The Penetration Testing and Vulnerability Management Consultant is responsible for certain key functions within the Payroll Service Center (PSC)’s Security and Fraud Management team, including managing penetration testing, active threat hunting, and vulnerability management. He or she also provides support for other functions such as incident management and security in projects.
The PSP is a leading provider of payroll services for numerous clients across Canada. We play a key role in the Canadian economy. Cybersecurity and fraud management are therefore areas of critical importance. Working in the PSP’s Security and Fraud Management team also offers the opportunity to explore many areas and develop expertise in cybersecurity. This position reports directly to the CSP Director of Security and Fraud Management.
This position requires autonomy, strong cybersecurity knowledge, and the ability to learn new skills. It is also important to have strong communication skills and the ability to build good relationships with other teams.
Your future duties and responsibilities
- Managing offensive testing
- Active threat hunting
- Vulnerability management
- Incident management support
- Security support for projects.
Penetration Testing (Red Teaming)
- Planning and coordinating penetration tests based on a principle of rotating targets and continuous testing
- Supporting the execution of corporate security tests (vulnerability scans and other tests as needed)
- Assisting project teams with conducting DAST (BurpSuite Enterprise) and SAST (SonarQube) tests, and, as needed, independently conducting light penetration tests
- Conducting “retests” to verify that certain vulnerabilities identified as fixed have been properly addressed
- Analyzing test results, re-evaluating severity levels, and verifying false positives
- Periodically conducting light, independent penetration tests on random targets, following a methodology approved by stakeholders
- Occasional participation in specialized conferences, penetration testing competitions, or other activities to maintain an adequate level of expertise in offensive testing
- Report and share relevant information with stakeholders affected by the results of offensive testing.
Active Threat Hunting
- In collaboration with the SOC Manager, analyze specific alerts and alert trends to determine whether certain attack patterns exploit vulnerabilities or security flaws that require remediation. This involves conducting periodic analyses using various monitoring tools: SIEM, WAF, DLP, Defender, etc.
- Note: This does not involve taking responsibility for handling alerts, but rather identifying attack patterns that may require preventive actions or vulnerability fixes.
Vulnerability Management
- Ensure that identified vulnerabilities are properly documented, tracked, and prioritized, with a remediation plan that has been approved by stakeholders
- Contribute expertise and provide recommendations for vulnerability remediation
- Ensure that vulnerability remediation is also properly documented and validated
- Sources for identifying vulnerabilities may include: SAST and DAST testing, penetration testing, compliance audits, anomalies detected by users or associates, configuration reviews, vulnerability scans, external bug bounty researchers, etc.
- Develop dashboards and metrics on vulnerabilities and their severity.
Incident Management Support
- Participate in incident management: investigations, containment, implementation of corrective actions, documentation, and post-incident analysis.
Project Security Support
- Assist specific projects and teams with implementing security measures: asset classification, risk analysis, security recommendations, planning and coordinating security testing, and tracking vulnerabilities and issues requiring correction.
The consultant may also assist with or lead any related tasks assigned by their manager.
Required Qualifications To Be Successful In This Role
- Degree in risk management, cybersecurity, computer science, or related fields
- At least two (2) years of experience in cybersecurity
- Experience participating in or coordinating offensive security testing
- Strong written and verbal communication skills. Ability to communicate effectively with technical and non-technical audiences, senior management, and operational staff
- Leadership skills to successfully complete projects requiring the coordination of multiple teams
- Ability to work independently and organize tasks effectively
- Fluent French (written and spoken) required; functional English necessary
- Ability to work under pressure in a critical environment
- Ability to anticipate risks and propose concrete solutions
- Ability to collaborate effectively within a team.
CGI provides a reasonable estimate of the salary range for this position. This range is calculated based on various factors, including skill level, geographic market, experience, education, and professional licenses and certifications. Compensation decisions are made on a case-by-case basis. A reasonable estimate of this salary range is between $60,000 and $115,000. This position is currently open.
Together, as owners, let’s turn meaningful insights into action.
Life at CGI is rooted in ownership, teamwork, respect and belonging. Here, you’ll reach your full potential because…
You are invited to be an owner from day 1 as we work together to bring our Dream to life. That’s why we call ourselves CGI Partners rather than employees. We benefit from our collective success and actively shape our company’s strategy and direction.
Your work creates value. You’ll develop innovative solutions and build relationships with teammates and clients while accessing global capabilities to scale your ideas, embrace new opportunities, and benefit from expansive industry and technology expertise.
You’ll shape your career by joining a company built to grow and last. You’ll be supported by leaders who care about your health and well-being and provide you with opportunities to deepen your skills and broaden your horizons.
At CGI, we value the strength that diversity brings and are committed to fostering a workplace where everyone belongs. We collaborate with our clients to build more inclusive communities and empower all CGI partners to thrive. As an equal-opportunity employer, being able to perform your best during the recruitment process is important to us. If you require an accommodation, please inform your recruiter.
To learn more about accessibility at CGI, contact us via email. Please note that this email is strictly for accessibility requests and cannot be used for application status inquiries.
Come join our team—one of the largest IT and business consulting services firms in the world.
Conseiller(ère) cybersécurité, tests offensifs et vulnérabilités
Job Description
Le conseiller / la conseillère de tests offensifs et de gestion des vulnérabilités a la responsabilité de certaines fonctions clés dans l'équipe de sécurité et de gestion de la fraude du Centre de Services de Paie (CSP), incluant la gestion des tests offensifs, la recherche active de menaces, la gestion des vulnérabilités. Il/elle intervient également en support d'autres fonctions comme la gestion des incidents et la sécurité dans les projets.
Le CSP est un acteur de premier plan traitant la paie pour de nombreux clients à travers le Canada. Nous jouons un rôle clé dans l'économie canadienne. La cybersécurité et gestion de la fraude sont donc des domaines d'importance cruciale. Travailler dans l'équipe sécurité et gestion de la fraude du CSP offre par ailleurs la possibilité d'explorer de nombreux domaines et d'évoluer dans l'expertise cybersécurité. Ce poste est directement rattaché au directeur responsable de la sécurité et gestion de la fraude du CSP.
Ce poste requiert de l'autonomie, de bonnes connaissances en cybersécurité et une capacité à apprendre de nouvelles compétences. Il est également important d'avoir une bonne communication et capacité à établir de bonnes relations avec d'autres équipes.
Your future duties and responsibilities
- Gestion des tests offensifs
- Recherche active de menaces
- Gestion des vulnérabilités
- Support à la gestion des incidents
- Support à la sécurité dans les projets.
Gestion des tests offensifs (red teaming)
- Planification et coordination des tests d'intrusion selon un principe de rotation de cibles et de tests en continu
- Appui à la réalisation des tests de sécurité corporatifs (balayages de vulnérabilités et autres tests le cas échéant)
- Facilitation auprès des équipes projets pour la réalisation de tests DAST (BurpSuite Entreprise), SAST (SonarQube) et au besoin réalisation autonome de tests d'intrusion légers
- Réalisation de « retests » afin de vérifier la bonne correction de certaines vulnérabilités identifiées comme corrigées
- Analyse des résultats de tests, requalification de la criticité, vérification des faux positifs
- Réalisation périodique de tests d'intrusion légers et autonomes sur des cibles aléatoires, selon une méthodologie approuvée par les parties prenantes
- Participation épisodique à des conférences spécialisées, à des concours de test d'intrusion ou toute autre activité afin de maintenir un niveau de compétence adéquat en tests offensifs
- Reporter et restituer les informations pertinentes aux acteurs concernés par les résultats de tests offensifs.
Recherche active de menaces
- Conjointement avec le responsable SOC, analyser certaines alertes, les tendances d'alertes, pour identifier si certains schémas d'attaque utilisent des vulnérabilités ou failles nécessitant correction. Cela passe par des analyses périodiques de différents outils de supervision : SIEM, WAF, DLP, Defender…
- Note : il ne s'agit pas de prendre la responsabilité du traitement des alertes, mais d'identifier des schémas d'attaque pouvant nécessiter des actions préventives ou corrections de vulnérabilités.
Gestion des vulnérabilités
- S'assurer que les vulnérabilités identifiées sont bien documentées, tracées, priorisées, avec une correction planifiée et approuvée par les parties prenantes
- Apporter son expertise et formuler ses recommandations pour la correction des vulnérabilités
- S'assurer que la correction des vulnérabilités est également bien documentée et validée
- Les sources d'identification des vulnérabilités peuvent être : tests SAST, DAST, tests d'intrusion, audits de conformité, anomalies détectées par les utilisateurs ou associés, revues de configurations, balayages de vulnérabilités, chercheurs « bug bounty » externes, etc.
- Élaborer des tableaux de bord et indicateurs sur les vulnérabilités et leur criticité.
Support à la gestion des incidents
- Prendre part à la gestion des incidents : investigations, endiguement, prise en charge d'actions correctives, documentation, post mortem.
Support à la sécurité dans les projets
- Accompagner certains projets et certaines équipes à la mise en place de la sécurité dans les projets : classification des actifs, analyse de risques, recommandations de sécurité, planification et coordination des tests de sécurité, suivi des vulnérabilités et anomalies à corriger.
Le conseiller / conseillère peut également intervenir ou mener toute tâche connexe confiée par son responsable.
Required Qualifications To Be Successful In This Role
- Diplôme en gestion de risques, cybersécurité, informatique ou disciplines connexes
- Minimum de deux (2) ans d'expérience en cybersécurité
- Expérience en participation ou coordination de tests de sécurité offensive
- Bonnes compétences en communication écrite et verbale. Nécessité de communiquer auprès de publics techniques, non techniques, haute direction et opérationnels
- Sens du leadership afin de mener à terme des projets nécessitant la mobilisation de plusieurs équipes
- Autonomie et bonne organisation dans son travail
- Français courant (écrit et oral) obligatoire anglais fonctionnel nécessaire
- Capacité à travailler sous pression dans un environnement critique
- Aptitude à anticiper les risques et à proposer des solutions concrètes
- Capacité de collaboration en équipe.
CGI offre une estimation raisonnable de la fourchette salariale pour ce poste. Le calcul de cette fourchette dépend de divers facteurs, notamment le niveau de compétence, le marché géographique, l’expérience, la formation ainsi que les licences et certifications professionnelles. Les décisions en matière de rémunération dépendent des particularités de chaque cas. Une estimation raisonnable de cette fourchette salariale se situe entre 60 000 $ et 115 000 $. Ce poste est vacant.
Ensemble, en tant que propriétaires, mettons notre savoir-faire à l’œuvre.
La vie chez CGI est ancrée dans l’actionnariat, le travail d’équipe, le respect et un sentiment d’appartenance. Chez nous, vous pourrez exploiter votre plein potentiel parce que…
Nous vous invitons à devenir propriétaire dès le jour 1 alors que nous travaillons ensemble à faire de notre rêve une réalité. C’est pourquoi nous nous désignons comme associés de CGI, plutôt que comme employés. Nous tirons profit des retombées de notre succès collectif et contribuons activement à l’orientation et à la stratégie de notre entreprise.
Votre travail crée de la valeur. Vous élaborerez des solutions novatrices et développerez des relations durables avec vos collègues et clients, tout en ayant accès à des capacités mondiales pour concrétiser vos idées, saisir de nouvelles opportunités, et bénéficier d’une expertise sectorielle et technologique de pointe.
Vous ferez évoluer votre carrière en vous joignant à une entreprise bâtie pour croître et durer. Vous serez soutenus par des leaders qui ont votre santé et bien-être à cœur et qui vous permettront de saisir des occasions afin de parfaire vos compétences et élargir les horizons.
Chez CGI, nous valorisons la richesse que la diversité apporte et nous nous engageons à favoriser un environnement de travail où chacun s’épanouit. Nous collaborons avec nos clients pour bâtir des communautés plus inclusives et permettre à tous les associés de CGI de réussir. En tant qu’employeur prônant l’égalité des chances, il est important pour nous que vous puissiez donner le meilleur de vous-même durant le processus de recrutement. Si vous avez besoin d’un accommodement particulier, veuillez en informer votre recruteur.
Pour en savoir plus sur l'accessibilité chez CGI, contactez-nous par courriel. Veuillez noter que ce courriel est strictement réservé aux demandes d'accessibilité et ne peut être utilisé pour vérifier l'état d’une candidature.
Joignez-vous à nous, l’une des plus importantes entreprises de conseil en technologie de l’information (TI) et en management au monde.
