Expert Sécurité des Applications et API

Contexte

Dans le cadre des activités de l'équipe responsable de la sécurité des applications chez BPCE IT, nous souhaitons renforcer notre expertise en sécurité des applications (AppSec), en DevSecOps et en sécurité des API. Nous recherchons un expert technique pour nous aider à identifier et évaluer les risques Cyber, ainsi qu'à mettre en place des solutions de sécurité adaptées à nos besoins et aux contextes de l'entreprise.

Missions

• Réaliser un audit complet de sécurité des applications développées en interne et des solutions tierces utilisées.

• Identifier les vulnérabilités connues (ex. : OWASP Top Ten) et évaluer les risques associés.

• Analyser et interpréter les résultats issus des outils SAST, SCA, DAST.

• Fournir des rapports détaillés présentant les vulnérabilités identifiées, leur gravité, et des recommandations claires pour la remédiation.

• Présenter les résultats à des équipes techniques de développement ainsi qu’aux responsables de la sécurité.

• Analyser les processus de développement et les pratiques DevOps en place pour identifier les lacunes en matière de sécurité.

• Proposer et mettre en place des plans de remédiation.

• Participer à l'élaboration et à la mise en place de la stratégie de sécurisation des API (sensibilisation, protection, contrôle, détection et monitoring).

• Réaliser des analyses approfondies des API existantes, en vérifiant les mécanismes d’authentification et d'autorisation, ainsi que la protection contre des attaques telles que l'injection SQL, la falsification de requêtes intersites (CSRF), et d'autres vulnérabilités.

• Accompagner les équipes de développement dans la résolution des vulnérabilités identifiées, avec un focus sur le renforcement de la sécurité par conception.

• Rédiger les guides de sécurité des APIs, incluant des politiques d'accès, des protocoles de sécurité, et des processus de gestion des incidents.

• Assurer un reporting régulier sur l'état de la sécurité des APIs et mettre à jour la documentation en fonction des évolutions.

• Assister, conseiller et former les développeurs aux pratiques de développement sécurisé afin de limiter les risques d'introduction de vulnérabilités dans le code mis en production.

• Participer à la veille en vulnérabilités et à la maintenance des outils en place.

• Auditer le code produit par les développeurs, manuellement et/ou à l’aide d’outils.

• Participer à la maintenance des outils de sécurité.

Outils & Environnement

• Outils de SAST, SCA, RASP, DAST

• Agrégateurs de vulnérabilités

• Pratiques DevSecOps

• Veille en vulnérabilités sur outils, librairies tierces, etc.

Compétences techniques

• Sécurité des API — Expert (impératif)

• Sécurité des applications — Expert (impératif)

• Analyse et gestion de vulnérabilités — Expert (impératif)

• SAST & DAST, SCA — Confirmé (important)

• Anglais professionnel (impératif)

1. Expert en sécurité des API
2. Expert en sécurité des applications
3. Expert en analyse et gestion de vulnérabilités
4. Confirmé en SAST & DAST, SCA
5. Maîtrise de l'anglais professionnel
6. Capacité à assister, conseiller et former les développeurs aux pratiques de développement sécurisé
7. Expérience en audit de code manuel et/ou outillé
8. Connaissance des outils de SAST, SCA, RASP, DAST et des agrégateurs de vulnérabilités
9. Participation à la veille en vulnérabilités sur outils et librairies tierces
10. Capacité à accompagner les équipes dans la remédiation des vulnérabilités