Ingénieur sécurité - Sénior
Contexte et objectif de la mission
Dans le cadre du développement de ses systèmes de gestion, une entreprise du secteur de la gestion d?actifs souhaite recourir à une prestation externe afin de fournir une assistance aux études et développements, et de poursuivre l?intégration des bonnes pratiques de sécurité dans les développements informatiques.
La prestation requiert une double expertise sécurité et développement afin de promouvoir la sécurité au sein des équipes études et développement.
Missions principales
Les principaux objectifs de la prestation sont :
? Conseil : choix d?architecture, sécurisation des choix technologiques, évaluation des risques
? Formation : sensibilisation et montée en compétences des équipes études et développement
? Réalisation : implémentation de mécanismes de sécurité, implémentation de mécanismes de contrôles automatisés, proposition de correction de vulnérabilités
? Audit : audit de code, tests d?intrusion applicatifs, revue de configuration, contrôles automatisés
Les activités détaillées comprennent :
1. Amélioration et maintien des standards de sécurité dans les développements
? Évolution et maintien de la documentation existante
? Intégration des nouvelles menaces liées aux IA (ML/LLM) et définition de mesures de sécurité applicatives
? Participation à la rédaction des exigences de sécurité IA pour les nouveaux projets intégrant des LLM
? Identification et implémentation de nouvelles mesures de sécurité applicatives appliquées au pipeline de développement (CI/CD)
2. Accompagnement sur les projets stratégiques
? Application du référentiel sécurité dans les développements sur les projets majeurs
? Conseils en sécurité applicative
? Analyse sécurité de l?architecture applicative
? Contrôles sécurité : audit de code, pentest en phase de développement
? Aide à la sécurisation durant les phases de développement
3. Accompagnement des équipes études et développement dans le choix de technologie ou framework
? Compréhension des besoins des équipes ETU/DEV et de la stratégie IT
? Participation aux réflexions et aux choix de nouvelles technologies applicatives (framework, API gateway, SSO, etc.)
? Participation à la définition des configurations des différents frameworks ou outils
? Contrôle de leur bonne mise en ?uvre
4. Maintien et évolution des outils d?analyse
? Pilotage des outils SAST, SCA et DAST : Coverity, Black Duck, Insight AppSec
? Définition et amélioration des processus d?intégration de l?outil aux processus de développement
? Configuration fonctionnelle des outils
? Promotion de l?outil et accompagnement des équipes dans l?appropriation
? Définition et amélioration des politiques d?analyse de code
? Accompagnement dans l?analyse des résultats
? Conseil sur les mesures correctives à mettre en ?uvre
5. Suivi des recommandations d?audits
? Analyse et challenge des nouvelles recommandations issues de tests d?intrusion
? Construction des plans d?action avec les équipes IT
? Pilotage du traitement des recommandations sécurité
? Reporting
6. Construction, animation et suivi du plan de sensibilisation « Sécurité dans les développements »
? Définition d?un plan de sensibilisation sécurité sur le périmètre étude et développement
? Participation au choix des méthodes de sensibilisation (workshop, CTF?) et réalisation du plan après validation par le responsable sécurité informatique
? Développement de frameworks internes ainsi que réalisation d?audits de type boîte blanche ou proposition de corrections de vulnérabilités directement dans le code
Conditions techniques
La prestation se déroulera au sein du service en charge de la sécurité informatique, en étroite collaboration avec les équipes études et développement.
Livrables attendus
La prestation pourra être amenée à produire du code dans les langages suivants :
? PHP
? Java
? SQL/LDAP
? Python
Elle sera également amenée à fournir :
? Le maintien en condition opérationnelle des outils sécurité utilisés par les développeurs (audit de code, SCA, etc.)
? L?amélioration du niveau de sécurité applicative des applications développées
? Des rapports d?audit détaillant les vulnérabilités trouvées, incluant des captures d?écran et des extraits de code
Profil candidat:
Profil recherché / prérequis
L?expertise sécurité applicative est impérative.
Compétences et connaissances attendues :
? OWASP Web Top 10
? OWASP API Security Top 10 (2023)
? OWASP LLM Top 10 (2025)
? Secure SDLC et pratiques DevSecOps (shift-left security)
? Audit technique : boîte blanche (code), boîte grise, boîte noire
? Expertise en développement : Java, PHP, AngularJS, Python
? Technologies : Spring, Quarkus, API REST, NodeJS, SOAP, Java RMI
? Expertise sécurité dans les technologies modernes d?authentification : OpenID, OAuth, Keycloak
? Environnements container / cloud-native : Docker security, Kubernetes RBAC, Network Policies, Helm chart security
? Connaissance des domaines réseau, infrastructure, développement
? Maîtrise des architectures standards techniques d?une entreprise : reverse proxy, firewall, DMZ
? Contexte international : francophone et anglophone
