec les équipes chargées des achats informatiques et les équipes juridiques.
• Tenir à jour le registre des fournisseurs de services de Cloud
• Fournir des services de sélection des fournisseurs pour les aspects liés à la cybersécurité afin d'aider les unités opérationnelles à sélectionner un fournisseur dans le cadre du processus d'appel d'offres.

Processus de traitement des exceptions informatiques

• Gérer et maintenir le processus de traitement des exceptions informatiques.
• Documenter les exceptions informatiques, valider les besoins des demandeurs et du propriétaire de l'exception, demander l'approbation de l'exception à la direction de la cybersécurité.
• Documenter l'évaluation des risques si nécessaire.
• Tenir à jour le registre des exceptions informatiques et assurer le suivi des exceptions approuvées.

Conseil en matière de projets

• Fournir des services de conseil aux projets commerciaux et informatiques sur les questions relatives aux risques informatiques afin de garantir des activités de gestion des risques au cours du cycle de vie du projet. Occasionnellement, apporter un soutien à l'équipe de conseil en sécurité du projet pour documenter les exigences de sécurité du projet et les contrôles à mettre en œuvre.

KPI et KRI de la gestion des risques

• Produire et rapporter les KPI et KRI de la gestion des risques informatiques sur une base mensuelle.

Compétences essentielles :

• Grandes capacités d'organisation et d'analyse ;
• Capacité à vulgariser, facilité à exprimer des idées, à influencer les autres, à remettre en question des idées et à être convaincant ;
• Excellentes compétences interpersonnelles pour pouvoir interagir à tous les niveaux ;
• Capacité à influencer et à s'engager auprès des cadres supérieurs ;
• Capacité à s'adapter rapidement à l'évolution des priorités et des demandes ;
• Avoir travaillé dans un environnement décentralisé (tant sur le plan technique que sur celui des processus) ;
• Expérience dans un rôle de sécurité de l'information (application et/ou infrastructure) dans un environnement d'entreprise ;
• Personne structurée et autonome ;
• Vous avez la capacité de bien travailler au sein d'une équipe collaborative et d'influencer les autres sans avoir d’autorité directe ;
• Excellentes compétences en communication écrite (documentation) et orale (anglais* et français).

(*) Cette qualification est requise puisque dans le cadre de cette fonction, vous serez amené à interagir de manière récurrente avec des clients, des partenaires et/ou nos filiales américaines tant à l'oral qu'à l'écrit. 

 Qualifications / expérience professionnelle requises :

• Baccalauréat ou 5 ans d'expérience professionnelle en cybersécurité ;
• Au moins 8 ans d'expérience dans le domaine de la gouvernance, du risque et de la conformité en matière de sécurité (GRC) ;
• Détenir des certifications liées à la sécurité telles que CISSP, CISM, CSSP ou similaires est considéré comme un atout ;

Qualifications/expériences professionnelles/années d'expérience préférables:  

• Expérience pratique de la mise en œuvre et/ou de l'utilisation de cadres de gestion des risques informatiques ;
• Expérience pratique de l'évaluation des risques informatiques dans le cadre de projets et d'opérations de sécurité ;
• Expérience pratique de la mise en œuvre de contrôles de sécurité et de mesures d'atténuation des risques.
• Expérience pratique de l'évaluation des risques liés aux fournisseurs tiers et de l'examen des documents d'assurance relatifs à la sécurité et aux contrôles informatiques fournis par les tiers (par exemple, certifications ISO 27001, SSAE-16/18, SOC1, SOC2, etc...) ;
• Expérience pratique de la gestion d'un processus de traitement des exceptions informatiques ;
• Expérience pratique et bonnes connaissances dans des domaines tels que : la gestion des identités et des accès, la sécurité des réseaux, la sécurité de l'informatique en nuage, la cryptographie, la sécurité du web, les solutions de sécurité de nouvelle génération et la sécurité des systèmes d'exploitation ; et
• Expérience des cycles de vie des projets, en particulier de l'analyse des risques de sécurité, de la conception de solutions et de l'intégration de systèmes à grande échelle.

Vous devez réussir un processus de sélection qui comprend des entrevues, des tests d’aptitudes (selon le poste) ainsi que des vérifications pré-emploi.     

Domtar applique un programme d’accès à l’égalité et invite les femmes, les minorités visibles, les Autochtones et les personnes handicapées à présenter leur candidature.     

Notre offre         

• Un emplacement au cœur du centre-ville (métro Place des Arts);
• Un environnement de travail moderne et spacieux;
• Un plan d’assurance « À la carte » (vie, soins médicaux, soins dentaires);
• Un programme d’aide aux employés;
• Un Centre de la Petite Enfance sur place;
• Une rémunération concurrentielle, incluant un régime de boni annuel;
• Un régime de retraite avec participation de l’employeur;
• Du développement et de la formation continue payés par l’employeur.

À propos de Domtar :         

Domtar fabrique des produits sur lesquels les gens du monde entier comptent chaque jour.         

Au service de clients dans plus de 50 pays, nous sommes un important fournisseur d'un large éventail de produits à base de fibre, dont des papiers de communication, de spécialité et d’emballage, de la pâte commerciale ainsi que des produits non-tissés air-laid. Nous fabriquons nos produits au sein de nos usines et de nos centres de façonnage aux États-Unis et au Canada, en mettant l'accent sur la sécurité, la qualité et la croissance durable.         

Fidèles à nos valeurs que sont l’agilité, l’engagement et l’innovation, nous trouvons toujours de meilleures façons de répondre aux besoins de nos clients, de soutenir nos employés et de renforcer nos collectivités.                 

Le bureau administratif principal de Domtar se trouve à Fort Mill, en Caroline du Sud, et Domtar fait partie du groupe d’entreprises Paper Excellence. Pour en savoir davantage, visitez www.domtar.com.          

Position title: Cybersecurity Risk Analyst

Location: Downtown Montreal (hybrid)

Reports to: Manager, Governance Security & IT Compliance

By supporting the Manager of IT Compliance & Governance Security team, the Cybersecurity Risk Analyst will contribute the to IT risk management practice at the Paper Excellence Group by maintaining and improving the IT risk management framework, manage IT exceptions and perform 3rd party vendor risk assessments.

The resource will also participate to Business and IT projects and work with IT operation teams to assess risks and provide risk mitigation recommendations.

Job Responsibilities/Accountabilities:

IT/Security Risk Assessment Framework

• Maintain and improve an IT/Security Risk Assessment Framework
• Document IT security risk, mitigating controls and present them to risk owner for decision taking.
• Coordinate with IT compliance team to ensure compensating controls have been put in place.
• Maintain the IT risk register through out IT risks lifecycle.
• Perform Privacy Impact Assessments (PIA).

3rd party vendors security assessment

• Maintain and improve 3rd party vendors assessment methodology.
• Perform 3rd party and cloud vendor security posture assessment, document the assessment and present the results to business owners.
• Review 3rd party contracts for IT security and data privacy related clauses and work in collaboration with IT Procurement and Legal teams.
• Maintain the Cloud vendor register.
• Provide vendor selection services for cybersecurity aspects to help business units select a vendor as part of RFP process. 

IT Exception Handling Process

• Manage and maintain the IT Exception Handling Process. 
• Document IT Exceptions, validate the needs from exception requestors and owner, seek exception approval from Cybersecurity management. 
• Document risk assessment as needed.
• Maintain the IT Exceptions register and follow-up on approved exceptions.

Project advisory

• Provide project advisory services to Business and IT projects on IT risk matters to ensure risk management activities during project’s lifecycle. Occasionally provide support to project security advisory team to document project security requirements and controls to implement.

Risk management KPI and KRI

• Produce and report IT risk management KPI and KRI on a monthly basis.

Critical Competencies:

• Great organizational and analytical skills;
• Able to vulgarize, ease in expressing ideas, influence others, challenge ideas and be convincing;
• Excellent interpersonal skills to be able to interact at all levels;
• Ability to influence and engage with senior management;
• Ability to quickly adapt to changing priorities and demands;
• Worked in a decentralized environment (both technical and processes);
• Experience in an information security (application and/or infrastructure) role in an enterprise environment;
• Structured and autonomous person;
• You have the ability to work well on a collaborative team and influence others without direct authority;
• Excellent written (documentation) and verbal communication skills (English* & French) a strong asset

*This is required since as part of this function, you will have to intervene with customers, partners and/or our American subsidiaries on a recurring basis, both orally and in writing.

 Required Qualifications/Professional Experiences

•  Bachelor degree or 5 years of professional experience in Cybersecurity;
• Minimum of 8 years’ experience of security governance, risk and compliance (GRC);
• Holds security related certifications such as CISSP, CISM, CSSP or similar an considered an asset; 

Preferred Qualifications/Professional Experiences/Years of Experience:   

• Practical experience with implementing and/or working with IT Risk management frameworks;
•  Practical experience with performing IT Risk assessment during projects and as part of security operations;
• Practical experience with security controls and risk mitigation measures implementation.
• Practical experience by assessing 3rd party vendor risks and reviewing security and IT controls related assurances documentation provided by 3rd parties (e.g., ISO 27001 certifications, SSAE-16/18, SOC1, SOC2, etc...);
• Practical experience with managing an IT exception handling process;
• Hands-on experience and good knowledge in topics such as: identity and access management, network security, Cloud security, cryptography, web security, next generation security solutions and operating system security; and
• Experience with project life cycles, particularly security risk analysis, solutions design and broad systems integration. 

You must successfully complete a selection process that includes interviews, aptitude tests (for some positions) and pre-employment verification.

Domtar is an equal opportunity employer.  We invite women, Aboriginal peoples, persons with disabilities and members of visible minorities to apply.

Our Offer:

• A downtown location (metro Place des Arts)
• Alternative Work Arrangements; hybrid remote work and flextime.
• A modern, spacious and dynamic environment.
• Competitive compensation, including annual bonus plan.
• An extended flexible insurance plan (life, medical, dental).
• An employee assistance program.
• A pension plan with matching company contributions to help make planning for your retirement easy.
• Employer-paid development and continuing education.

About Domtar :

Domtar makes products that people around the world rely on every day.

Serving more than 50 countries, we are a leading provider of a wide variety of fiber-based products including communication, specialty and packaging papers, market pulp and airlaid nonwovens. We make our products at manufacturing and converting facilities in the U.S. and Canada, with a focus on safety, quality, and sustainability.

Through our values of agility, caring and innovation, we constantly find better ways to serve our customers, support our employees and strengthen our communities.

Domtar’s principal executive office is in Fort Mill, South Carolina and Domtar is part of the Paper Excellence group of companies. To learn more, visit www.domtar.com.

 #LI-Hybrid