Consultant AppSec & Gestion des Vulnérabilités DevSecOps @ > 5a @ Banque @ Paris

Contexte & Enjeux

Au sein de la DSI Corporate d’un grand groupe bancaire, la sécurité est pleinement intégrée aux cycles de développement et d’exploitation dans une approche DevSecOps.

La gestion proactive des vulnérabilités constitue un enjeu stratégique pour garantir la protection des actifs applicatifs et infrastructurels. L’équipe DevSecOps pilote l’ensemble du processus de détection, d’analyse et de remédiation des vulnérabilités sur un périmètre technologique étendu.

Dans un contexte marqué par une augmentation constante des menaces cyber et une exigence accrue de réduction des délais de correction, la mission vise à renforcer la capacité de pilotage de la remédiation des vulnérabilités. Le consultant accompagnera les équipes de développement dans la correction des failles identifiées tout en assurant un suivi rigoureux des actions et une communication structurée auprès des instances de pilotage et du management.

Missions détaillées

Pilotage et accompagnement de la remédiation

• Analyser et qualifier les vulnérabilités détectées par les outils de sécurité applicative et les audits externes.

• Évaluer les vulnérabilités selon leur criticité, leur exploitabilité et leur impact métier.

• Animer les processus de priorisation avec les équipes techniques concernées.

• Assurer l’identification et l’affectation de chaque vulnérabilité à un responsable de traitement clairement défini.

• Accompagner les équipes de développement dans la définition des plans de remédiation.

• Assurer le suivi des actions correctives jusqu’à leur clôture effective.

• Apporter un support méthodologique aux équipes et faciliter la levée des blocages.

• Favoriser l’adoption des bonnes pratiques de sécurité au sein des équipes projet.

Suivi, reporting et gouvernance

• Maintenir et fiabiliser les outils de suivi consolidé des vulnérabilités.

• Produire les indicateurs de performance et tableaux de bord destinés aux différentes instances de gouvernance.

• Préparer les supports de reporting pour les comités opérationnels, revues de sécurité et directions.

• Identifier les risques liés au non-respect des délais de remédiation.

• Escalader les situations critiques, les vulnérabilités complexes ou sans responsable identifié.

• Assurer la visibilité des risques cyber auprès des parties prenantes.

Amélioration continue

• Participer à l’optimisation des processus de gestion des vulnérabilités.

• Contribuer à l’amélioration des outils et des méthodes de pilotage.

• Identifier les opportunités d’automatisation afin d’améliorer l’efficacité opérationnelle.

• Participer à l’évolution des pratiques DevSecOps de l’organisation.

Environnement technique

Référentiels et standards sécurité

• CVSS

• CVE

• CWE

• OWASP Top 10

Outils de sécurité applicative

• SonarQube

• Checkmarx SAST

• Checkmarx SCA

DevSecOps & Automatisation

• Analyse statique de code (SAST)

• Software Composition Analysis (SCA)

• Intégration des contrôles sécurité dans les chaînes DevSecOps

• Exploitation et intégration d’APIs pour l’automatisation de la collecte et de l’agrégation des données de sécurité

Informations complémentaires

• Localisation : Paris

• Télétravail : 2 jours par semaine

• Démarrage : Juillet 2026

• Durée : 12 mois

• Langue : Français courant

Profil recherché

Expérience

• Minimum 5 années d’expérience en cybersécurité opérationnelle.

• Expérience significative en gestion des vulnérabilités applicatives et infrastructures.

• Expérience dans des environnements DevSecOps.

• Maîtrise des processus de remédiation et de pilotage des risques sécurité.

Compétences techniques

• Excellente connaissance des standards de gestion des vulnérabilités (CVSS, CVE, CWE).

• Bonne maîtrise des risques applicatifs et des vulnérabilités du Top 10 OWASP.

• Expérience des outils SonarQube, Checkmarx SAST et Checkmarx SCA.

• Capacité à exploiter des APIs pour automatiser les traitements et consolider les données sécurité.

• Compréhension des cycles de développement logiciel et des pratiques DevSecOps.

Soft Skills

• Grande rigueur organisationnelle et méthodologique.

• Excellentes capacités de communication écrite et orale.

• Aptitude à interagir avec des interlocuteurs variés : développeurs, Tech Leads, chefs de projet, équipes sécurité et management.

• Leadership naturel et capacité à fédérer les équipes autour des enjeux de sécurité.

• Forte orientation service et résolution de problèmes.

• Proactivité et force de proposition.