Expert Senior – Sécurité Applicative & Intelligence Artificielle

Expert Senior – Sécurité Applicative & Intelligence Artificielle

Au sein de la Direction des Systèmes d'Information d'un grand groupe international, rattaché(e) à l'équipe CISO, vous êtes le/la référent(e) sécurité applicative et sécurité de l'Intelligence Artificielle. Votre mission principale est d'accompagner les équipes de développement logiciel et les équipes IA dans la conception, le développement et l'exploitation de produits numériques et IA, en intégrant les exigences de sécurité, de conformité réglementaire et de gouvernance de l'IA (security & privacy by design).

Dans un contexte de forte croissance des usages IA et de développement de solutions destinées à des métiers réglementés, vous jouez un rôle clé dans la définition du cadre méthodologique de sécurité IA, le pilotage de la transformation sécurité IA, l'acculturation des équipes, ainsi que le déploiement et la promotion des meilleures pratiques. Ce rôle est résolument orienté produit, accompagnement et montée en maturité.

Responsabilités Principales

Sécurité applicative et IA – Outillage

• Participer à la définition, au déploiement et au maintien des outils de sécurité du code et des pipelines : SAST, DAST, SCA, secrets scanning, IaC scanning.

• Contribuer à la sélection et à l'intégration d'outils de sécurité des systèmes d'IA (analyse de vulnérabilité des modèles, détection de prompt injection, data poisoning, model leakage) : Microsoft PyRIT, DeepTeam, Mindgard, HiddenLayer, Promptfoo, Giskard.

• Intégrer les contrôles de sécurité dans les pipelines CI/CD et MLOps.

• Assurer l'appropriation et l'industrialisation des outils et des meilleures pratiques de sécurité par les équipes Produit, Data et IA.

Exigences techniques et architecture

• Définir, maintenir et promouvoir les standards de sécurité applicative et IA : secure coding guidelines, secure ML lifecycle, bonnes pratiques GenAI, NIST AI RMF, MITRE ATLAS, référentiels OWASP (Web Applications, LLMs, API, ASVS).

• Formaliser les exigences de sécurité applicables aux applications cloud et API, aux modèles ML/LLM et aux jeux de données.

• Réaliser ou piloter des revues sécurité du code et des analyses d'architecture (applicatives et IA).

• Participer aux threat modeling (applicatif et IA, notamment avec MITRE ATLAS).

• Assurer la sécurité des agents IA (sécurité MCP, gestion des identités et contrôle de l'autonomie des agents).

Sécurité des produits IA pour métiers réglementés

• Intégrer les contraintes spécifiques aux métiers réglementés : confidentialité et secret professionnel, traçabilité, auditabilité, explicabilité, contrôle des accès et séparation des données.

• Accompagner la sécurisation de cas d'usage IA sensibles : assistants IA, RAG, analyse documentaire, aide à la décision, agents IA.

• Contribuer à la mise en œuvre de mécanismes de journalisation, supervision et contrôle des usages IA.

Processus, pédagogie et montée en maturité

• Intégrer la sécurité dans les processus DevSecOps et MLSecOps.

• Contribuer à la définition et l'exécution des processus de gestion des vulnérabilités, des dépendances open source et de sécurisation des corpus de connaissance.

• Développer des guides, patterns et bonnes pratiques pour les équipes.

• Animer des actions de sensibilisation et d'acculturation à la sécurité IA auprès des équipes Produit, Data et IA.

• Assurer le mentorat des équipes sécurité et IA.

Pilotage et Reporting

• Piloter l'application du cadre de sécurité IA pour l'ensemble des plateformes du groupe.

• Piloter la transformation sécurité IA (change management, adoption, formation des équipes).

• Piloter le programme AI Red Teaming (continu et ponctuel).

• Assurer le reporting stratégique auprès de la direction (CISO, CTO, CIO).

Conformité et gouvernance

• Accompagner les équipes dans la conformité aux cadres réglementaires et normatifs IA et sécurité : ISO 27001, ISO 42001, RGPD, EU AI Act, cadres internes de gouvernance IA.

• Contribuer aux audits internes et externes.

Supervision

• Contribuer à la détection et à la gestion des incidents de sécurité applicative ou IA.

• Participer aux analyses post-incident et aux plans d'amélioration continue.

Interactions Clés

• Équipes de développement logiciel

• Équipes Data / IA / Data Science

• Équipes Produit et représentants des métiers

• Architectes IT, Cloud et Data

• Risk Management, Privacy et Conformité

• Fournisseurs et partenaires technologiques

Formation et expérience

• Bac +5 (école d'ingénieur, université ou équivalent) en informatique, cybersécurité, data/IA ou domaine connexe.

• 8 à 10 ans d'expérience minimum en cybersécurité, dont une expérience significative en sécurité applicative et une exposition concrète aux environnements IA / Data / ML.

• Expérience en environnements Agile, DevSecOps, cloud et MLSecOps.

Compétences techniques

• Sécurité applicative : secure coding, OWASP, API security, CI/CD, DevSecOps, containers, Kubernetes, cloud.

• Sécurité de l'IA et de la GenAI : architectures ML/LLM/RAG/Agents, risques IA (biais, empoisonnement, exfiltration, hallucinations, prompt injection), sécurisation des données, des modèles et des résultats.

• Cadres réglementaires et normatifs : NIST AI Risk Management Framework, MITRE ATLAS, référentiels OWASP, MLSecOps.

• Outils spécialisés IA : Promptfoo, Microsoft PyRIT, Mindgard, HiddenLayer, Giskard, DeepTeam.

• Sécurité des agents IA : sécurité MCP, écosystème agentique.

• Expérience des environnements Microsoft Azure et des outils associés (Azure DevOps, GitHub, GHAS, Defender for Cloud) appréciée.

• Certifications appréciées : cybersécurité (CISSP, CISM, GIAC) et IA (AAISM, ISO 42001 LA/LI, GIAC AI).

Compétences comportementales

• Leadership et influence transverse.

• Capacité à fédérer et travailler avec des équipes pluridisciplinaires.

• Excellentes capacités de communication, de pédagogie et de vulgarisation.

• Approche pragmatique, orientée produit et delivery.

• Esprit de synthèse, rigueur et sens des priorités.

• Curiosité, veille technologique et capacité d'adaptation à des sujets émergents.

• Aisance dans des environnements en construction et non standardisés.

• Capacité à initier et gérer le changement.

Informations Pratiques

• Langues : anglais professionnel requis (documentation, échanges internationaux).