AppSec Gestion des Vulnérabilités

Contexte de la mission : 

Au sein de la DSI Corporate BPCE SA, la sécurité est intégrée au cœur de nos cycles de développement et d'opérations (DevSecOps). La gestion proactive des vulnérabilités est une activité fondamentale pour protéger nos actifs applicatifs et infrastructurels. Notre équipe DevSecOps est au centre de ce dispositif, en charge d'orchestrer la détection, l'analyse et la remédiation des failles de sécurité sur l'ensemble de notre périmètre technologique.

Face à une augmentation constante des menaces et à la nécessité d'accélérer nos cycles de correction, nous cherchons à renforcer notre capacité de pilotage. Nous recrutons un prestataire expert pour intégrer l'équipe et prendre en charge l'accompagnement des équipes de développement dans la remédiation des vulnérabilités, tout en assurant un suivi rigoureux et une communication transparente vers le management.

Expertises spécifiques : 

Missions :
-    Pilotage et accompagnement de la remédiation :
o    Analyser et qualifier les vulnérabilités remontées par nos outils de scan (SAST, SCA) et les audits externes.
o    Animer la priorisation des failles en collaboration avec les équipes techniques, en fonction de leur criticité, de leur exploitabilité et du contexte métier de l'actif concerné.
o    Assurer l'assignation claire de chaque vulnérabilité à une équipe et un responsable.
o    Accompagner les équipes dans la définition et le suivi des plans d'action, en apportant un soutien méthodologique et en facilitant la résolution des blocages.

-    Suivi, reporting et amélioration continue :
o    Maintenir et fiabiliser notre outil de suivi consolidé des vulnérabilités.
o    Produire les tableaux de bord et les indicateurs de performance (KPIs) destinés aux différentes instances de pilotage (comités opérationnels, revues de sécurité, direction).
o    Identifier et escalader les risques de non-respect des délais de correction, les vulnérabilités complexes ou "orphelines".
o    Participer activement à l'amélioration continue de nos processus et outils de gestion des vulnérabilités pour gagner en efficacité et en pertinence.

-    Qualités personnelles :
o    Rigueur et méthode : Capacité à assurer un suivi précis et structuré dans un environnement complexe et volumineux.
o    Excellent relationnel et communication : Aptitude à dialoguer avec des profils variés (développeurs, tech lead, chefs de projet, management) et à vulgariser des sujets techniques.
o    Leadership et proactivité : Force de proposition pour animer le processus, mobiliser les équipes et trouver des solutions pragmatiques.
o    Orientation service et résolution de problèmes : Volonté d'aider les équipes à atteindre leurs objectifs de sécurité.

Compétences clés :
-    Compétences et expérience :
o    Expérience significative (6 ans et plus) en cybersécurité opérationnelle, avec une spécialisation avérée en gestion des vulnérabilités.
o    Excellente maîtrise des concepts et standards de sécurité : CVSS, CVE, CWE, Top 10 OWASP.
o    Connaissance pratique des outils de sécurité DevSecOps : scanners de code (SonarQube, Checkmarx SAST), d'analyse de composition (Checkmarx SCA).
o    Capacité à interagir avec des APIs pour automatiser la collecte et l'agrégation de données de sécurité.