Mission freelance Pentester H/F

Nous cherchons un·e Consultant·e Pentest capable de mener des audits techniques avancés et de sécuriser infrastructures, API et produits.

Le rôle est au cœur des équipes engineering & cloud, avec un vrai impact produit.

• Réaliser des tests d’intrusion multi-périmètres : web, mobile, API (REST/GraphQL), infra & cloud (WB/GB/BB).

• Identifier, exploiter et documenter des vulnérabilités techniques et logiques métier (contexte données de paiement).

• Évaluer risques & impacts (C/I/D) et proposer des remédiations pragmatiques alignées PCI DSS.

• Travailler avec les équipes produit/développement pour “Security by Design”.

• Mettre à jour standards de test & durcissement, contribuer à la veille (CVE, exploits, 0-day).

• Sensibiliser les équipes internes aux bonnes pratiques AppSec.

• Rédiger des rapports techniques (PoC propres) + synthèses exécutives.

• Contribuer aux audits PCI DSS, ISO 27001, RGPD.

• Suivre la correction des vulnérabilités et valider les correctifs.

• Stack produit : services API-first (REST/GraphQL), archi microservices, containers (Docker), orchestration (Kubernetes).

• Cloud : AWS et/ou GCP, IAM, networking, secrets management, monitoring centralisé.

• Outillage pentest : Burp Suite, ZAP, Nmap, Metasploit, sqlmap, ffuf/Gobuster, Hydra, Wireshark, Nessus/OpenVAS, nuclei.

• Dev & CI/CD : Git, revue de code, pipelines avec contrôles sécu (SAST/DAST/SCA/IaC) là où pertinent.

• Méthodo : OWASP (Web/Mobile/ASVS), PTES, CIS Benchmarks, Secure SDLC; ticketing & suivi par criticité avec SLA.

• Mode de travail : hybride (Paris + remote partiel), rituels fluides (kick-off, daily courte, debriefs).

• Culture : impact > volume de findings, PoC reproductibles, feedback rapide, accompagnement à la remédiation.