Architecte Sécurité TO

Canadian National Railway - Montréal, QC (il y a 30+ jours)

Postuler dès maintenant

Résumé des fonctions

La personne titulaire de ce poste évalue les solutions, les configurations et les conceptions des Technologies opérationnelles (TO) par rapport aux exigences en matière de sécurité et définit les architectures de référence de la cybersécurité ainsi que les normes pour tous les environnements TO du CN.

Principales responsabilités

Pratiques en architecture de sécurité TO

Mettre en place des contrôles d’architecture de sécurité TO appropriés afin d’assurer l’authenticité, la non-répudiation et un droit d’accès minimal selon les exigences liées au risque.
S’assurer que l’architecture de sécurité TO est facile à entretenir, durable et bien documentée.
Établir et tenir à jour une base de connaissances d’équipe pertinentes, actuelles, valides et fiables sur l’architecture de sécurité TO, pour exploiter l’infrastructure et le processus de cybersécurité actuels, au besoin, tout en aidant les fonctions Transport, Mécanique et Exploitation du réseau à mettre en œuvre des contrôles de sécurité fondés sur les risques dans le cadre d’un environnement TO élargi.
Faciliter la prise de décisions importantes en ce qui concerne l’architecture et les technologies TO.
Favoriser les réalisations et les compétences de l’équipe Sécurité en planifiant la livraison de solutions, en répondant aux questions des membres moins expérimentés de l’équipe sur les aspects techniques et les procédures, en enseignant les processus améliorés et en mentorant les membres de l’équipe.
S’assurer que les conceptions en sécurité sont bien documentées, telles que les architectures établies et les processus opérationnels, au moyen de diagrammes clairs et de documents bien rédigés.

Feuille de route et stratégie relatives à la sécurité TO

Travailler en collaboration avec le chef de la sécurité de l’information, le directeur principal ou la directrice principale Architecture de sécurité TO, l’équipe Cybersécurité, les directeurs de portefeuille, d’autres architectes et la direction de l’I et T pour comprendre l’orientation de l’entreprise et son incidence sur le niveau de sécurité.
Définir le plan d’action et la stratégie d’investissement appropriés en rédigeant des analyses de rentabilité et des feuilles de route relatives à la sécurité.
Faire appel à l’écosystème de fournisseurs de solutions TO pour comprendre les capacités et les limites dans le but d’améliorer le niveau de sécurité des produits actuels, et aider à sélectionner les bons partenaires.
Surveiller et évaluer l’environnement en continu à l’aide d’auto-évaluations et d’évaluations indépendantes de la sécurité. Donner à la direction les moyens de cerner les lacunes et les inefficacités et d’engager des mesures d’amélioration à l’aide de feuilles de route et de stratégies relatives à la sécurité.

Exigences

Formation, certification et désignation

Baccalauréat en informatique, en génie informatique, en génie électrique, en analyse de systèmes ou dans un autre domaine connexe
Au moins une certification reconnue en sécurité : Certified Information Systems Security Professional (CISSP), Global Industrial Cyber Security Professional (GICSP), ISA/IEC 62443 Cybersecurity Expert, etc.
Certifications en architecture (TOGAF, Zachman, CISSP-ISSAP, etc.), un atout

Compétences et connaissances

Capacité à définir et à organiser un appareillage d’architecture de sécurité à l’aide d’éléments réutilisables : tendances, services, composantes, modèles de capacité, etc.
Capacité éprouvée à comprendre les répercussions d’activités commerciales complexes sur la sécurité ainsi que le lien entre ces activités et les solutions technologiques qui atténuent les risques et stimulent les affaires
Solide connaissance des processus, méthodes, outils et techniques utilisés pour la création d’importants systèmes de technologie de l’information
Expérience éprouvée de la mise en œuvre d’approches structurées de résolution de problèmes au sein de grandes entreprises géographiquement dispersées et en activité 24 heures sur 24, 7 jours sur 7
Solide connaissance des technologies et des principes d’architecture essentiels à la création de systèmes de technologies opérationnelles complexes : Automates programmables; système de télésurveillance et d’acquisition de données (SCADA); système de commande réparti (DCS); interface homme-machine (HMI); ports et protocoles de réseau de l’industrie (TCP/IP, UDP, DNP3, Modbus, IEC 61850, PROFINET, OPC, LonWorks, DALI, BACnet, KNX, EnOcean, etc.); etc.
Compréhension approfondie des aspects de la conception de SCI, en mettant l’accent sur la sécurité des personnes et la disponibilité ou la sécurité de l’environnement d’exploitation, ainsi que sur les menaces, les vulnérabilités et les codes d’exploitation dans les environnements SCI et les techniques d’atténuation appropriées.
Capacité d’établir des exigences claires en matière de sécurité à partir de besoins vaguement formulés
Capacité à interagir avec une grande partie du personnel pour expliquer et mettre en application les mesures de sécurité
Excellentes compétences en communications orales et écrites
Souci du détail, autonomie et niveau élevé d’engagement et de motivation personnelle
Facilité à établir l’ordre de priorité des tâches et à travailler dans un environnement très dynamique
Connaissance des normes, de la réglementation et de la législation qui gouvernent la sécurité de l’information, p. ex., NIST, ISO 27001, OWASP

Expérience

Au moins 12 ans d’expérience de travail globale en TI
Au moins huit ans d’expérience en TO
Au moins cinq ans d’expérience en architecture de sécurité TO

Atouts (s’il y a lieu)

Expérience en conception de logiciels
Expérience des méthodologies Agile et DevOps
Connaissance des technologies et des architectures de sécurité en TI générales : architectures orientées services, technologies mobiles, notamment la gestion des appareils mobiles, la conception axée sur les données, l’analyse avancée, l’IA, les cycles de vie de la gestion des identités et des accès, la criminalistique numérique, le chiffrement des terminaux, la gestion des clés de chiffrement, la sécurité des bases de données, les services de répertoire d’entreprise, le système de détection d’intrusions, le système de prévention d’intrusion, les pare-feu de la prochaine génération, les pare-feu d’application, les chambres fortes de mots de passe, la sécurité SaaS/PaaS/IaaS infonuagique, la gestion des informations et des événements de sécurité (GIES), etc.
Connaissance approfondie des notions de base en sécurité : cryptographie, racine de confiance, modèles de sécurité, etc.
Expérience des pare-feu de la prochaine génération, des réseaux privés virtuels, des systèmes de prévention d’intrusion/systèmes de détection d’intrusion, de la gestion des vulnérabilités, de la gestion des accès, de la gestion des informations et des événements de sécurité (GIES) et de la sécurité des points d’extrémité dans des environnements TO
Expérience ferroviaire, dans le transport ou dans le secteur en général, un atout important

La forme grammaticale utilisée dans ce document vaut tant pour les hommes que pour les femmes. Le CN souscrit au principe de l’équité en emploi et invite toutes les personnes qualifiées à présenter leur candidature. Nous remercions tous les candidats de leur intérêt; cependant, nous ne communiquerons qu’avec les personnes dont la candidature sera retenue. Veuillez consulter régulièrement vos courriels, car les communications sont surtout envoyées par courrier électronique.