Vulnerability Manager

Position Overview

The Vulnerability Manager will lead the IT Infrastructure Cybersecurity Operations team, overseeing the enterprise-wide vulnerability remediation program for the organization’s infrastructure environment. This role bridges the Information Security team and IT Infrastructure platform teams, ensuring timely remediation of vulnerabilities across servers, networks, databases, and virtualization infrastructure while maintaining executive visibility through regular reporting.

Key Responsibilities:

Infrastructure Vulnerability Remediation Management:

• Lead remediation efforts for vulnerabilities across IT Infrastructure domains.
• Track vulnerabilities from Tenable, penetration testing, security assessments, and threat intelligence feeds.
• Monitor remediation progress against established SLA deadlines.
• Engage proactively with Infrastructure, Network, Database, and Virtualization teams to ensure timely closure. Maintain comprehensive dashboards and metrics on vulnerability remediation status.

Stakeholder Management & Reporting:

• Present monthly vulnerability management reports to IT Infrastructure leadership and the CISO office.
• Provide executive insights on remediation trends, infrastructure risk exposure, and program effectiveness. Escalate critical infrastructure vulnerabilities to executive technology leadership and risk management stakeholders.

Technical Guidance & Infrastructure Support:

• Provide expert guidance on remediation strategies, patching approaches, and configuration hardening.
• Troubleshoot complex remediation scenarios involving legacy systems, business-critical infrastructure, or technical dependencies.
• Recommend best practices for infrastructure vulnerability mitigation aligned with industry security standards. Advise on patch management strategies balancing security requirements with infrastructure stability.

Risk Acceptance & Control Validation:

• Review and validate risk acceptance requests when immediate remediation is not feasible due to business criticality, legacy constraints, vendor limitations, or complex dependencies.
• Assess adequacy of proposed compensating controls (network segmentation, access controls, monitoring).
• Guide teams in developing robust compensating controls that effectively reduce risk exposure. Ensure risk acceptance documentation meets internal governance, regulatory, and compliance requirements.

Program Leadership & Governance:

• Drive continuous improvement of the infrastructure vulnerability management program.
• Develop and maintain vulnerability management policies, procedures, and workflows aligned with organizational IT governance.
• Foster collaboration between Information Security and IT Infrastructure teams. Support regulatory examinations and audits related to infrastructure security.

Required Qualifications:

• Bachelor's degree in Computer Science, Information Technology, Information Security, or related field.
• 7+ years of experience in IT infrastructure security, cybersecurity operations, or vulnerability management within banking or financial services.
• 3+ years in a leadership or management role.
• Strong understanding of vulnerability assessment tools (Tenable/Nessus) and infrastructure scanning methodologies.
• Experience with risk management frameworks and control validation in regulated environments.
• Proven ability to communicate technical infrastructure security concepts to executive audiences. Understanding of regulatory requirements and IT risk management in financial institutions.

Preferred Qualifications:

• Relevant certifications: CISSP, CISM, or similar.
• Experience with vulnerability management platforms and ITSM systems (ServiceNow).
• Background in both information security and IT infrastructure operations.
• Experience working in large, complex enterprise IT environments. English (mandatory), French language skills (preferred).

Key Competencies:

• Strong analytical and problem-solving skills with infrastructure focus.
• Excellent communication and presentation abilities in English.
• Proactive and results-oriented mindset with ability to work under regulatory pressure.
• Ability to influence infrastructure teams without direct authority.
• Strategic thinking with attention to operational detail and business impact.
• Stakeholder management and negotiation skills across technical and business functions. Ability to balance security requirements with business continuity and operational resilience.

Working Environment:

• Location: Montreal, Quebec.
• Working from home on a voluntary basis for up to 2 days per week after 3 months of joining.
• Collaboration with global IT Infrastructure and Security teams.
• Exposure to senior IT and Risk leadership.

Gestionnaire des vulnérabilités (Vulnerability Manager)

Aperçu du poste

Le gestionnaire des vulnérabilités dirigera l’équipe des opérations de cybersécurité de l’infrastructure TI et supervisera le programme de remédiation des vulnérabilités à l’échelle de l’organisation pour l’environnement d’infrastructure. Ce rôle assure le lien entre l’équipe de sécurité de l’information et les équipes d’infrastructure TI, en veillant à la remédiation rapide des vulnérabilités touchant les serveurs, les réseaux, les bases de données et les environnements de virtualisation, tout en maintenant une visibilité auprès de la direction grâce à des rapports réguliers.

Responsabilités principales:

Gestion de la remédiation des vulnérabilités de l’infrastructure:

• Diriger les efforts de remédiation des vulnérabilités au sein des différents domaines de l’infrastructure TI.
• Suivre les vulnérabilités identifiées par Tenable, les tests d’intrusion, les évaluations de sécurité et les flux de renseignement sur les menaces.
• Surveiller l’avancement de la remédiation en fonction des échéanciers établis dans les SLA.
• Collaborer de manière proactive avec les équipes d’infrastructure, réseau, bases de données et virtualisation afin d’assurer la résolution rapide des vulnérabilités. Maintenir des tableaux de bord et des indicateurs complets sur l’état de la remédiation des vulnérabilités.

Gestion des parties prenantes et rapports:

• Présenter des rapports mensuels sur la gestion des vulnérabilités à la direction de l’infrastructure TI et au bureau du CISO.
• Fournir des analyses stratégiques sur les tendances de remédiation, l’exposition aux risques liés à l’infrastructure et l’efficacité du programme. Escalader les vulnérabilités critiques de l’infrastructure vers la direction technologique et les équipes de gestion des risques.

Orientation technique et soutien à l’infrastructure:

• Fournir des recommandations d’expert sur les stratégies de remédiation, les approches de gestion des correctifs et le renforcement des configurations.
• Résoudre des scénarios complexes de remédiation impliquant des systèmes hérités, des infrastructures critiques pour l’entreprise ou des dépendances techniques.
• Recommander des pratiques exemplaires pour la mitigation des vulnérabilités de l’infrastructure alignées avec les normes de sécurité de l’industrie. Conseiller sur les stratégies de gestion des correctifs en équilibrant les exigences de sécurité et la stabilité de l’infrastructure.

Acceptation des risques et validation des contrôles:

• Examiner et valider les demandes d’acceptation de risque lorsque la remédiation immédiate n’est pas possible en raison de la criticité des activités, de contraintes liées aux systèmes hérités, de limitations fournisseurs ou de dépendances complexes.
• Évaluer l’efficacité des contrôles compensatoires proposés (segmentation réseau, contrôles d’accès, surveillance).
• Accompagner les équipes dans la mise en place de contrôles compensatoires robustes permettant de réduire efficacement l’exposition au risque. Veiller à ce que la documentation relative à l’acceptation du risque respecte les exigences internes de gouvernance, de conformité et de réglementation.

Leadership du programme et gouvernance:

• Piloter l’amélioration continue du programme de gestion des vulnérabilités de l’infrastructure.
• Élaborer et maintenir les politiques, procédures et processus de gestion des vulnérabilités alignés sur la gouvernance TI de l’organisation.
• Favoriser la collaboration entre les équipes de sécurité de l’information et les équipes d’infrastructure TI. Soutenir les inspections réglementaires et les audits liés à la sécurité de l’infrastructure.

Qualifications requises:

• Baccalauréat en informatique, technologies de l’information, cybersécurité ou domaine connexe.
• Plus de 7 ans d’expérience en sécurité de l’infrastructure TI, en opérations de cybersécurité ou en gestion des vulnérabilités dans le secteur bancaire ou des services financiers.
• Plus de 3 ans d’expérience dans un rôle de gestion ou de leadership.
• Bonne maîtrise des outils d’évaluation des vulnérabilités (Tenable / Nessus) et des méthodologies de balayage d’infrastructure.
• Expérience avec les cadres de gestion des risques et la validation des contrôles dans des environnements réglementés.
• Capacité démontrée à communiquer des concepts techniques de sécurité de l’infrastructure à des publics exécutifs. Compréhension des exigences réglementaires et de la gestion des risques TI dans les institutions financières.

Qualifications souhaitées:

• Certifications pertinentes : CISSP, CISM ou équivalent.
• Expérience avec des plateformes de gestion des vulnérabilités et des systèmes ITSM (ServiceNow).
• Expérience à la fois en sécurité de l’information et en opérations d’infrastructure TI.
• Expérience dans des environnements TI d’entreprise complexes et à grande échelle. Anglais (obligatoire), français (atout).

Compétences clés:

• Solides capacités d’analyse et de résolution de problèmes avec un focus sur l’infrastructure.
• Excellentes aptitudes en communication et en présentation en anglais.
• Approche proactive et orientée résultats avec capacité à travailler sous pression réglementaire.
• Capacité d’influencer des équipes d’infrastructure sans autorité hiérarchique directe.
• Vision stratégique combinée à une attention aux détails opérationnels et à l’impact sur les activités.
• Compétences en gestion des parties prenantes et en négociation avec des fonctions techniques et d’affaires. Capacité à équilibrer les exigences de sécurité avec la continuité des opérations et la résilience organisationnelle.

Environnement de travail:

• Lieu : Montréal, Québec
• Télétravail possible sur une base volontaire jusqu’à 2 jours par semaine après 3 mois d’emploi.
• Collaboration avec des équipes mondiales d’infrastructure TI et de sécurité.
• Interaction avec la haute direction TI et les équipes de gestion des risques.