Expert, architecture de sécurité

Chez CN, chaque journée apporte son lot de défis stimulants. Vous évoluerez dans un environnement dynamique où vous contribuerez à assurer le fonctionnement optimal et sécuritaire de nos activités - en aidant à maintenir l’économie sur les rails. Nous offrons une formation rémunérée ainsi que des occasions de bâtir des carrières à long terme, et nous reconnaissons les travailleurs passionnés qui souhaitent faire une différence. Vous pourrez vous épanouir dans notre culture collaborative et axée sur la sécurité, en travaillant ensemble comme UNE SEULE ÉQUIPE. Les carrières que nous proposons sont significatives, car le travail que nous accomplissons compte. Joignez-vous à nous !

L’objectif de ce rôle est d’évaluer les solutions technologiques, les configurations et les conceptions en fonction des exigences de sécurité, et de définir des architectures de référence et des normes de cybersécurité dans les environnements d’entreprise de CN (y compris le nuage, les environnements sur site, les données et les technologies émergentes comme l’IA). Ce rôle favorise les principes de sécurité intégrée dès la conception (« secure-by-design ») auprès des équipes d’ingénierie et d’exploitation en intégrant la sécurité dans les pratiques d’architecture, les flux de développement et les décisions technologiques à l’échelle de l’entreprise.

• Définir et mettre en œuvre des contrôles d’architecture de sécurité d’entreprise afin de gérer les risques tout en soutenant les capacités d’affaires dans des domaines tels que les plateformes infonuagiques, les applications d’entreprise, les données, l’IA/ML, les systèmes industriels, les réseaux et les technologies destinées aux utilisateurs finaux.
• S’assurer que l’architecture de sécurité à travers les environnements d’entreprise est maintenable, durable et correctement documentée.
• Définir et appliquer des modèles et des contrôles de conception de sécurité pour les charges de travail en intelligence artificielle (IA) et IA générative, incluant la sécurité du cycle de vie des modèles, la protection des données et l’utilisation responsable.
• Évaluer les solutions intégrant l’IA pour détecter les risques émergents tels que l’injection de requêtes, la manipulation de modèles, les fuites de données et l’utilisation non autorisée des données de l’entreprise.
• Collaborer avec les équipes d’IA responsable, de données et d’architecture afin d’intégrer des contrôles de sécurité dans les solutions d’IA et d’apprentissage automatique. Définir des normes et des garde-fous de sécurité pour les technologies d’IA alignés sur les politiques d’entreprise, les exigences réglementaires et la tolérance au risque. Contribuer au développement de lignes directrices et de cadres de gouvernance pour une utilisation sécurisée de l’IA.
• Maintenir et développer des connaissances pertinentes, actuelles et fiables en architecture de sécurité infonuagique afin de tirer parti des infrastructures et des processus de cybersécurité existants, lorsque pertinent, et d’orienter les normes de configuration tout en soutenant la transformation numérique dans l’environnement I&T.
• Faciliter les décisions clés concernant l’architecture et les technologies infonuagiques. Influencer les décisions d’architecture d’entreprise en fournissant des orientations de sécurité faisant autorité à travers les programmes et les portefeuilles.
• Agir à titre de conseiller de confiance auprès des parties prenantes senior en matière de compromis d’architecture de sécurité et de décisions liées aux risques.
• Faire progresser les réalisations et les compétences de l’équipe de sécurité en planifiant la livraison des solutions, en répondant aux questions techniques et procédurales des membres moins expérimentés, en améliorant les processus et en mentorant les membres de l’équipe.
• Produire des artefacts d’architecture prêts pour les audits et alignés sur les exigences de gouvernance et de conformité de l’entreprise.

• Relever du gestionnaire principal, architecture de sécurité, et soutenir l’exécution de la stratégie d’architecture de sécurité d’entreprise définie par l’organisation du CISO.
• Agir comme contributeur individuel senior au sein de l’équipe d’architecture de sécurité, en fournissant un leadership technique et en influençant les équipes de livraison transversales.
• Définir la bonne orientation et la stratégie d’investissement en élaborant des analyses de rentabilisation et des feuilles de route de sécurité.
• Collaborer avec l’écosystème des fournisseurs de technologies et de cybersécurité pour en comprendre les capacités et améliorer la posture de sécurité globale.
• Collaborer avec les fournisseurs de cybersécurité pour comprendre les capacités, les options de contrôles compensatoires et les mesures d’atténuation des risques afin de faciliter le choix de partenaires s’intégrant à l’architecture globale.
• Surveiller et évaluer continuellement l’environnement au moyen d’autoévaluations et d’audits indépendants de sécurité. Permettre à la direction d’identifier les lacunes et inefficacités et d’initier des actions d’amélioration au moyen de la feuille de route et des stratégies de sécurité.

• Minimum de 12 ans d’expérience professionnelle globale
• Minimum de 8 ans d’expérience en I&T
• Minimum de 5 ans d’expérience en architecture de sécurité dans des environnements d’entreprise (y compris le nuage, les applications, les données ou l’infrastructure)
• Expérience démontrée dans l’application d’une approche structurée de résolution de problèmes dans de grandes organisations réparties géographiquement avec des opérations 24/7
• Expérience multi-infonuagique incluant AWS, Azure et Google Cloud Platform (atout)
• Expérience avec les méthodologies Agile et DevOps (atout)
• Expérience dans le domaine ferroviaire, du transport ou dans un environnement industriel global (atout important)

• Baccalauréat en informatique, en génie informatique, en génie électrique, en analyse de systèmes ou dans un domaine pertinent
• Au moins une certification reconnue en sécurité infonuagique : CISSP, CCSK, CCSP, GCSA, etc.
• Certifications liées à l’architecture (TOGAF, Zachman, CISSP-ISSAP, etc.) (atout)

• Capacité à définir et structurer un dispositif d’architecture de sécurité en blocs réutilisables : modèles, services, composantes, modèles de capacités, etc.
• Capacité démontrée de comprendre les implications de sécurité des opérations d’affaires complexes et leur lien avec des solutions technologiques permettant une atténuation concrète des risques et un soutien aux activités
• Capacité à dériver des exigences de sécurité à partir de besoins d’affaires peu définis
• Capacité à interagir avec un large éventail de collaborateurs pour expliquer et faire appliquer les mesures de sécurité
• Excellentes compétences en communication écrite et verbale
• Personne autonome, minutieuse, avec un haut niveau d’engagement et de motivation
• Capacité à prioriser dans un environnement dynamique et rapide

• Solide connaissance des processus, méthodologies, outils et techniques utilisés pour concevoir de grands systèmes informatiques dans les environnements infonuagiques privés et publics
• Connaissance des normes, règlements et lois en matière de sécurité de l’information (ex. NIST, ISO 27001, OWASP)
• Connaissance des architectures et technologies de sécurité TI, incluant : architectures orientées services, technologies mobiles (MDM), conception centrée sur les données, analytique avancée, IA, gestion des identités et des accès (IAM), criminalistique numérique, protection des postes, chiffrement, gestion des clés, sécurité des bases de données, annuaires d’entreprise, IDS, IPS, pare-feu nouvelle génération, pare-feu applicatifs, coffres-forts de mots de passe, sécurité SaaS/PaaS/IaaS, SIEM, etc. (atout)
• Connaissance des domaines d’architecture de sécurité d’entreprise incluant la sécurité applicative, la sécurité des données, la gestion des identités et des accès, la sécurité réseau et la sécurité des technologies opérationnelles (OT)
• Compréhension de la sécurisation des API, OpenID Connect, OAuth (atout)
• Connaissance des réseaux incluant SDN et service mesh (atout)
• Connaissance des enjeux de sécurité des conteneurs, notamment Kubernetes (atout)

CN est un chef de file mondial du transport et un facilitateur du commerce. Essentiel à l’économie, à ses clients et aux collectivités qu’il sert, CN transporte de façon sécuritaire plus de 300 millions de tonnes de ressources naturelles, de produits manufacturés et de marchandises chaque année partout en Amérique du Nord. En tant que seul réseau ferroviaire reliant les côtes Est et Ouest du Canada à la pointe sud des États-Unis grâce à un réseau de 19 500 milles, CN et ses filiales contribuent à la prospérité des communautés et à un commerce durable depuis 1919. CN s’engage dans des programmes de responsabilité sociale et de gestion environnementale. Chez CN, nous travaillons comme UNE SEULE ÉQUIPE, axée sur la sécurité, la durabilité et nos clients, en offrant une excellence opérationnelle et de chaîne d’approvisionnement pour livrer des résultats.

Pour les candidats internes, veuillez noter que le niveau du poste dépendra de l’expérience de l’employé.