Ingénieur Sécurité Applicative

Objectif : promouvoir et intégrer la sécurité applicative dans les projets, les frameworks, les pipelines CI/CD, les outils SAST/SCA/DAST et les pratiques de développement sécurisé.

Profil : 

- Expertise confirmée en sécurité applicative

- Maîtrise OWASP Web Top 10

- Maîtrise OWASP API Security Top 10

- Connaissance OWASP LLM Top 10 / risques sécurité liés aux IA, ML et LLM

- Expérience Secure SDLC / DevSecOps / shift-left security

- Capacité à réaliser des audits applicatifs : boîte blanche, boîte grise, boîte noire

- Capacité à lire, analyser et comprendre du code

- Expérience en développement Java

- Expérience en développement PHP

- Expérience en Python

- Connaissance AngularJS

- Connaissance des API REST

- Connaissance SOAP / Java RMI

- Maîtrise des concepts OpenID Connect et OAuth

- Expérience sur Keycloak

- Connaissance des outils SAST / SCA / DAST

- Expérience ou connaissance Coverity

- Expérience ou connaissance Black Duck

- Expérience ou connaissance InsightAppSec

- Capacité à accompagner des équipes développement sur la correction de vulnérabilités

- Capacité à produire des rapports d’audit détaillés

- Capacité à piloter le suivi de recommandations sécurité

- Anglais professionnel dans un contexte international

NICE-TO-HAVE (différenciants, non éliminatoires) :

- Expérience en environnement bancaire / asset management / finance

- Expérience dans la construction de standards de développement sécurisé

- Expérience d’animation de formations, workshops, CTF ou plans de sensibilisation sécurité

- Expérience CI/CD avec intégration automatisée de contrôles sécurité

- Expérience Docker security

- Expérience Kubernetes RBAC, Network Policies, Helm chart security

- Bonne compréhension des architectures entreprise : reverse proxy, firewall, DMZ

- Expérience sur Spring

- Expérience sur Quarkus

- Expérience NodeJS

- Connaissance SQL / LDAP

- Expérience de conseil architecture applicative

- Expérience sur API Gateway, SSO, frameworks internes

NIVEAU D'EXPÉRIENCE RÉELLEMENT ATTENDU :

Le niveau réel attendu est senior confirmé, avec forte autonomie.

Le profil doit pouvoir intervenir à la fois en conseil sécurité, audit applicatif, accompagnement des développeurs, configuration/pilotage d’outils DevSecOps, production de code correctif et animation de sensibilisation.

Ce n’est pas un profil uniquement pentester, ni uniquement développeur, ni uniquement consultant gouvernance sécurité.

CONTRAINTES CONTEXTUELLES :

Télétravail : 2 jours/s

Secteur : finance / asset management, client Amundi

- Environnement : service sécurité informatique ISS, interaction forte avec équipes études et développement

- Langues : français et anglais requis

- Stack / outils imposés :

  - Java, PHP, Python, AngularJS

  - Spring, Quarkus, REST, SOAP, Java RMI

  - OpenID Connect, OAuth, Keycloak

  - Coverity, Black Duck, InsightAppSec

  - Docker, Kubernetes, Helm

  - SQL / LDAP pour ajustements éventuels

- Livrables :

  - Standards et documentation sécurité

  - Exigences sécurité IA / LLM

  - Analyses d’architecture applicative

  - Audits de code / pentests applicatifs

  - Configuration et maintien des outils SAST/SCA/DAST

  - Plans d’action et suivi des recommandations

  - Rapports d’audit détaillés

  - Code ou correctifs applicatifs lorsque nécessaire