IntroductionDeuxième plus important réseau de transport collectif dans la région métropolitaine de Montréal, exo exploite les services de train, d’autobus et de transport adapté des couronnes nord et sud de Montréal.Chez exo vous retrouverez une organisation à dimension humaine, tournée vers l’avenir et l’innovation, au service des communautés. Un milieu de travail où, selon la nature de l’emploi, la flexibilité des horaires et le télétravail en mode hybride sont favorisés, facilitant la conciliation travail-vie personnelle.Travailler chez exo c’est aussi bénéficier d’une foule d’avantages, tels que : carte Opus gratuite, assurances collectives, régime de retraite, vacances généreuses, congés fériés, congés maladie et personnels, programme d’aide aux employés, service gratuit de télémédecine pour vous et votre famille et un club social des plus dynamiques. Faites le saut chez exo!Sous la responsabilité du Relevant directement du Directeur – Sécurité de l’information, vous êtes le propriétaire stratégique du programme de gouvernance, risques et conformité cybersécurité (GRC) d’exo. Vous concevez, pilotez et faites évoluer le cadre global de cybersécurité et représentez l’organisation auprès des plus hautes instances. De plus, vous êtes le représentant officiel d’exo auprès de l’Autorité régionale de transport métropolitain (ARTM) pour les instances de gouvernance mutualisée en matière de cybersécurité.Responsabilités principalesConcevoir, déployer et maintenir l’ensemble du cadre de gouvernance cybersécurité (politiques, directives, normes, procédures, méthodologies et pratiques) ;Représenter exo au Comité régional de gouvernance cybersécurité (ARTM-exo-STM-RTL-STL) et participer activement à l’harmonisation des cadres ;Piloter la conformité et la certification aux normes majeures (PCI-DSS, ISO 27001, NIST CSF, NIST 800-53, Loi 25) ;Piloter le programme de continuité des activités en cas d’incident cybersécurité (PCA cyber) et contribuer à l’élaboration du PCA mutualisé ;Définir et déployer la stratégie pluriannuelle de sensibilisation et de formation cybersécurité (campagnes, simulations de phishing, ateliers employés et gestionnaires, mesure d’efficacité);Diriger le programme de gestion des risques cybersécurité d’entreprise et la cartographie des risques critiques;Gérer le programme de risques liés aux tiers et à la chaîne d’approvisionnement (registre des fournisseurs critiques, scoring de risque, exigences contractuelles, audits tiers);Administrer le processus complet de traitement des exceptions (évaluation, décision, mesures compensatoires, registre, suivi);Définir, valider et piloter l’ensemble des indicateurs de performance (KPI) et de risque (KRI), produire et présenter les rapports exécutifs, au comité de direction et de gestion des risques, ainsi qu’à l’ARTM;Coordonner et agir à titre de point de contact principal lors des audits internes, externes et mutualisés (Certification ISO 27001, SOC 2 type 2, etc.);Fournir l’ensemble des livrables techniques et preuves pour le renouvellement annuel de la police d’assurance cybersécurité (en appui au Service juridique);Animer le comité stratégique cybersécurité et les communautés de pratique;Représenter exo auprès des instances gouvernementales (Centre gouvernemental de cyberdéfense, Transports Québec, CCCS) sous la délégation du CISO.La liste des responsabilités et tâches énumérées précédemment est sommaire et indicative. Il ne s’agit pas d’une liste complète et détaillée des responsabilités et tâches susceptibles d’être effectuées par le titulaire du poste.Exigences normales du posteScolaritéMaîtrise ou baccalauréat en cybersécurité, TI, gestion des risques ou d’un domaine connexe.ExpérienceMinimum 10 ans d’expérience en cybersécurité dont au moins 6 ans en gouvernance stratégique et en conformité ;Expérience en contexte mutualisé ou multi-organismes (atout majeur).Compétences et aptitudesMaîtrise approfondie des cadres ISO 27001, NIST CSF, NIST 800-53/800-161, Loi 25 ;Minimum deux certifications parmi : CISSP, CISM, CRISC, CISA, ISO 27001 Lead Implementer/Auditor ;Expérience dans le secteur public/parapublic ou en infrastructures critiques ;Français et anglais courants à l’écrit et à l’oral ;Leadership stratégique, influence exécutive et sens politique marqué.Conditions de travailEmploi régulier à temps plein, soit 37.5 heures par semaineSiège social, 1001 boulevard Robert-Bourassa, 26e étage, Montréal, Québec, H3B 4L4Le masculin est utilisé de façon générique afin d’alléger le texte. Seules les personnes retenues à la suite de l'analyse des candidatures seront contactées.
