Mission freelance Pentester / Auditeur Sécurité Confirmé - Expert

Sapiens est une Entreprise de Services Numériques (ESN), située à proximité de la gare Saint-Lazare, spécialisée dans les métiers de l’ingénierie informatique, structuré autour de la Digitalisation, les infrastructures et Cybersécurité du système d’information.

· Agilité et organisation de la DSI

· Etude & Développement

· Infrastructure et production

· Sécurité et Cybersécurité

Sapiens accompagne ses clients dans le développement et la transformation de leurs activités depuis 2003, en nous positionnant sur des projets à forte valeur ajoutée dans des secteurs stratégiques (Grands comptes et ETI) tels que la banque de financement et d’investissement, l’assurance, les médias, l’industrie et le luxe.

Rejoindre Sapiens, c’est intégrer une société qui valorise tes compétences, soutient ton potentiel et t’offre l’opportunité de relever de nouveaux défis au sein d’équipes dynamiques et passionnées.

Nous recherchons plusieurs profils de PENTESTER pour notre client grand compte dans le secteur de la télécommunication.

Mission d’audit de sécurité complète sur plusieurs périmètres exposés et internes, incluant : applications de vente et de commande (sites web, API, application mobile), réseau social d’entreprise, connexions à distance, environnements internes (machines virtuelles Windows et Linux sur VMware et Azure, réseaux VLAN, wifi), postes de travail bureautiques, environnements magasins (postes caisses), audit de complexité des mots de passe Active Directory, et environnements interconnectés avec un partenaire externe. L’objectif est d’identifier et d’évaluer les vulnérabilités, d’établir un plan de remédiation, et de vérifier l’application des bonnes pratiques de développement web et mobile. Les audits seront menés en « boîte blanche » avec une liste de prérequis à établir.

• Réaliser un audit de sécurité des applications de vente et de commande : analyse statique du code (SAST), revue manuelle des composants critiques, analyse de composition logicielle (SCA), évaluation de la gestion des secrets et configurations sensibles, audit d’API backend, tests dynamiques, recommandations de sécurité, vérifications des bonnes pratiques de développement sécurisé.

• Auditer les sites internet : tests dynamiques, revue de conception applicative avec code source, identification des vulnérabilités selon OWASP, analyse des mécanismes d’authentification, gestion des sessions et droits d’accès, évaluation de la protection des données sensibles, vérification de la configuration de sécurité côté client et serveur.

• Auditer les environnements internes : machines virtuelles, réseaux, wifi, postes de travail bureautiques.

• Auditer les environnements magasins : évaluation de l’étanchéité entre magasins et siège, audit des postes caisses.

• Auditer la complexité des mots de passe Active Directory.

• Auditer les environnements interconnectés avec le partenaire externe (évaluation de l’étanchéité).

• Établir un plan de remédiation des vulnérabilités identifiées.

• Rédiger les livrables d’audit et recommandations.

• Méthodologies d’audit « boîte blanche »

• Analyse statique (SAST) et dynamique

• Revue de code

• Analyse de composition logicielle (SCA)

• Référentiels de sécurité OWASP et bonnes pratiques de développement sécurisé

• Environnements cloud VMware et Azure

• Réseaux VLAN, wifi

• Active Directory

• Postes de travail bureautiques et environnements magasins

• Interconnexions partenaires

• Rapports d’audit détaillés pour chaque périmètre (applications, sites web, API, infrastructures, magasins, Active Directory, interconnexions partenaires)

• Plan de remédiation des vulnérabilités identifiées

• Liste des prérequis nécessaires à la réalisation des audits

• Compétences Niveau OWASP Expert Maîtrise des méthodologies d’audit « White-box security testing »

• Expert Audit de sécurité Expert Bonnes pratiques de développement sécurisé

• Expert Infrastructures Windows/Linux

• Expert Audit de complexité des mots de passe et sécurité des postes de travail

• Confirmé Azure

• Confirmé Analyse de composition logicielle (SCA)

• Confirmé Environnements cloud Confirmé VLAN

• Confirmé Mobiles

• Confirmé Interconnexions partenaires

• Confirmé VMware

• Confirmé Rédaction de rapports d’audit et recommandations de remédiation

• Confirmé Active Directory Expert Revue de code

• Confirmé Applications web

• Analyse statique (SAST) et dynamique Confirmé

• Expert Wifi Confirmé