Trouvez votre prochaine mission ou futur job IT.

Description et localisation La prestation devra disposer de la double expertise sécurité et développement afin de promouvoir la sécurité au sein des équipes Études et Développement de la société. Les principaux objectifs de la prestation sont : • Conseil : choix d'architecture, sécurisation des choix technologiques, évaluation des risques • Formation : sensibilisation et montée en compétences des équipes études et développement • Réalisation : implémentation de mécanismes de sécurité, implémentation de mécanismes de contrôles automatisés, proposition de correction de vulnérabilités • Audit : audit de code, tests d'intrusion applicatifs, revue de configuration, contrôles automatisés Ils se découperont de la façon suivante : Amélioration et maintien des standards de sécurité dans les développements La prestation contribuera à l’évolution des standards et bonnes pratiques de développement sécurisé, en intégrant les nouvelles technologies, et les risques associés aux nouvelles menaces : - Évolution et maintien de la documentation existante - Intégration des nouvelles menaces liées aux IA (ML/LLM) et définition de mesures de sécurité applicatives - Participation à la rédaction des exigences de sécurité IA pour les nouveaux projets - Identification et implémentation de nouvelles mesures de sécurité dans les pipelines de développement (CI/CD) - Accompagnement sur les projets stratégiques La prestation s’assurera de l’application du référentiel sécurité dans les développements sur les projets majeurs et pourra fournir des conseils sur les choix d’architectures applicatives. • Conseils en sécurité applicative • Analyse sécurité de l’architecture applicative • Contrôles sécurité (audit de code, pentest en phase de développement, etc.) • Aide à la sécurisation durant les phases de développement Accompagnement des équipes études et développement dans le choix de technologies ou frameworks • Compréhension des besoins des équipes et de la stratégie IT • Participation aux choix de nouvelles technologies applicatives (framework, API gateway, SSO, etc.) • Participation à la définition des configurations des outils • Contrôle de leur bonne mise en œuvre Maintien et évolution des outils d’analyse de code (SAST), des librairies (SCA) et des outils d’analyse dynamique (DAST) La prestation prendra en charge le pilotage des outils d’analyse de code, d’analyse des librairies et de sécurité applicative : • Définition et amélioration des processus d’intégration aux cycles de développement • Configuration fonctionnelle des outils • Promotion et accompagnement des équipes dans leur utilisation • Définition des politiques d’analyse de code • Accompagnement dans l’analyse des résultats • Conseil sur les mesures correctives à mettre en œuvre Suivi des recommandations d’audits • Analyse et challenge des recommandations issues de tests d’intrusion • Construction des plans d’action avec les équipes IT • Pilotage du traitement des recommandations sécurité • Reporting Construction, animation et suivi du plan de sensibilisation « sécurité dans les développements » • Élaboration du plan de sensibilisation sécurité • Participation au choix des méthodes (workshops, CTF, etc.) et animation • Contribution aux framework internes et réalisation d’audits (boîte blanche, etc.) • Proposition de corrections directement dans le code La prestation devra disposer des expertises suivantes : - Concepts et implémentation d’OpenID et OAuth - Analyse et compréhension du code CONDITIONS TECHNIQUES DE LA PRESTATION La prestation se déroulera au sein du service sécurité informatique, en étroite collaboration avec les équipes études et développement du groupe. RESULTATS ATTENDUS / LIVRABLES De façon non exhaustive, la prestation pourra produire du code dans les langages suivants : • PHP • Java • SQL / LDAP • Python Elle devra également fournir : - Maintien en condition opérationnelle des outils de sécurité utilisés par les équipes de développement - Amélioration du niveau de sécurité applicative - Rapports d’audit détaillant les vulnérabilités PRÉREQUIS • Expertise en sécurité applicative (AppSec) impérative • OWASP Web Top 10 • OWASP API Security Top 10 (2023) • OWASP LLM Top 10 (2025) • Secure SDLC et pratiques DevSecOps (shift-left security) • Audit technique : boîte blanche, boîte grise, boîte noire • Expertise développement : - Java, PHP, AngularJS, Python - Frameworks : Spring, Quarkus, API REST, NodeJS, SOAP • Expertise en authentification moderne : OpenID, OAuth - Outils type Keycloak • Container / Cloud-native : Docker security, Kubernetes RBAC, Network Policies, sécurité des charts Helm • Connaissances transverses : réseau, infrastructure, développement • Architectures standard d’entreprise (reverse proxy, firewall, DMZ) • Contexte international (français / anglais)

Le contexte Tu rejoins les équipes opérationnelles d'un client grand compte pour sécuriser concrètement leurs projets applicatifs et leurs solutions IA en production. Pas de PowerPoint — tu implémentes, tu configures, tu formes. Ce que tu feras vraiment Intégrer les contrôles de sécurité dans les pipelines Azure DevOps (SAST, DAST, SCA, secrets scanning, GHAS) Sécuriser les workloads IA/LLM : prompt injection, RAG, agents, guardrails sur Azure OpenAI Faire des revues de code et architecture sécurité avec les équipes dev Accompagner les équipes sur les bonnes pratiques OWASP, Secure SDLC, DevSecOps au quotidien Contribuer à la conformité (DORA, NIS2, ISO 27001)

Nous recherchons un(e) DevSecOps Engineer pour définir, mettre en œuvre et faire évoluer la stratégie DevSecOps au sein de projets IT complexes. Le rôle vise à intégrer la sécurité dès les phases de développement, tout en optimisant les processus de livraison et d’exploitation. Responsabilités principales Définir et déployer une stratégie DevSecOps alignée avec les besoins projets et les standards internes. Concevoir, développer et maintenir les outils, pipelines CI/CD et infrastructures supportant le cycle de vie applicatif. Réaliser des analyses de code , revues de sécurité et formuler des recommandations aux équipes de développement. Collaborer étroitement avec les équipes de développement, opérations et sécurité afin d’assurer des livraisons fiables et sécurisées. Participer à la supervision des environnements (réseau, serveurs, applications) et contribuer à l’amélioration continue des pratiques. Rédiger et présenter de la documentation technique claire à destination des équipes internes et des parties prenantes. Profil recherché Minimum 5 ans d’expérience en tant que DevSecOps Engineer ou rôle équivalent. Excellente compréhension du cycle de vie de développement logiciel (SDLC) . Solide expérience des outils d’automatisation et de CI/CD . Maîtrise de technologies DevSecOps telles que Git/GitHub, OpenShift, Helm, Kafka, Istio . Bonne connaissance des environnements cloud et conteneurisés. Aisance en communication écrite et orale, capacité à travailler dans des environnements multiculturels et internationaux.