Analyste principal.e sécurité GRC — Gestion des risques, TPRM & résilience

Notre mission est d’offrir une expérience de financement hypothécaire positive, et transparente, simplifiée du début à la fin. Notre équipe se compose d'experts en technologie qualifiés, de spécialistes en prêts hypothécaires attentionnés et d'une équipe de marketing diversifiée, travaillant tous ensemble pour mener le changement dans l'industrie hypothécaire.

Chez nesto, nous sommes fiers de

• Nos clients apprécient notre expérience positive, transparente et simplifiée en matière de financement hypothécaire.
• Nos avis 4,5 étoiles sur Google parlent d'eux-mêmes !
• Nous avons remporté le prix CLA du prêteur hypothécaire de l’année 2023 et 2024, qui reconnaît notre excellence en matière de services de prêt.
• Nous sommes une organisation certifiée B Corp, soulignant notre engagement à avoir un impact positif sur notre société et notre planète.
• Notre équipe hautement qualifiée, diversifiée et collaborative, qui rend tout possible.
• Notre plateforme Mortgage Cloud qui offre aux institutions financières un accès complet à la technologie exclusive de nesto, améliorant ainsi l’expérience du client, du début à la fin.

Nous sommes à la recherche d’un.e Analyste principal.e sécurité GRC, motivé.e et passionné.e, relevant du gestionnaire GRC. Ce rôle se concentrera sur la gestion des risques de sécurité, l’assurance liée aux risques fournisseurs (TPRM) et les pratiques de résilience, afin de s’assurer que les risques sont activement gérés et réduits dans un environnement infonuagique (cloud-first).

• Prendre en charge et opérer le cycle de vie complet de la gestion des risques de sécurité : identification, évaluation, traitement, acceptation, suivi et résolution
• Maintenir et améliorer en continu le registre des risques, le suivi des enjeux, les écarts de contrôles, les constats d’audit et les plans de remédiation, avec une gouvernance structurée et un suivi rigoureux
• Collaborer avec les équipes Ingénierie, Produit, TI, Juridique, Risques, Sécurité et Opérations afin de définir une gestion des risques réalistes qui soutiennent la livraison et les objectifs d’affaires
• Proposer et faire avancer des stratégies de mitigation ingénieuse incluant des contrôles préventifs, détectifs, correctives et compensatoires, alignés sur les meilleures pratiques et le contexte opérationnel
• Développer et faire évoluer les capacités de continuité des affaires et de reprise après sinistre (BC/DR) :
• • définir les objectifs de reprise (RTO/RPO) avec les parties prenantes
  • soutenir la planification et la documentation BC/DR
  • coordonner les tests de reprise et les exercices “tabletop”
  • assurer le suivi des améliorations et des leçons apprises
• Développer et opérer un programme structuré de gestion des risques fournisseurs (TPRM) :
• • questionnaires de sécurité pour les RFP et partenaires stratégiques
  • classification des fournisseurs selon le risque et suivi continu
  • exigences de sécurité basées sur le risque et suivis appropriés.
• Réaliser des revues approfondies de sécurité des fournisseurs (architecture, flux de données, modèles d’accès, maturité, historique d’incidents, posture de conformité)
• Évaluer et communiquer clairement le risque lié aux tiers (risque inhérent, risque résiduel, écarts clés, mitigations recommandées) afin de soutenir la prise de décision
• Recommander et faire avancer des contrôles techniques et procéduraux pour réduire les risques tiers (exigences de sécurité, clauses contractuelles, attentes de surveillance, contraintes d’accès, exigences de chiffrement et de journalisation)
• Produire des rapports clairs pour la direction sur la posture de risque, l’avancement des remédiations et les indicateurs clés de risques

• 5 à 10 ans d’expérience en sécurité GRC, gestion des risques, audit TI, audit interne, conformité ou assurance des risques
• Expérience solide dans l’exploitation d’un registre des risques et la fermeture de remédiations avec plusieurs équipes
• Expérience forte en gestion des risques fournisseurs (TPRM), incluant revues approfondies et questionnaires de sécurité pour RFP
• Capacité à évaluer les risques dans leur contexte (criticité d’affaires, sensibilité des données, niveau d’intégration) et à proposer des mitigations pragmatiques
• Expérience en continuité des affaires / reprise après sinistre (BC/DR) et tests est un atout important
• Bonne compréhension de la sécurité infonuagique et des contrôles cloud-first (GCP)
• Excellente capacité à gérer les parties prenantes et à influencer de manière collaborative
• Excellente capacité à rédiger de la documentation et des évaluations de risques claires, structurées et pragmatiques
• Excellentes compétences organisationnelles et souci du détail
• Expérience en scripting ou automatisation (Python, PowerShell, Bash, APIs, SQL) est un atout important

*L’anglais est requis pour la rédaction et la documentation. Le français parlé et lu est un atout important.

• Contribuez directement à façonner l’expérience qui modernise le secteur hypothécaire canadien
• Évoluez grâce aux multiples opportunités de croissance au sein de l’entreprise
• Profitez du programme hypothécaire de nesto qui offre à nos employé(e)s des taux exclusifs et préférentiels
• Bénéficiez d'une politique généreuse en matière de congés, incluant 4 semaines de vacances par année
• Disposez d'un plan d’avantages sociaux de premier ordre entièrement payé par nesto, comprenant un plan d'assurance complet et un accès illimité à un service de télé-médecine et de santé mentale pour vous et votre famille.
• Accédez à un budget annuel consacré à la santé et au bien-être.
• Saisissez la possibilité de travailler dans un mode hybride. Nous avons de magnifiques bureaux situés au centre-ville de Montréal (métro Peel) et nos espaces sont ouverts aux chiens!
  

Diversité et inclusion 

Chez nesto, nous croyons fermement que la créativité et la collaboration sont le fruit de la diversité. Nous sommes engagés à favoriser, à cultiver et à préserver une culture de diversité, d’équité, d’inclusion et d’appartenance, et sommes fiers d’assurer des pratiques impartiales et inclusives pour accéder à l’emploi et à la croissance professionnelle. Tous les candidats qualifiés seront pris en considération sans égard à leur âge, leur couleur, leur handicap, leur origine ethnique, l’état familial ou matrimonial, l’identité ou l’expression de genre, leur langue, leur capacité physique et mentale, leur affiliation politique, leur religion, leur orientation sexuelle, leur situation sociale, leur statut de vétéran et toutes autres caractéristiques qui rendent nos employés uniques.