Senior Security Consultant - Offensive Security

Joignez-vous à notre équipe et ce que nous accomplirons ensemble

Nous vivons et travaillons dans un monde numérique qui évolue rapidement et où la cybersécurité est essentielle. La protection de l’information et la fiabilité des réseaux et des services sont désormais primordiales. L’équipe du Bureau de la sûreté de TELUS Santé s’efforce de toujours avoir une longueur d’avance et de relever les défis les plus difficiles en matière de cybersécurité en comptant sur l’équipe la plus talentueuse et sur une technologie de pointe. 

Nous sommes à la recherche d’un consultant principal ou d’une consultante principale, Sécurité d’expérience qui relèvera du directeur, Sécurité offensive. La personne qui se joindra à l’équipe devra encadrer les autres consultants et participer à notre programme de gestion des vulnérabilités. En plus des consultations avec des tiers, ce travail s’étend aux aspects suivants : conseils internes sur la sécurité, tests d’intrusion, sécurité des applications et gestion des vulnérabilités. Vous aurez l’occasion d’utiliser des outils de qualité professionnelle et de développer des outils de sécurité et des intégrations internes. Comme TELUS Santé résulte de nombreuses fusions et acquisitions, l’idée est de réaliser une validation de sécurité approfondie à l’échelle de nombreux systèmes, réseaux et piles technologiques. Vous contribuerez non seulement à l’identification des lacunes, mais aussi à nos efforts de rectification. Au besoin, vous participerez à l’automatisation et à la création de nouveaux processus pour éviter que les mêmes problèmes se reproduisent. 

L’équipe du Bureau de la sûreté de TELUS Santé est résolue à faire preuve d’excellence dans la protection des données et des systèmes, ceux de nos clients comme les nôtres. Elle veille à maintenir la fiabilité des réseaux et des systèmes de sécurité à un niveau inégalé et s’emploie à rehausser notre position globale en matière de cybersécurité. Nous gérons nos cybermenaces et fournissons une cybergouvernance, une assurance de la qualité et une supervision de pointe pour protéger nos données. 

Vous travaillerez en partenariat avec des chefs de file du secteur pour répondre aux besoins de TELUS Santé et de nos clients en matière de cybersécurité, et à la complexité grandissante d’un paysage de la cybersécurité en constante évolution. Nous avons une volonté affirmée d’apprendre et de nous perfectionner en tant que personnes et en tant qu’équipe, ce qui nous permet de réussir dans un environnement dynamique.

Voici comment

*Veuillez noter qu’il est entendu que ce rôle recoupe de nombreuses spécialisations en matière de tests de sécurité. Les spécialistes et les généralistes en tests de sécurité sont invités à soumettre leur candidature. Nous exigeons simplement une volonté de se perfectionner et d’apprendre. 

• Consolider les valeurs du programme Les clients d’abord de TELUS Santé afin d’offrir des expériences sûres et positives aux clients externes et aux collaborateurs internes
• Mettre vos connaissances techniques approfondies en cybersécurité à la disposition des équipes responsables des activités commerciales et de développement
• Diriger des projets et des mandats client, produire des rapports et préparer des présentations, en misant sur vos compétences en communication pour vulgariser des principes techniques complexes
• Contribuer à la mise sur pied du programme de gestion des vulnérabilités en utilisant des sources de données et à l’aide de parties prenantes de différents secteurs d’activité
• Vous aurez l’occasion de concevoir et de mettre en place un large éventail de tests reproduisant les tactiques de différents types d’auteurs malveillants sur différents actifs. Voici quelques exemples de tests sur lesquels l’équipe travaillera : 
  
  • Effectuer des tests d’intrusion en utilisant les méthodologies OSINT, PTES et OSSTMM
  • Améliorer le pipeline de données de sécurité pour simplifier les processus de rectification des vulnérabilités, y compris l’analyse automatisée des vulnérabilités, la hiérarchisation des risques, le suivi des correctifs et la production de rapports sur les indicateurs pour assurer un traitement rapide des constatations en matière de sécurité
  • Appliquer le cadre MITRE ATT&CK pour évaluer notre capacité à détecter et à contrer un large éventail de tactiques, techniques et procédures adverses, en situation de brèche
  • Évaluer la sécurité d’applications à partir du OWASP Web/Mobile Application Security Testing Guide pour vérifier le niveau de sécurité d’une application selon la OWASP Mobile Application Security Verification Standard associée
  • Examiner les tests d’intrusion de tiers pour valider les observations et vérifier que les mesures d’atténuation sont correctement mises en place.
  • Mettre en place l’infrastructure d’attaque pour les communications C2
  • Participer aux tactiques, techniques et procédures de sécurité offensives et à la définition du guide d’intervention en cas d’incident en collaboration avec l’équipe Sécurité et exploitation
  • Améliorer la stratégie de devancement des tests de sécurité des applications par l’automatisation des essais et la communication des résultats dans le cycle de développement des systèmes
  • Rédiger des rapports qui présentent clairement les observations ainsi que les priorités et les détails relatifs à la stratégie
• Guider et encadrer les autres en matière de pratiques de sécurité offensive

Vous possédez 

• Plus de 5 ans d’expérience dans l’un ou l’autre de ces domaines : analyse des vulnérabilités, tests d’intrusion, méthode de l’équipe rouge, tests de sécurité des applications (Web ou mobiles) 
• Plus de 7 ans d’expérience technique démontrable en matière de sécurité et de confidentialité dans le domaine de l’informatique et des réseaux, idéalement à titre de professionnel ou de consultant 
• Aptitude éprouvée à l’automatisation des aspects de notre processus d’essai (Python, PowerShell, JavaScript, Perl, Bash, Ruby, etc.) 
• Flexibilité et capacité à bien gérer l’ambiguïté; vous aimez collaborer avec les autres pour trouver une solution lorsque cela est nécessaire. 
• Solides compétences interpersonnelles et influence pour établir des relations avec les principales parties prenantes 
• Expérience de travail avec l’un ou l’autre des éléments suivants (différentes combinaisons sont possibles) : 
  
  • MITRE ATT&CK 
  • OWASP ASVS et WSTG 
  • MASVS, MASTG 
  • PTES, OSSTMM 
• Idéalement, vous possédez au moins deux des attestations suivantes (ou toute autre attestation pertinente en matière de tests de sécurité) : 
  
  • Tests d’intrusion 
    
    • CREST CRT, OSCP, OSCE, OSEP, GPEN, eCPT, eCPTX, HTB CPTS, OSWP, PNPT 
  • Méthode de l’équipe rouge 
    
    • CRTP, CRTO (1 ou 2), CRTE 
  • Sécurité des applications 
    
    • Attestation Burp Suite Certified Practitioner, OSWE, GWAPT, eWPT 
  • Sécurité des applications mobiles 
    
    • GMOB, EMAPT 
  • Sécurité infonuagique 
    
    • CCSP, CARTP, CAWASP, PACSP 
• Doit posséder ou être en mesure d’obtenir une attestation de fiabilité du gouvernement du Canada.

Atouts

• Expérience en administration de systèmes ou en développement de logiciels
• Expérience en recherche et développement dans le domaine des vulnérabilités informatiques
• Participation à des projets à code source ouvert ou aux activités de la communauté de la sécurité

Une connaissance avancée de l'anglais est requise, car vous serez appelé(e) la plupart du temps à interagir en anglais avec des parties externes (par ex. clients, fournisseurs ou partenaires externes); à interagir en anglais avec des parties internes (par ex. collègues ou parties prenantes); à travailler dans un environnement informatique anglais dans le cadre des tâches liées à ce poste dont la portée est nationale.