itjobs.ca Logo

Top Benefits

Hybrid Work
Gym Available
Telemedicine

About the role

**English description below - The working language is French, all internal meetings (including interviews) at Croesus are conducted in French, so a strong proficiency in French is mandatory.

Croesus fournit des solutions de gestion de patrimoine innovantes, performantes et sécurisées comprenant des systèmes de gestion de portefeuille, des outils de rééquilibrage de portefeuille ainsi que des interfaces de programmation d’applications (API). Ces solutions permettent aux professionnels de la gestion de patrimoine d’accroître leur productivité, d’améliorer les relations avec leurs clients, de prendre des décisions éclairées et de simplifier la gestion des actifs sous gestion.

En tant que membre de l'équipe de sécurité de l'information, vous agissez comme le pont stratégique entre le développement et la cybersécurité. Votre rôle est d'intégrer la sécurité dès les premières étapes de la conception logicielle (‘’security by design’’) et de transformer les contraintes techniques en leviers d'excellence. Expert de terrain, vous accompagnez les équipes dans la résolution concrète des vulnérabilités et l'animation de la culture de sécurité.Vous agissez également comme référent interne pour la sécurité des composantes d'intelligence artificielle intégrées dans nos produits SaaS.

Responsabilités principales: Gestion des Vulnérabilités et Triage Qualifier les vulnérabilités selon le risque réel en corrélant les scores de gravité avec l'impact métier. Accompagner les responsables de produits dans la priorisation des corrections au sein des carnets de commandes de développement. Piloter la remédiation via des indicateurs clés de performance et valider la robustesse des correctifs. Architecture et Développement Sécurisé Réaliser des revues de code critiques pour les environnements C#, C++, Python et Web. Sécuriser les chaînes de traitement de données. Intervenir dès la phase de conception par la modélisation des menaces. Étendre cette pratique aux composantes IA et architectures agentiques intégrées dans nos produits (RAG, agents autonomes, intégrations MCP). Sécurité des composantes IA dans les produits Évaluer la sécurité des intégrations entre nos produits et les modèles IA tiers. Appliquer le cadre OWASP LLM Top 10 lors des revues de code et des exercices de modélisation de menaces. Définir, en collaboration avec les équipes de développement et DevOps, les contrôles applicatifs encadrant l'usage de l'IA générative dans les produits : gestion des secrets pour les API de modèles tiers, validation des entrées et sorties, contrôles côté serveur sur les invites, points de contrôle dans les chaînes CI/CD. Faire évoluer les standards internes de développement sécurisé pour les composantes IA. Évaluer les risques propres aux architectures agentiques intégrées à nos produits : injection de prompt indirecte (RAG), excessive agency, tool poisoning et sécurité des intégrations MCP Leadership : Programme de Champions de Sécurité Piloter la guilde des champions au sein des différentes aires fonctionnelles. Organiser le transfert de compétences par des ateliers, des exercices de simulation et des formations. Assurer un mentorat technique personnalisé auprès des champions de sécurité. Automatisation et Intégration de la Sécurité Maintenir les barrières de sécurité automatisées dans les pipelines d'intégration et de déploiement continu (CI/CD). Évaluer, déployer et affiner les outils d'analyse statique et dynamique (SAST, DAST), d'analyse de composition logicielle (SCA) et de détection de secrets, en assurant un bon équilibre entre couverture, taux de faux positifs et expérience développeur.

Exigences: Expérience globale : Minimum 5 ans en informatique. Expertise métier : Minimum 2 ans en développement logiciel et 3 ans en sécurité applicative. Formation : Diplôme d'études en informatique. Une spécialisation ou formation complémentaire en sécurité, ou en sécurité des systèmes d'intelligence artificielle, est un atout majeur. Développement et Code : Maîtrise avancée : C#, C++, et Python (IA et données). Sécurité Web : Maîtrise des cadres de développement modernes (TS/JS) et de la défense contre les attaques courantes (OWASP Top 10). Sécurité IA : Connaissance de l'OWASP LLM Top 10 et des risques propres aux applications intégrant des modèles d'IA (injection d'invite, fuite de données via le modèle, manipulation des sorties). Familiarité avec le NIST AI Risk Management Framework (AI RMF) et MITRE ATLAS pour la cartographie des menaces, ainsi qu'avec les vecteurs d'attaque spécifiques aux architectures agentiques (MCP, RAG, multi-agents). Méthodologies de sécurité : Analyse statique et dynamique, analyse de la composition logicielle. Automatisation : Intégration de contrôles de sécurité automatisés dans les chaînes de déploiement. Analyse de Risque : Traduction de vulnérabilités techniques en risques métier compréhensibles. Certifications (Atouts) GHAS, CSSLP, CASE .NET, OSCP. Une certification en sécurité IA alignée avec l'OWASP LLM Top 10 (ex. CAISP de Practical DevSecOps, GIAC GAIPS) est un plus.

Pourquoi choisir Croesus ? Congés et vacances à la carte Travail hybride (Bureau Laval et Montréal) Gym disponible au siège social (Laval) Télémédecine + assurances collectives (super utile pour la famille 😉) REER collectif, contribution évolutive de l’employeur Proximité du métro Montmorency & Mcgill Déjeuner gracieusement offert tous les matins 4 à 6 (2X par mois), préparés par notre Partenaire à la vie Croesussienne

Croesus provides innovative, high-performance, and secure wealth management solutions that include portfolio management systems, portfolio rebalancing tools, and application programming interfaces (APIs). These solutions empower wealth management professionals to improve their productivity, enhance their client relationships, make informed decisions, and maximize the management of their assets under management.

As a member of the information security team, you serve as the strategic bridge between development and cybersecurity. Your role is to integrate security from the earliest stages of software design (“security by design”) and to turn technical constraints into drivers of excellence. As a hands-on expert, you support teams in effectively addressing vulnerabilities and fostering a culture of security. You also serve as the internal point of contact for the security of the artificial intelligence components integrated into our SaaS products.

Main Responsabilities: Vulnerability Management and Triage Classify vulnerabilities based on actual risk by correlating severity scores with business impact. Support product managers in prioritizing fixes within development backlogs. Oversee remediation using key performance indicators and validate the robustness of fixes. Secure Architecture and Development Conduct critical code reviews for C#, C++, Python, and web environments. Secure data processing chains. Get involved as early as the design phase through threat modeling. Extend this practice to AI components and agent-based architectures integrated into our products (RAG, autonomous agents, MCP integrations). Security of AI Components in Products Assess the security of integrations between our products and third-party AI models. Apply the OWASP LLM Top 10 framework during code reviews and threat modeling exercises. Define, in collaboration with development and DevOps teams, the application controls governing the use of generative AI in products: secret management for third-party model APIs, input and output validation, server-side controls on prompts, and checkpoints in CI/CD pipelines. Evolve internal secure development standards for AI components. Assess risks specific to the agent-based architectures integrated into our products: indirect prompt injection (RAG), excessive agency, tool poisoning, and MCP integration security. Leadership: Security Champions Program Lead the Champions Guild across various functional areas. Organize knowledge transfer through workshops, simulation exercises, and training sessions. Provide personalized technical mentoring to security champions. Security Automation and Integration Maintain automated security checks in continuous integration and continuous deployment (CI/CD) pipelines. Evaluate, deploy, and refine static and dynamic analysis (SAST, DAST), software composition analysis (SCA), and secret detection tools, ensuring a good balance between coverage, false positive rates, and developer experience.

Requirements: Overall experience: Minimum 5 years in information technology. Domain expertise: Minimum 2 years in software development and 3 years in application security. Education: Degree in computer science. A specialization or additional training in security is a major asset Development & Code Advanced proficiency: C#, C++, and Python (AI and data). Web Security: Proficiency with modern development frameworks (TS/JS) and defense against common attacks. Security Methodologies: Static and dynamic analysis, software composition analysis. Automation: Integration of automated security controls into deployment pipelines. Risk Analysis: Translation of technical vulnerabilities into understandable business risks

Why join Croesus ? À la carte vacations Hybrid work, 2 days a week in office (Laval &Montreal offices) Gym available at our Laval head office Telemedicine + group insurance (super useful for the family 😉 ) Group RRSP Proximity to Montmorency & Mcgill metro Complimentary breakfast every morning 2X per month, Happy hours, prepared by our Croesus Life Partner

About Croesus

Software Development

Similar Jobs