Job Vacancy Ingénieur sécurité des chaines CICD et du code applicative (SCA, SAST, DAST, RASP/ADR)

Le consultant aura pour mission principale d'apporter son expertise pour :

Analyse et Recommandations Stratégiques :

• Effectuer une veille sur le marché pour faire un premier état de l'art de ces solutions, voir retour d'expérience.

• Évaluer l'utilité et la pertinence des solutions SAST, DAST, SCA et/ou ADR/RASP dans le contexte spécifique (technologies utilisées, maturité des équipes, enjeux de sécurité).

• Évaluer la nécessité d'une plateforme de sécurité applicative spécialisée ou l'opportunité d'intégrer ces fonctionnalités à des outils existants (ex: plateformes CNAPP, outils de gestion de vulnérabilités).

• Proposer une stratégie d'intégration de ces outils, dans l'écosystème existant en adéquation avec les objectifs de sécurité et les contraintes opérationnelles.

Analyse et Préconisation d'Intégration CI/CD :

• Analyser en profondeur les chaînes CI/CD existantes (outils, pipelines) afin d'identifier les points d'intégration optimaux pour les solutions de sécurité applicative.

• Préconiser un mode d'intégration technique et organisationnel qui minimise l'impact sur les développeurs tout en maximisant la détection des vulnérabilités.

Préparation du Cahier des Charges pour Appel d'Offres :

• Sur la base des analyses et recommandations, élaborer un cahier des charges détaillé pour le lancement d'un appel d'offres auprès des éditeurs de solutions de sécurité applicative.

(EN OPTION) Un deuxième volet pourra consister à implémenter la solution :

Conception, Configuration et Optimisation des Outils :

• Accompagner les équipes techniques dans la conception (HLD, LLD), la mise en œuvre et la configuration initiale de la solution.

• Définir les meilleures pratiques de configuration des outils retenus pour optimiser la pertinence des résultats (réduction des faux positifs, priorisation des vulnérabilités critiques).

Définition des Processus de Traitement des Vulnérabilités :

• Proposer des mécanismes de tri, de priorisation, de qualification et de suivi des vulnérabilités, en tenant compte de la capacité de correction des équipes de développement.

• Élaborer des processus clairs et efficaces pour le traitement des "findings" (vulnérabilités détectées) par les développeurs.

• Mettre en place des indicateurs de suivi de la remédiation.

Transfert de Compétences et Formation :

• Assurer la formation et le transfert de compétences auprès de l'architecte, de l'exploitant et de l'ingénieur gouvernance en charge des sujets de sécurité applicative.

Exemples de livrables produits :

• Rapport d'analyse du contexte, de la chaîne CI/CD, des besoins en sécurité applicative et de veille technologiques sur les solutions pouvant y répondre

• Document de recommandations stratégiques et techniques pour le choix et l'intégration des outils SAST/DAST/ADR

• Architecture cible et plan d'intégration détaillé dans les chaînes CI/CD, documentation des processus de gestion et de traitement des vulnérabilités

• Préparation à l'appel d'offre : cahier des charges, proposition d'un environnement de POC et du cahier de test

• Documentation des processus de gestion et de traitement des vulnérabilités

• Accompagnement et ateliers de transfert de compétences aux équipes internes