Descriptif du poste

En soutien du CISO de l'IT Production, prestation d'expertise Cybersécurité orientée AppSec. Expertise recherchée sur l'analyse sécurité de l'outillage Toolchain CICD, ainsi que sur le suivi d'adoption des outils et bonnes pratiques DevSecOps par les équipes IT.

Missions

• Accompagnement et expertise Cybersécurité dans les projets liés à l'infrastructure, et plus précisément dans le cadre de projets de type tooling AppSec / DevSecOps, et leur adoption par les équipes de développement IT

• Réalisation d'analyses de risques sur les solutions d'infrastructure de la production mutualisée du groupe

• Validation des besoins de sécurité dans le cadre des projets d'infrastructure (fiche de sécurité digitale)

• Instruction Cybersécurité dans l'adoption de nouveaux standards technologiques (AppSec, Cloud, Containers, Infrastructure as Code)

• Promouvoir la sécurité applicative dès la conception (approche shift left pour les développements internes)

• Participation à la rédaction et à la mise à jour de procédures Cyber

• (en lien avec l'équipe contrôle) Suivi et remédiation des contrôles AppSec (ex : application security baseline) lors des projets, et en mode patrimoine

• (en lien avec l'équipe gouvernance) Renforcer l'intégration et le suivi des contrôles AppSec dans les activités TPRM

Compétences nécessaires

• Expertise sur les composants et processus d'une toolchain CI / CD (Gitlab, Jenkins, Pipelines, ...)

• Connaissance de l'outillage de suivi des vulnérabilités applicatives (AVS, SCA, SAST, DAST/IAST, Audits)

• Bonnes connaissances des frameworks (OWASP) et des vulnérabilités sur les protocoles (ex : Oauth2, JWT, Websockets)

• Expérience concrète dans des contextes Cloud : Offres AWS/Azure/GCP/IBM, Infrastructure as Code, Images Containers

• Expérience prouvée en analyse de risque, avec capacité à identifier les vulnérabilités, les scénarios de risques et à proposer des mitigations applicables au contexte

• Bon niveau d'Anglais (écrit et parlé)

Compétences souhaitées

• Certification Cyber Technique telle que CISSP, CCSP, GIAC GCSA