Expert Sécurité Applicative

Missions

• Conseil : choix d'architecture, sécurisation des choix technologiques, évaluation des risques

• Formation : sensibilisation et montée en compétences des équipes études et développement

• Réalisation : implémentation de mécanismes de sécurité, implémentation de mécanismes de contrôles automatisés, proposition de correction de vulnérabilités

• Audit : audit de code, tests d'intrusion applicatifs, revue de configuration, contrôles automatisés

Ils se découperont de la façon suivante :

Amélioration et maintien des standards de sécurité dans les développements

• Contribution à l’évolution des standards et bonnes pratiques de développement sécurisé, en intégrant les nouvelles technologies et les risques associés aux nouvelles menaces

• Évolution et maintien de la documentation existante

• Intégration des nouvelles menaces liées aux IA (ML/LLM) et définition de mesures de sécurité applicatives

• Participation à la rédaction des exigences de sécurité IA pour les nouveaux projets intégrant des LLM

• Identification et implémentation de nouvelles mesures de sécurité applicatives appliquées au pipeline de développement (CICD)

Accompagnement sur les projets stratégiques

• Application du référentiel sécurité dans les développements sur les projets majeurs

• Conseils sécurité applicative

• Analyse sécurité de l’architecture applicative

• Contrôles sécurité (audit de code, pentest en phase de développement, etc.)

• Aide à la sécurisation durant les phases de développement

Accompagnement des équipes études et développement dans le choix de technologie ou framework

• Compréhension des besoins des équipes études/développement et de la stratégie IT

• Participation aux réflexions et aux choix de nouvelles technologies applicatives (framework, API gateway, SSO, etc.)

• Participation à la définition des configurations des différents frameworks ou outils

• Contrôle de leurs bonnes mises en œuvre

Maintien et évolution des outils d’analyse de code (SAST) et des librairies (SCA), et d’analyse dynamique (DAST)

• Pilotage des outils d’analyse de code (Coverity), d’audit des librairies (Black Duck), et du DAST (Insight App Sec)

• Définition et amélioration des processus d’intégration de l’outil aux processus de développement

• Configuration fonctionnelle des outils

• Promotion de l’outil et accompagnement des équipes études dans l’appropriation de l’outil

• Définition et amélioration des politiques d’analyse de code

• Accompagnement des équipes études dans l’analyse des résultats

• Conseil des équipes études sur les mesures correctives à mettre en œuvre

Suivi des recommandations d’audits sur le périmètre des équipes études et développement

• Analyse/challenge des nouvelles recommandations issues de tests d’intrusion

• Construction des plans d’action afférents avec les équipes IT

• Pilotage du traitement des recommandations sécurité

• Reporting

Construction, animation et suivi du plan de sensibilisation « Sécurité dans les développements »

• Plan de sensibilisation sécurité sur le périmètre étude et développement

• Participation au choix des méthodes de sensibilisation (workshop, CTF…) et réalisation de ce plan une fois validé par le Responsable Sécurité Informatique

• Développement des frameworks internes ainsi qu’à la réalisation des audits de type boîte blanche ou encore proposer des corrections de vulnérabilité directement dans le code

Outils & Environnement

• Concepts et implémentation d’OpenID et OAuth

• Analyse et compréhension du code

• Langages : PHP, Java, SQL/LDAP (pour des éventuels ajustements), Python

• Outils d’analyse de code : Coverity (SAST), Black Duck (SCA), Insight App Sec (DAST)

• Frameworks : Spring, Quarkus, API REST, NodeJS, SOAP, Java RMI

• Technologies modernes d’authentification : OpenID, OAuth, outil Keycloak

• Container / Cloud-native : Docker security, Kubernetes RBAC, Network Policies, Helm chart security

• Domaines informatiques : réseau, infrastructure, développement

• Architectures standards techniques d’entreprise : reverse proxy, firewall, DMZ

Conditions de travail

• La prestation se déroulera au sein du service en charge de la sécurité informatique, en étroite collaboration avec les équipes études et développement.

1. Expertise sécurité applicative impérative
2. Connaissance des OWASP Web Top 10
3. Connaissance des OWASP API Security Top 10 (2023)
4. Connaissance des OWASP LLM Top 10 (2025)
5. Maîtrise du Secure SDLC et des pratiques DevSecOps (shift-left security)
6. Expérience en audit technique : boîte blanche (code), boîte grise, boîte noire
7. Expertise dans le développement avec les langages : Java, PHP, AngularJS, Python
8. Maîtrise des technologies et frameworks : Spring, Quarkus, API REST, NodeJS, SOAP, Java RMI
9. Expertise sécurité dans les technologies modernes d’authentification : OpenID, Oauth, avec l’outil Keycloak
10. Connaissances en Container / Cloud-native : sécurité Docker, Kubernetes RBAC, Network Policies, Helm chart security
11. Connaissances des domaines informatiques : réseau, infrastructure, développement
12. Connaissance des architectures standards techniques d’entreprise : reverse proxy, firewall, DMZ
13. Contexte international : maîtrise du français et de l’anglais