Security Director - Freelance

Contexte

Entreprise B2C, customer-facing (web + mobile), recherche en urgence un.e Security Director en freelance.

Le contexte est sensible et prioritaire :

• Enjeux réglementaires en cours

• Accélératation des chantiers

• Environnement tech rapide, avec du legacy, et une maturité sécurité en consolidation

L’objectif : stabiliser immédiatement la situation, sécuriser l’existant, et structurer une roadmap plus ambitieuse

Objectifs de la mission

Track 1 – Fast Track (0–3 mois)

• Prioriser et corriger les vulnérabilités critiques côté Engineering

• Sécuriser les points d’exposition : web / mobile / API

• Renforcer les contrôles sur :

  • Authentification

  • Autorisation / droits

  • Exposition API

• Mettre en place des quick wins visibles (WAF, firewalling, protection API, OS hardening, etc.)

• Coordonner les actions post-incident et sécuriser les pratiques avec les équipes

• Rassurer / structurer la gouvernance en période tendue

Track 2 – Medium Term (3–6 mois)

• Revue complète de la surface d’attaque

• Réévaluation du niveau de maturité sécurité (assessment)

• Rechallenge de la roadmap existante (plus ambitieuse, plus agressive)

• Structuration d’un plan de sécurisation aligné avec la roadmap produit / tech

• Préparation terrain pour le futur CISO permanent

Périmètre & Organisation

• Management direct :

  • 1 Ingénieur Sécurité

  • 1 profil Infra dédié sécurité (4/5)

• Report direct : CPTO

• Pairs clés : Platform / Infra / PMO / Data / Product / Engineering

Profil recherché

Expérience indispensable

• Ex-CISO / Head of Security / Directeur Sécurité en environnement startup / scale-up hyper croissance

• Expérience en entreprise B2C customer-facing (e-commerce, marketplace, travel, app mobile, fintech B2C, etc.)

• Confort avec environnement :

  • Rapide

  • Legacy

  • Peu d’outils avancés

  • Besoin d’impact immédiat

• Habitué aux contextes post-incident / gestion de crise

Compétences techniques attendues

Profil opérationnel et technique, pas uniquement stratégique.

Doit être capable de :

• Challenger Engineering et Infra sur des sujets concrets

• Lire une architecture, comprendre le périmètre exposé

• Prioriser des remédiations réalistes

• Travailler au quotidien avec des équipes tech

Expertise attendue sur :

• Sécurisation API

• Authentification / Identity / Authorization (IAM patterns)

• Web security / App security

• Gestion surface d’attaque

• Protection multi-touchpoints (web + mobile + API)

Stack (indicatif) :

• Backend type PHP / Java / Scala

• Environnement Microsoft / Active Directory

• EDR en cours de déploiement (type SentinelOne)

• Pas de SIEM ni SOC en place

• Peu d’outillage sécurité avancé aujourd’hui

Conditions

• Démarrage : ASAP - 5 jours par semaine

• Localisation : Provence-Alpes-Côte d'Azur : idéalement 2 jours / semaine sur site au démarrage puis remote possible ensuite (déplacements pris en charge)