Gestionnaire de la sécurité des applications-(H/F)

 Montreal, Canada       C.D.I        Systèmes d'information

Mission

Le Responsable de la sécurité des applications (AppSec) de la Société Générale est responsable de la mise en œuvre et de la gestion de la stratégie globale de sécurité des applications de DCS afin de s'assurer que les contrôles de sécurité fonctionnent efficacement dans les domaines de l'enregistrement sécurisé des applications et des bases des données, de la surveillance, de la gestion des alertes, du traitement des incidents, de la vulnérabilité et de la gestion des configurations.


Le titulaire du poste appuie également l'équipe du DCS dans la recherche et le développement en matière de sécurité, d'évaluation des produits, de consultation, de soutien aux projets et pour toutes autres tâches opérationnelles nécessaires pour répondre aux exigences globales du programme et de la stratégie.
 
Le Responsable de la sécurité des applications (AppSec) est un poste technique et fournit une expertise technologique pour établir et mettre en œuvre des normes, des procédures et des lignes directrices en matière de sécurité appropriées pour sécuriser l'environnement existant en partenariat avec diverses propriétés et technologies de l'information.


PRINCIPALES RESPONSABILITÉS PROFESSIONNELLES

Services de consultation

  • Servir de point de contact principal et d'expert en sécurité des applications et des données pour les équipes de propriété et réseau afin d'offrir des solutions aux nouveaux types de risques et menaces.
  • Soutenir l'ingénieur en chef d'AppSec dans toutes les activités en collaboration avec les équipes de développement d'applications et les équipes de projet et effectuer du travail pratique et technique en cas de besoins (p. ex., délais serrés, problèmes, etc.).
  • Soutenir l'ingénieur en chef d'AppSec avec des tests d'intrusion et des évaluations des menaces de vulnérabilité, des examens et des évaluations de sécurité, des revues de code, etc., au besoin, lors de nouvelles applications, de changements aux applications, des tierces parties, etc. et dans le cadre de projets
  • S'assurer que les activités ci-dessus sont alignées avec l'équipe d'évaluation de la menace de vulnérabilité (VTA, Vulnerability Threat Assessment)
  • Examiner et approuver toutes les recommandations sur les améliorations possibles découlant des travaux réalisés dans le cadre des projets.
  • Fournir l'approbation officielle des projets après avoir examiné tous les produits livrables en matière de sécurité préparés par l'ingénieur en chef de l'AppSec.
 
Planification et gestion opérationnelles
  • Soutenir les activités de l'ingénieur en chef d'AppSec avec les systèmes de protection des applications (APS) de DCS une fois qu'ils sont en place (APS comprend divers outils AppSec tels que des pare-feu d'applications Web, des outils de révision de code) et être en mesure de faire le travail en temps voulu
  • Valider et soutenir les exigences de sécurité identifiées pour les activités d'enregistrement et de surveillance de l'APS.
  • Valider et soutenir l'intégration de ces exigences dans le cadre de l'enregistrement et de la surveillance DCS (SIEM/LMR) en collaboration avec l'équipe SIEM/LMR.
  • Soutenir l'ingénieur en chef d'AppSec dans le déploiement de la solution de chiffrement de base de données à l'échelle de l'entreprise (à déterminer)
 
Gestion des risques de sécurité
  • Gérer l'aspect AppSec de divers audits, PCI, évaluations, etc. pour s'assurer que toutes les constatations et les lacunes en suspens sont résolues par les diverses propriétés et la TI.
  • Établir un partenariat avec l'équipe de gestion du DCS afin d'établir un cadre intégré de gestion de bout en bout des risques de sécurité et de conformité pour protéger les actifs d'information et les ressources de la compagnie.
  • Servir de point de contact principal pour la conception et le déploiement du cadre de gestion des risques de sécurité de l'entreprise en ce qui a trait à AppSec.
  • Élaborer, mettre en œuvre et gérer les politiques, normes, procédures et lignes directrices d'AppSec qui aideront les équipes de développement d'applications à intégrer les exigences de sécurité dans leurs applications et bases de données.
  • Établir des points d'intégration pour les tests, l'examen et la supervision de la sécurité des applications dans tous les cycles de vie de la gestion du changement et du développement logiciel.
  • Avoir une influence majeure dans la promotion de la compréhension technique des normes, solutions et outils AppSec en matière d'applications (Web, Legacy, etc.) et de bases de données d'informations nouvelles et existantes.
  • En fonction du cadre de gestion des risques de sécurité du DCS, s'assurer que toutes les activités d'AppSec (p. ex. test d'intrusion, évaluations des menaces de vulnérabilité, modélisation des menaces, examens et évaluations de la sécurité, examens des codes) sont menées avec la meilleure qualité possible
  • Élaborer et gérer des examens et des évaluations détaillés de la sécurité, de l'analyse de l'exposition à la sécurité des applications d'affaires et des bases de données : (1) Évaluer les dommages potentiels des failles de sécurité et aider à la mise en œuvre des mesures correctives ; (2) Identifier, documenter et signaler les problèmes et les préoccupations de sécurité à la direction, et (3) Surveiller les mesures correctives et recommander des mesures préventives rentables pour éviter les récurrences.
  • Examiner et approuver tous les produits livrables d'AppSec, y compris les recommandations et les plans d'assainissement ; cette activité est exécutée en étroite collaboration avec l'équipe des risques de sécurité et de conformité.
  • Surveiller l'efficacité des mesures correctives et recommander des mesures préventives rentables pour éviter les récidives.
  • Identifier les domaines qui bénéficieraient à l'audit interne, à l'audit externe et aux autres régulateurs pour leur permettre de rationaliser leurs activités d'audit et de tirer parti des outils et processus de sécurité de la DDS ; gérer l'intégration globale de ces groupes dans la DDS
 

Gestion des incidents

  • Servir de point de contact AppSec pour l'équipe d'intervention en cas d'incident et enquêter sur tout incident éventuel ayant une incidence sur l'entreprise.

  • Soutenir les activités de l'ingénieur en chef de l'AppSec dans toutes les procédures SOC


Recherche & Développement

  • Concevoir, mettre en œuvre et gérer un laboratoire d'opérations de sécurité des applications pour effectuer toutes les évaluations, révisions, tests, etc. requis en matière de sécurité des applications et des données, y compris l'évaluation, la sélection, le déploiement et la gestion des outils de balayage et de révision de code tels que AppScan, Hailstorm, Web Inspect, Imperva, etc.
  • Évaluer et participer à des initiatives d'impartition ou de tierce partie qui impliquent le traitement d'applications et de données.
  • Fournir des séances d'information technique au CISO et à d'autres intervenants clés, comme le CTO, sur les questions de sécurité actuelles ; contribuer à la compréhension technique et à la promotion des normes, solutions et outils nouveaux et existants en matière de sécurité de l'information ; servir de canal de communication technique du CISO.
  • Fournir des services de R-D et de consultation à l'équipe de DCS, à l'équipe de TI et aux projets d'affaires au besoin.


Documentation, rapports et analyses

  • Contribuer à la conception et à la mise en œuvre d'un cadre de rapport opérationnel qui fournira des mesures et des statistiques régulières sur nos activités et notre environnement informatique, analyser les tendances en matière d'événements et d'activités de sécurité, etc. pour mieux comprendre les risques, les insuffisances de nos solutions, les pénuries de personnel et autres, communiquer les mesures et statistiques de sécurité au CISO et aux autres intervenants clés comme le CTO.
  • Documenter et assurer le suivi des exceptions de l'AppSec relatives aux activités de TI et aux activités immobilières qui pourraient avoir une incidence négative sur les risques pour la sécurité ou ne pas respecter les politiques, les normes ou les procédures établies.
  • Gérer toutes les exigences de SOC en ce qui concerne les métriques de sécurité des applications et des données et s'assurer que les métriques sont collectées quotidiennement.
  • Gérer toutes les mesures de sécurité des applications et des données pour le tableau de bord trimestriel du CISO et les autres exigences en matière de rapports.


Gestion du rendement et de la formation

  • Mentorer AppSec sur les principes fondamentaux des menaces à la sécurité, les vulnérabilités et les méthodologies de test.
  • Élaborer et administrer un programme de formation AppSec à l'intention du personnel AppSec moins expérimenté ou d'autres professionnels non spécialisés en sécurité (TI, propriétés, etc.).
  • Gérer et encadrer les subordonnés directs actuels pour s'assurer qu'ils sont performants au plus haut niveau de qualité et qu'ils sont capables d'atteindre les objectifs actuels.
  • Établir et surveiller les objectifs de l'équipe et s'assurer qu'ils sont conformes à la stratégie et à l'orientation du CISO en matière de sécurité.
  • Autogérer sa carrière dans le domaine de la sécurité en tirant parti des cours offerts à l'interne et à l'externe ; préparer un plan de carrière pour la gestion du rendement à court et à long terme.


Planification et gestion organisationnelles

  • Établir des feuilles de route annuelles des initiatives de sécurité des applications et des bases de données afin de les harmoniser avec les objectifs opérationnels et ceux du DSS.
  • Élaborer un modèle de maturité à long terme pour le cadre de sécurité des applications et des données afin d'inclure les normes, les essais, l'efficacité, etc.
  • Coordonner les projets avec les équipes informatiques et immobilières et pour les projets internes à la DDS
  • Aider aux activités administratives générales en collaboration avec tous les membres de l'équipe.
  • Gérer les activités et les relations des fournisseurs selon les besoins, y compris les énoncés des travaux, les renouvellements de maintenance, les mises à jour des licences, etc.
  • Préparer les plans de projet et la documentation connexe
  • Préparer des rapports d'étape et d'autres mesures de gestion au besoin.

Profil

Expérience professionnelle

  • 7 à 10 ans d'expérience dans le domaine du développement d'applications, des bases de données ou de la sécurité des bases de données et des applications.
  • Minimum de 7 ans d'expérience en tests d'intrusion de logiciels, en révision de code sécurisé, en évaluation des risques architecturaux et/ou en analyse de code statique.
  • Expérience antérieure dans un poste de gestion ou de leadership
  • Compréhension approfondie des concepts de sécurité OWASP et des risques de sécurité des applications courantes, tels que XSS, XSRF, SQL Injection, Cookie Manipulation, etc.
  • Connaissance approfondie des processus de gestion du changement et du cycle de vie du développement logiciel
  • Expérience antérieure en développement d'applications Java, Javascript, PHP, C, Rails, .NET, ou autres langages.
  • Solide connaissance des systèmes d'exploitation, de l'architecture des bases de données relationnelles, de la technologie client/serveur, du traitement des données commerciales, de la théorie de l'analyse et de la conception des bases de données, des systèmes de traitement des transactions, des réseaux locaux et étendus, des protocoles de communication, des normes de cryptage et des protocoles d'authentification.
  • Solides capacités d'analyse, de résolution de problèmes et de gestion de projets
  • Formation approfondie dans les disciplines du génie, y compris la sécurité des applications et des données, la programmation de systèmes, la conception de systèmes, la technologie informatique et les disciplines logicielles.
  • Expérience pratique du développement et de l'analyse de logiciels sécurisés, un must.



Formation et certifications

  • Baccalauréat ou expérience équivalente en informatique, en administration de bases de données, en SIG ou en génie électrique requis
  • Certification éthique en piratage informatique (CEH), de préférence, ainsi qu'une formation certifiée sur les solutions et les pratiques de sécurité des applications
  • CISSP, CISA, CISM, GSEC ou certification(s) connexe(s) requise(s)
  • Connaissance des exigences réglementaires américaines en matière de sécurité et de l'environnement dans le secteur des services financiers, un atout,
  • Expérience de travail dans un environnement mondial / international avec un large éventail de politiques et de procédures suggéré



Compétences

  • Aptitudes exceptionnelles à la communication - à l'oral et à l'écrit
  • Sens du détail et de l'organisation
  • Décomposer les problèmes complexes en unités gérables, élaborer des solutions pour chaque unité et les intégrer à l'ensemble.
  • Absorber rapidement les nouvelles idées et les appliquer de façon pragmatique.
  • Identifie les problèmes clés ou sous-jacents dans des situations complexes.
  • Évaluer la situation en identifiant des modèles ou des liens qui ne sont pas manifestement liés.
  • Capacité à s'adapter à de nouveaux environnements et de travailler efficacement dans des situations variées.
  • Établir des objectifs et des priorités pour maximiser l'utilisation des ressources disponibles
  • Esprit d'équipe, orientation client et ouverture aux différents points de vue.
  • Connaissance de soi, de son propre comportement/style de travail, ainsi qu'une bonne tolérance aux différents besoins et points de vue
  • Avoir de l'intérêt pour les opinions des autres et savoir faire preuve de considération, d'intérêt et de respect envers autrui.

#LI-JH1

Environnement

L'équipe Data & Cyber Security (DCS) est responsable mondialement de la sécurisation et du pilotage des risques liés à la sécurité de l'information et à la cybersécurité pour la division Global Banking and Investor Solutions (GBIS) et ses unités de service. L'équipe est composée de professionnels diversifiés et talentueux qui traduisent les idées en actions quotidiennes en combinant la force de son expertise avec une compréhension approfondie des besoins de la division GBIS et des unités de service.
 
Les responsabilités de DCS couvrent la gestion de la sécurité de l'information et de la cybersécurité et s'articulent autour de cinq domaines d'expertise : identification, protection, détection, intervention et rétablissement.
 
Au sein de DCS, l'équipe Identity & Access Management se concentre sur cinq missions clés :

  • Les risques liés aux demandes et aux projets
  • La sécurité globale des applications
  • Les tierces parties
  • La sécurité opérationnelle
  • L'exécution des contrôles
 
DCS y parvient tout en promouvant un environnement collaboratif, innovant, diversifié et amusant pour ses professionnels de la sécurité de l'information et de la cybersécurité.

Tous nos postes sont ouverts aux personnes en situation de handicap.

Référence: 19000PC8
Entité: SG CIB
Date de début: Immédiat
Date de publication: 10/12/2019
Partager

Gestionnaire de la sécurité des applications-(H/F)

C.D.I   |   Montreal   |   Systèmes d'information