Senior Consultant Cybersécurité - Spécialité Securité Applicative - Pentester (H/F)

CLIENT

Pour accompagner et assister les équipes études et développements à poursuivre l’intégration des bonnes pratiques en sécurité dans les développements informatiques de notre client, nous recherchons un Senior Consultant Cybersécurité - Spécialité Sécurité Applicative - Pentester (H/F) pour un client final basé à Paris.
‍

MISSIONS

Nous cherchons une prestation ayant la double compétence sécurité et audit afin de promouvoir la sécurité dans les équipes Etudes de notre client.
‍

• Maîtrisant les bonnes pratiques de développement sécurisé, la prestation devra s’intégrer à plusieurs équipes/projets afin d’aider dans les choix d’architecture et d’implémentation sur tous les aspects sécurité (rôle de conseil).
  ‍
• En complément, des formations ciblées seront nécessaires afin de renforcer les compétences sécurités des équipes Etudes (rôle de formateur).
  ‍
• La prestation devra également implémenter différents mécanismes de sécurité et traiter certaines recommandations d’audit ou des faiblesses de sécurité identifiées dans les applications (rôle de réalisation).
  ‍
• Pour finir, la mission sera amenée à contrôler et tester la correction de vulnérabilité sur certaines applications ou site Web (rôle d’auditeur).
  ‍

Les principales missions se découperont de la façon suivante :
‍

I) Accompagnement sur les projets stratégiques :

• Conseils sécurité applicative,
• Analyse sécurité de l’architecture applicative,
• Contrôles sécurité (audit de code, pentest en phase de dev, ...),
• Aide à la sécurisation durant les phases de développement.
  ‍

II) Accompagnement des équipes études et développements dans le choix de technologie ou framework :
‍

• Comprendre les besoins des équipes ETU/DEV et la stratégie IT,
• Participation aux réflexions et aux choix de nouvelles technologies applicatives (framework, API Gateway, SSO, etc.),
• Participation à la définition des configurations des différents frameworks ou outils
• Contrôler leurs bonnes mises en œuvre.
  ‍‍

III) Maintien et évolution des outils d’analyse de code (SAST) et des librairies (SCA), et d’analyse dynamique (DAST) :
‍

• Définir et améliorer les processus d’intégration de l’outil aux processus de développement,
• Configuration fonctionnelle des outils,
• Promouvoir l’outil et accompagner les équipes études dans l’appropriation de l’outil,
• Définir et améliorer les politiques d’analyse de code,
• Accompagner les équipes études dans l’analyse des résultats,
• Conseiller les équipes études sur les mesures correctives à mettre en œuvre.
  ‍

IV) Suivi des recommandations d’audits sur le périmètre des équipes études et développement :
‍

• ‍Analyser/challenger les nouvelles recommandations issues de tests d’intrusion,
• Construire les plans d’action afférents avec les équipes IT,
• Piloter le traitement des recommandations sécurité,
• Procéder au reporting.
  ‍

V) Construction, animation et suivi du plan de sensibilisation « Sécurité dans les développements » :

• Proposer un plan de sensibilisation sécurité sur le périmètre étude et développement.
• Participer aux choix des méthodes de sensibilisation (workshop, CTF...) et réaliser ce plan une fois validé par le Responsable Sécurité Informatique.
• Contribuer au développement des frameworks et réaliser des audits de type boite blanche ou encore proposer des corrections de vulnérabilité directement dans le code.
• Nécessite une excellente maîtrise des concepts et implémentation d’OpenID et Oauth, ainsi que de fortes capacités d’analyse et de compréhension du code.

‍

RESULTATS ATTENDUS

De façon non exhaustive, la prestation pourra être amenée à produire du code dans les langages suivants :

• PHP
• JAVA
• SQL/LDAP (pour des éventuels ajustements)

La mission consiste également à :

• Maintenir en condition opérationnelle les outils sécurité utilisés par les développeurs (audit de code, sca, etc.).
• Améliorer le niveau de sécurité applicative des applications développées.
• Produire des rapports d’audit détaillant les vulnérabilités trouvées incluant des captures d’écran, des extraits de code etc.

‍

PRÉ-REQUIS

L’expertise sécurité applicative est essentielle pour la mission.

• Java, PHP, AngularJS, Python,
• Frameworks Spring, Quarkus, API REST, SOAP, Java RMI,
• Prévention des XSS, SQLi, Path Traversal, Sécurité des cookies, CSRF etc...
• Capacité d’audit technique (code ou applicatif),
• Expertise sécurité dans les technologies modernes d’authentification : OpendID, Oauth,
• Outil Keycloak,
• Domaines informatiques : réseau, infrastructure, développement, etc.,
• Une bonne culture des architectures standards techniques d’une entreprise (reverse proxy, firewall, DMZ),
• Contexte international : francophone et anglophone.
• Travailler sur plusieurs projets à la fois,
• Réalisation d’un reporting synthétique et à alerter à bon escient,
• Travail en équipe,
• Engagement et responsabilité.

La prestation requiert la mise en œuvre de qualités rédactionnelles, relationnelles et d’autonomie.
Elle nécessitera également des compétences en conduite de projet.

‍
EQUIPE

• 20 personnes
  ‍

PROCESS

• 1 visio ou une rencontre avec le manager et l'équipe sous forme de discussion technique

‍

MODALITÉS

• Remote: 2 jours / semaine
• Lieu: Paris intra-muros
• Domaine: Finance
• Durée: 3 ans
• Anglais: Impératif
• Impossible de faire du Full remote ❌