Senior Consultant Cybersécurité - Spécialité Securité Applicative - Pentester (H/F)
CLIENT
Pour accompagner et assister les équipes études et développements à poursuivre l’intégration des bonnes pratiques en sécurité dans les développements informatiques de notre client, nous recherchons un Senior Consultant Cybersécurité - Spécialité Sécurité Applicative - Pentester (H/F) pour un client final basé à Paris.
MISSIONS
Nous cherchons une prestation ayant la double compétence sécurité et audit afin de promouvoir la sécurité dans les équipes Etudes de notre client.
- Maîtrisant les bonnes pratiques de développement sécurisé, la prestation devra s’intégrer à plusieurs équipes/projets afin d’aider dans les choix d’architecture et d’implémentation sur tous les aspects sécurité (rôle de conseil).
- En complément, des formations ciblées seront nécessaires afin de renforcer les compétences sécurités des équipes Etudes (rôle de formateur).
- La prestation devra également implémenter différents mécanismes de sécurité et traiter certaines recommandations d’audit ou des faiblesses de sécurité identifiées dans les applications (rôle de réalisation).
- Pour finir, la mission sera amenée à contrôler et tester la correction de vulnérabilité sur certaines applications ou site Web (rôle d’auditeur).
Les principales missions se découperont de la façon suivante :
I) Accompagnement sur les projets stratégiques :
- Conseils sécurité applicative,
- Analyse sécurité de l’architecture applicative,
- Contrôles sécurité (audit de code, pentest en phase de dev, ...),
- Aide à la sécurisation durant les phases de développement.
II) Accompagnement des équipes études et développements dans le choix de technologie ou framework :
- Comprendre les besoins des équipes ETU/DEV et la stratégie IT,
- Participation aux réflexions et aux choix de nouvelles technologies applicatives (framework, API Gateway, SSO, etc.),
- Participation à la définition des configurations des différents frameworks ou outils
- Contrôler leurs bonnes mises en œuvre.
III) Maintien et évolution des outils d’analyse de code (SAST) et des librairies (SCA), et d’analyse dynamique (DAST) :
- Définir et améliorer les processus d’intégration de l’outil aux processus de développement,
- Configuration fonctionnelle des outils,
- Promouvoir l’outil et accompagner les équipes études dans l’appropriation de l’outil,
- Définir et améliorer les politiques d’analyse de code,
- Accompagner les équipes études dans l’analyse des résultats,
- Conseiller les équipes études sur les mesures correctives à mettre en œuvre.
IV) Suivi des recommandations d’audits sur le périmètre des équipes études et développement :
- Analyser/challenger les nouvelles recommandations issues de tests d’intrusion,
- Construire les plans d’action afférents avec les équipes IT,
- Piloter le traitement des recommandations sécurité,
- Procéder au reporting.
V) Construction, animation et suivi du plan de sensibilisation « Sécurité dans les développements » :
- Proposer un plan de sensibilisation sécurité sur le périmètre étude et développement.
- Participer aux choix des méthodes de sensibilisation (workshop, CTF...) et réaliser ce plan une fois validé par le Responsable Sécurité Informatique.
- Contribuer au développement des frameworks et réaliser des audits de type boite blanche ou encore proposer des corrections de vulnérabilité directement dans le code.
- Nécessite une excellente maîtrise des concepts et implémentation d’OpenID et Oauth, ainsi que de fortes capacités d’analyse et de compréhension du code.
RESULTATS ATTENDUS
De façon non exhaustive, la prestation pourra être amenée à produire du code dans les langages suivants :
- PHP
- JAVA
- SQL/LDAP (pour des éventuels ajustements)
La mission consiste également à :
- Maintenir en condition opérationnelle les outils sécurité utilisés par les développeurs (audit de code, sca, etc.).
- Améliorer le niveau de sécurité applicative des applications développées.
- Produire des rapports d’audit détaillant les vulnérabilités trouvées incluant des captures d’écran, des extraits de code etc.
PRÉ-REQUIS
L’expertise sécurité applicative est essentielle pour la mission.
- Java, PHP, AngularJS, Python,
- Frameworks Spring, Quarkus, API REST, SOAP, Java RMI,
- Prévention des XSS, SQLi, Path Traversal, Sécurité des cookies, CSRF etc...
- Capacité d’audit technique (code ou applicatif),
- Expertise sécurité dans les technologies modernes d’authentification : OpendID, Oauth,
- Outil Keycloak,
- Domaines informatiques : réseau, infrastructure, développement, etc.,
- Une bonne culture des architectures standards techniques d’une entreprise (reverse proxy, firewall, DMZ),
- Contexte international : francophone et anglophone.
- Travailler sur plusieurs projets à la fois,
- Réalisation d’un reporting synthétique et à alerter à bon escient,
- Travail en équipe,
- Engagement et responsabilité.
La prestation requiert la mise en œuvre de qualités rédactionnelles, relationnelles et d’autonomie.
Elle nécessitera également des compétences en conduite de projet.
EQUIPE
- 20 personnes
PROCESS
- 1 visio ou une rencontre avec le manager et l'équipe sous forme de discussion technique
MODALITÉS
- Remote: 2 jours / semaine
- Lieu: Paris intra-muros
- Domaine: Finance
- Durée: 3 ans
- Anglais: Impératif
- Impossible de faire du Full remote ❌