Sous la responsabilité du Relevant directement du Directeur – Sécurité des systèmes d'information, vous êtes le propriétaire stratégique du programme de gouvernance, risques et conformité cybersécurité (GRC) d’exo. Vous concevez, pilotez et faites évoluer le cadre global de cybersécurité et représentez l’organisation auprès des plus hautes instances. De plus, vous êtes le représentant officiel d’exo auprès de l’Autorité régionale de transport métropolitain (ARTM) pour les instances de gouvernance mutualisée en matière de cybersécurité. Responsabilités principales Concevoir, déployer et maintenir l’ensemble du cadre de gouvernance cybersécurité (politiques, directives, normes, procédures, méthodologies et pratiques). Représenter exo au Comité régional de gouvernance cybersécurité (ARTM-exo-STM-RTL-STL) et participer activement à l’harmonisation des cadres. Piloter la conformité et la certification aux normes majeures (PCI-DSS, ISO 27001, NIST CSF, NIST 800-53, Loi 25). Piloter le programme de continuité des activités en cas d’incident cybersécurité (PCA cyber) et contribuer à l’élaboration du PCA mutualisé. Définir et déployer la stratégie pluriannuelle de sensibilisation et de formation cybersécurité (campagnes, simulations de phishing, ateliers employés et gestionnaires, mesure d’efficacité). Diriger le programme de gestion des risques cybersécurité d’entreprise et la cartographie des risques critiques. Gérer le programme de risques liés aux tiers et à la chaîne d’approvisionnement (registre des fournisseurs critiques, scoring de risque, exigences contractuelles, audits tiers). Administrer le processus complet de traitement des exceptions (évaluation, décision, mesures compensatoires, registre, suivi). Définir, valider et piloter l’ensemble des indicateurs de performance (KPI) et de risque (KRI), produire et présenter les rapports exécutifs, au comité de direction et de gestion des risques, ainsi qu’à l’ARTM. Coordonner et agir à titre de point de contact principal lors des audits internes, externes et mutualisés (Certification ISO 27001, SOC 2 type 2, etc.). Fournir l’ensemble des livrables techniques et preuves pour le renouvellement annuel de la police d’assurance cybersécurité (en appui au Service juridique). Animer le comité stratégique cybersécurité et les communautés de pratique. Représenter exo auprès des instances gouvernementales (Centre gouvernemental de cyberdéfense, Transports Québec, CCCS) sous la délégation du CISO. La liste des responsabilités et tâches énumérées précédemment est sommaire et indicative. Il ne s’agit pas d’une liste complète et détaillée des responsabilités et tâches susceptibles d’être effectuées par le titulaire du poste. Exigences normales du poste Scolarité Maîtrise ou baccalauréat en cybersécurité, TI, gestion des risques ou d’un domaine connexe. Expérience Minimum 10 ans d’expérience en cybersécurité dont au moins 6 ans en gouvernance stratégique et en conformité. Expérience en contexte mutualisé ou multi-organismes (atout majeur). Compétences et aptitudes Minimum deux certifications parmi : CISSP, CISM, CRISC, CISA, ISO 27001 Lead Implementer/Auditor. Expérience dans le secteur public/parapublic ou en infrastructures critiques. Français et anglais courants à l’écrit et à l’oral. Leadership stratégique, influence exécutive et sens politique marqué. Conditions de travail Emploi régulier à temps plein, soit 37.5 heures par semaine. Siège social, 1001 boulevard Robert-Bourassa, 26e étage, Montréal, Québec, H3B 4L4. Le masculin est utilisé de façon générique afin d’alléger le texte. Seules les personnes retenues à la suite de l'analyse des candidatures seront contactées. #J-18808-Ljbffr