ARXO.ai est une jeune entreprise française spécialisée dans l’analyse de l’exposition numérique des entreprises.
Notre mission est simple : permettre aux dirigeants de comprendre ce qu’un tiers peut voir de leur environnement numérique depuis Internet et les aider à réduire les risques associés.
Nous développons des méthodes, outils et processus permettant d’identifier, qualifier et documenter les expositions visibles depuis l’extérieur.
Notre approche repose sur des preuves vérifiables, une analyse rigoureuse et une restitution compréhensible par les décideurs.
ARXO.ai est aujourd’hui dans une phase de construction ambitieuse. Une grande partie des outils, méthodes et capacités techniques restent à développer. Nous recherchons des personnes qui souhaitent participer à cette construction plutôt que rejoindre une organisation déjà figée.
Le poste
Vous serez l’un des premiers piliers techniques d’ARXO.ai. Nous recherchons une personne capable d’analyser des environnements web autorisés, d’identifier des signaux, de raisonner méthodiquement et de produire des conclusions fiables.
Votre travail contribuera directement aux analyses réalisées dans des contextes réels de décision et de protection, ainsi qu’à l’amélioration continue de nos capacités techniques. Ce poste n’est pas destiné à quelqu’un qui veut seulement exécuter des missions. Il s’adresse à une personne qui veut construire une capacité technique, améliorer des outils, structurer une méthode et voir son travail utilisé dans des situations concrètes.
Vos missions
- Réaliser des analyses d’exposition web sur des environnements autorisés, réels ou simulés. * Identifier les technologies, services et interfaces accessibles depuis Internet.
- Analyser des logins, APIs, formulaires, CMS, contrôles d’accès et expositions applicatives.
- Rechercher des erreurs de configuration, expositions involontaires et signaux techniques pertinents.
- Qualifier des expositions de type contrôle d’accès défaillant, IDOR/BOLA, XSS, fuite d’information, endpoint sensible, mauvaise configuration ou accès non protégé.
- Produire des rapports techniques structurés et compréhensibles.
- Participer à l’amélioration des outils et automatisations internes.
- Contribuer à la création de règles, scénarios ou templates de détection internes.
- Participer à l’enrichissement des mécanismes de détection et de qualification.
- Participer à la construction et à l’évolution des environnements de test internes.
- Documenter les méthodologies et partager les bonnes pratiques au sein de l’équipe.
Profil recherché
Nous recherchons avant tout un niveau technique démontrable. Le diplôme n’est pas le critère principal.
Les éléments suivants constituent un véritable avantage :
- Participation active à Root-Me.
- Participation à des CTF.
- Participation à des programmes de bug bounty : YesWeHack, HackerOne, Bugcrowd.
- Publications techniques ou write-ups. * Contributions GitHub. * Développement d’outils ou d’automatisations.
- Travaux personnels liés à la cybersécurité.
- Expérience ou pratique de Burp Suite, Caido, OWASP, Nuclei, WordPress/CMS, API security, OSINT technique ou scripting Python. Vous savez distinguer clairement les faits démontrés, les hypothèses et les conclusions. Vous êtes capable d’expliquer simplement un sujet complexe à un interlocuteur non technique.
Qualités attendues
- Curiosité technique.
- Esprit d’analyse.
- Rigueur méthodologique.
- Autonomie.
- Sens des responsabilités.
- Capacité à documenter son travail.
- Aptitude à vulgariser des sujets techniques.
Respect strict du cadre légal et des périmètres autorisés. La qualité de l’analyse compte autant que la qualité de la restitution. Nous cherchons une personne capable d’être offensive dans le raisonnement, mais irréprochable dans la méthode.
Ce que nous ne recherchons pas
- Un profil purement GRC.
- Un profil SOC sans culture offensive web.
- Un profil dépendant exclusivement des scanners automatisés.
- Une personne privilégiant le volume de résultats à leur qualité.
- Un candidat incapable de justifier ses conclusions.
- Un profil qui confond intuition, hypothèse et preuve.
- Une personne incapable de documenter proprement son travail.
- Un consultant souhaitant uniquement réaliser des missions ponctuelles sans implication durable.
Processus de recrutement
- Étape 1 — Présentation du profil Transmettez les éléments qui permettent d’évaluer votre niveau : GitHub, Root-Me, Hack The Box, FCSC, write-ups, projets personnels, contributions techniques, rapports anonymisés si disponibles. Une lettre de motivation classique n’est pas nécessaire.
- Étape 2 — Entretien Échange technique et opérationnel avec le fondateur. Nous nous intéressons davantage à votre manière de raisonner, prouver, nuancer et expliquer qu’à votre capacité à réciter des concepts.
- Étape 3 — Cas pratique Accès à un environnement de test dédié, explicitement autorisé. Le cas pratique sera court, cadré et limité à cet environnement. Objectif : produire une analyse structurée présentant les éléments identifiés, la méthodologie employée, les constats démontrés, les limites de l’analyse et les points qui nécessiteraient une validation complémentaire.
- Étape 4 — Décision Processus rapide et retour systématique.
Ce que nous offrons
- Un rôle clé dans la construction d’une société française de cybersécurité à forte ambition.
- Un environnement entrepreneurial avec un impact direct sur les outils, les méthodes et l’organisation.
- Une autonomie importante.
- Des responsabilités réelles dès l’arrivée.
- Une proximité directe avec la direction.
- La possibilité de participer à la construction d’un actif technique différenciant.
- Des perspectives d’évolution rapides pour les profils performants.
Conditions
- CDI.
- Poste basé à Paris 16.
- Rémunération fixe selon profil.
- Variable selon résultats, qualité du travail et implication.
- Perspectives d’évolution rapides.
Rémunération : 35 000,00€ à 45 000,00€ par an
Lieu du poste : En présentiel
