Spécialiste en conformité et évaluation de la sécurité des TI

Rejoignez Exposant 3 (E3) : La puissance de l'humain au cœur de la technologie

Exposant 3 est une firme de services-conseils en gestion des affaires et technologies de l'information, dédiée à accompagner les entreprises et organismes dans leur transformation numérique et organisationnelle.

Votre carrière chez Exposant 3

Nous croyons fermement en une gestion saine et humaine, où la confiance, la compétence, et le plaisir de réussir ensemble sont au centre de nos valeurs.

Nous vous offrons bien plus qu'un simple emploi : rejoignez une équipe innovante où l'intelligence artificielle, l'automatisation des processus, et la modernisation technologique font partie du quotidien. Chez Exposant 3, nous mettons l'humain au cœur de tout ce que nous entreprenons.

Notre vision ?

Vous permettre de déployer "la puissance de l'humain exposant 3" :

• La puissance de l'individu : Un environnement où votre engagement est valorisé.
• La puissance de l'équipe : Une collaboration forte où l'entraide et les réussites sont partagées.
• La puissance de l'entreprise : Une vision commune pour des objectifs ambitieux et collectifs.

Si vous cherchez à évoluer dans un cadre dynamique et à contribuer à des projets d'envergure, tout en grandissant au sein d'une entreprise humaine, innovante et en pleine croissance, alors Exposant 3 est fait pour vous

Nous cherchons notre futur Spécialiste en conformité et évaluation de la sécurité des TI pour rejoindre nos équipes.

Vos missions

Vous devrez réaliser des revues de sécurité de l'information en s'appuyant sur des méthodes reconnues, et respecter toutes les orientations de mise en œuvre et tenir compte du contexte technologique du client. L'exécution des travaux doit être faite conformément et en respect des règles et pratiques organisationnelles.

• Planifier les travaux d'audit, notamment l'établissement des objectifs et critères d'audit, l'identification des risques associés au mandat, l'élaboration de la stratégie d'audit, de la méthode d'échantillonnage privilégiée, le cas échéant, et du calendrier des travaux d'audit, et faire approuver la planification préalablement au début de la réalisation du mandat.
• Tenir des rencontres de démarrage des mandats avec les directions visées par l'audit.
• Évaluer les composantes du cadre normatif en sécurité.
• Évaluer l'architecture globale de sécurité.
• Évaluer la conformité aux normes et standards de l'industrie.
• Appliquer la stratégie d'audit retenue et documenter les travaux au moyen d'informations probantes, suffisantes et adéquates.
• Réaliser des audits de code de programmes produits et des applications.
• Préparer des questionnaires d'entrevue, tenir les entrevues avec les personnes-ressources identifiées et en effectuer le suivi.
• Valider des constats relevés avec les directions visées par le mandat.
• Soumettre un projet de rapport, comportant des recommandations, à la direction visée par le rapport pour commentaires et validation.
• Produire le rapport final.
• Réaliser des tests d'intrusion.
• Remettre au client les feuilles de travail et informations probantes permettant d'appuyer les constats et recommandations.

Votre profil

1. Posséder un minimum de dix (10) années d'expérience dans le domaine de l'audit des technologies de l'information, dont cinq (5) années en conformité et évaluation de la sécurité des TI et en réalisation des tests d'intrusion.
2. Avoir piloté la réalisation d'au moins dix (10) mandats d'audits TI, dont cinq (5) en lien avec la conformité et l'évaluation de la sécurité des TI dans un contexte de complexité comparable, et avoir utilisé des cadres de référence reconnus.
3. Connaitre et avoir utilisé dans au moins cinq (5) mandats une méthodologie reconnue pour les tests d'intrusion, dans un contexte de complexité comparable, par exemple : Open Web Application Security Project (OWASP), National Institute of Standards and Technology (NIST), Open Source Security Testing Methodology Manual (OSSTMM).
4. Détenir un diplôme universitaire de premier cycle requérant minimalement trois (3) années de scolarité pertinente en gestion des technologies de l'information, en informatique ou dans toute autre discipline connexe.
5. Posséder une certification pertinente en audit de sécurité des systèmes tel que :
   • Certified Information Systems Auditor (CISA)
   • Certified Information Technology Professional (CITP)
   • CRISC – Certified in Risk and Information Systems Control (ISACA)
   • GIAC Security Audit (GSNA) – (SANS Institute).

• Connaissance approfondie concernant les référentiels et les exigences relatives à la sécurité de l'information, à la gouvernance des technologies de l'information, à l'architecture technologique et à la gestion des risques en matière de sécurité.
• Avoir une bonne connaissance des principaux standards, normes et référentiels internationaux en matière de sécurité de l'information et d'audit de sécurité des TI telles qu'ISO 27000, COBIT, NIST SP 800, PCI DSS, OWASP Top 10, MITRE att&ck, etc.
• Connaissance technique en réseaux informatiques et en sécurité applicative.
• Capacité de synthétiser et de proposer des plans d'action clairs et des recommandations pertinentes pour le contexte d'une administration publique.
• Connaissance avancée des outils de piratage éthique.
• Capacité d'expliquer les concepts techniques aux non-techniciens (directeurs, équipes métiers).