Trouvez votre prochaine offre d’emploi ou de mission freelance DevSecOps à Paris

Dans un contexte hybride combinant infrastructures on premise et cloud public, Nous sommes à la recherche d'un expert AppSec / DevSecOps afin de renforcer la sécurité des plateformes conteneurisées et d’industrialiser les pratiques de sécurité dès la conception des solutions. Objectifs : Sécuriser les environnements conteneurisés. Intégrer la sécurité dans les chaînes CI/CD. Mettre en place les contrôles et indicateurs de sécurité. Accompagner les équipes sur les pratiques DevSecOps. Assurer la gestion et la remédiation des vulnérabilités.

Fed IT est un cabinet de recrutement dédié aux métiers de l'informatique, des systèmes d'information et de la transformation digitale : infrastructure, chefferie de projet, data, cybersécurité, développement et top management. Dans le cadre du développement de nombreux projets logiciels, le client renforce son département sécurité informatique et recrute un ou une Ingénieur DevSecOps. Le poste est à pourvoir en CDI, et est basé à Paris 17. Rattaché(e) au responsable de la sécurité opérationnelle, vous participerez à la sécurisation et au maintien des standards de sécurité liés au développements logiciels. A ce titre vos principales responsabilités seront les suivantes : - Intégrer la sécurité dès la conception et tout au long du cycle de vie des applications (Shift Left Security). - Automatiser les processus de déploiement, de monitoring et de sécurité (CI/CD, IaC). - Collaborer avec les équipes Dev, Ops et Sécurité pour implémenter les meilleures pratiques DevSecOps. - Configurer et maintenir les outils de sécurité (SAST, DAST, SCA, etc.). - Surveiller et analyser les vulnérabilités, proposer et implémenter des correctifs. - Participer à l'amélioration continue des infrastructures cloud). - Documenter les processus, les bonnes pratiques et les procédures de sécurité.

Dans le cadre du renforcement de la gouvernance sécurité et de l'intégration des pratiques DevSecOps, nous recherchons un Consultant DevSecOps Expert capable d'accompagner les équipes dans la définition, la mise en œuvre et l'amélioration continue des processus de sécurité applicative. Missions Réaliser le cadrage et l'analyse des pratiques de sécurité existantes. Produire et piloter les dossiers de sécurité conformes aux exigences de l'entreprise. Définir un cadre de gouvernance DevSecOps pragmatique et opérationnel. Formaliser les rôles et responsabilités (RACI), les contrôles de sécurité et les indicateurs de pilotage. Accompagner les équipes de développement, d'architecture et d'exploitation dans l'adoption des bonnes pratiques. Challenger les choix techniques, les outils et les prestations externes sous l'angle de la sécurité. Contribuer aux arbitrages technologiques et organisationnels. Assurer le suivi des actions et l'amélioration continue du dispositif de sécurité. Cette mission s'inscrit dans un contexte stratégique de structuration des pratiques de sécurité et d'amélioration continue des processus DevSecOps au sein de la DSI.

Je suis Sheeranaze MEHENTAL, Consultante en recrutement au sein de FED IT, cabinet de recrutement spécialisé sur les métiers des systèmes d'information et de la transformation digitale : infrastructure, chefferie de projet, data, cybersécurité, développement et top management. Je recrute pour mon client basé à Paris 17 un DevSeCops H/F H/F dans le cadre d'un CDI. Rattaché(e) au responsable de la sécurité opérationnelle, vous participerez à la sécurisation et au maintien des standards de sécurité liés au développements logiciels. A ce titre vos principales responsabilités seront les suivantes : - Intégrer la sécurité dès la conception et tout au long du cycle de vie des applications (Shift Left Security). - Automatiser les processus de déploiement, de monitoring et de sécurité (CI/CD, IaC). - Collaborer avec les équipes Dev, Ops et Sécurité pour implémenter les meilleures pratiques DevSecOps. - Configurer et maintenir les outils de sécurité (SAST, DAST, SCA, etc.). - Surveiller et analyser les vulnérabilités, proposer et implémenter des correctifs. - Participer à l'amélioration continue des infrastructures cloud). - Documenter les processus, les bonnes pratiques et les procédures de sécurité.

Contexte de la mission : la sécurité est intégrée au cœur de nos cycles de développement et d'opérations (DevSecOps). La gestion proactive des vulnérabilités est une activité fondamentale pour protéger nos actifs applicatifs et infrastructurels. Notre équipe DevSecOps est au centre de ce dispositif, en charge d'orchestrer la détection, l'analyse et la remédiation des failles de sécurité sur l'ensemble de notre périmètre technologique. Face à une augmentation constante des menaces et à la nécessité d'accélérer nos cycles de correction, nous cherchons à renforcer notre capacité de pilotage. Nous recrutons un profil expert pour intégrer l'équipe et prendre en charge l'accompagnement des équipes de développement dans la remédiation des vulnérabilités, tout en assurant un suivi rigoureux et une communication transparente vers le management. Missions : - Pilotage et accompagnement de la remédiation : o Analyser et qualifier les vulnérabilités remontées par nos outils de scan (SAST, SCA) et les audits externes. o Animer la priorisation des failles en collaboration avec les équipes techniques, en fonction de leur criticité, de leur exploitabilité et du contexte métier de l'actif concerné. o Assurer l'assignation claire de chaque vulnérabilité à une équipe et un responsable. o Accompagner les équipes dans la définition et le suivi des plans d'action, en apportant un soutien méthodologique et en facilitant la résolution des blocages. - Suivi, reporting et amélioration continue : o Maintenir et fiabiliser notre outil de suivi consolidé des vulnérabilités. o Produire les tableaux de bord et les indicateurs de performance (KPIs) destinés aux différentes instances de pilotage (comités opérationnels, revues de sécurité, direction). o Identifier et escalader les risques de non-respect des délais de correction, les vulnérabilités complexes ou "orphelines". o Participer activement à l'amélioration continue de nos processus et outils de gestion des vulnérabilités pour gagner en efficacité et en pertinence. Compétences clés : - Compétences et expérience : o Expérience significative (6 ans et plus) en cybersécurité opérationnelle, avec une spécialisation avérée en gestion des vulnérabilités. o Excellente maîtrise des concepts et standards de sécurité : CVSS, CVE, CWE, Top 10 OWASP. o Connaissance pratique des outils de sécurité DevSecOps : scanners de code (SonarQube, Checkmarx SAST), d'analyse de composition (Checkmarx SCA). o Capacité à interagir avec des APIs pour automatiser la collecte et l'agrégation de données de sécurité. - Qualités personnelles : o Rigueur et méthode : Capacité à assurer un suivi précis et structuré dans un environnement complexe et volumineux. o Excellent relationnel et communication : Aptitude à dialoguer avec des profils variés (développeurs, tech lead, chefs de projet, management) et à vulgariser des sujets techniques. o Leadership et proactivité : Force de proposition pour animer le processus, mobiliser les équipes et trouver des solutions pragmatiques. o Orientation service et résolution de problèmes : Volonté d'aider les équipes à atteindre leurs objectifs de sécurité.

CONTEXTE DE LA MISSION Au sein de la DSI Corporate d'un grand groupe bancaire français, la sécurité est intégrée au cœur des cycles de développement et d'opérations (DevSecOps). La gestion proactive des vulnérabilités constitue une activité fondamentale pour la protection des actifs applicatifs et infrastructurels. L'équipe DevSecOps orchestre la détection, l'analyse et la remédiation des failles sur l'ensemble du périmètre technologique. Face à une augmentation des menaces et à la nécessité d'accélérer les cycles de correction, le dispositif cherche à renforcer sa capacité de pilotage en intégrant un prestataire expert chargé d'accompagner les équipes de développement dans la remédiation, tout en assurant un reporting rigoureux vers le management. RÔLE ET RESPONSABILITÉS PRINCIPALES Pilotage et accompagnement de la remédiation : Analyser et qualifier les vulnérabilités remontées par les outils de scan (SAST, SCA) et les audits externes Animer la priorisation des failles avec les équipes techniques selon criticité, exploitabilité et contexte métier Assurer l'assignation claire de chaque vulnérabilité à une équipe et un responsable identifié Accompagner les équipes dans la définition et le suivi des plans d'action, avec soutien méthodologique et levée des blocages Suivi, reporting et amélioration continue : Maintenir et fiabiliser l'outil de suivi consolidé des vulnérabilités Produire les tableaux de bord et KPIs pour les instances de pilotage (comités opérationnels, revues sécurité, direction) Identifier et escalader les risques de dépassement de délais, vulnérabilités complexes ou orphelines Contribuer à l'amélioration continue des processus et outils de gestion des vulnérabilités LIVRABLES ATTENDUS Rapports d'analyse et de qualification des vulnérabilités (SAST, SCA, audits) Plans d'action de remédiation documentés et assignés par équipe Tableaux de bord de suivi des vulnérabilités (outil consolidé à jour) KPIs et indicateurs de performance destinés aux instances de pilotage Alertes et escalades formalisées sur les risques de non-conformité ou blocages Propositions d'amélioration des processus et outils DevSecOps

Accompagnement des équipes de développement dans l’intégration des bonnes pratiques de sécurité applicative tout au long du cycle de développement logiciel (Secure SDLC). Conseil sur les choix d’architecture, l’évaluation des risques et la sécurisation des technologies et frameworks utilisés. Définition, maintien et évolution des standards de développement sécurisé, incluant les problématiques liées à l’IA générative et aux modèles LLM. Réalisation d’audits de code, revues de sécurité, tests d’intrusion applicatifs et analyses d’architecture. Mise en œuvre et automatisation de contrôles de sécurité au sein des pipelines CI/CD dans une démarche DevSecOps. Administration et optimisation des outils de sécurité applicative (SAST, SCA, DAST), accompagnement des équipes dans l’analyse et la remédiation des vulnérabilités détectées. Participation au choix, à l’intégration et à la sécurisation de nouvelles technologies (API Gateway, SSO, frameworks applicatifs, solutions d’authentification). Pilotage du traitement des recommandations issues d’audits et de tests d’intrusion, avec suivi des plans d’actions associés. Animation d’actions de sensibilisation et de formation à la sécurité auprès des équipes techniques. Développement et contribution sur des applications en environnements Java, PHP, Python et technologies web modernes. Expertise sur les mécanismes d’authentification et d’autorisation (OAuth2, OpenID Connect, Keycloak), ainsi que sur les environnements cloud-native et conteneurisés (Docker, Kubernetes). Environnement technique : Java, PHP, Python, AngularJS, Spring, Quarkus, API REST, Node.js, SOAP, Docker, Kubernetes, Keycloak, Coverity, Black Duck, InsightAppSec, CI/CD, DevSecOps, OWASP Top 10, OWASP API Security, OWASP LLM Top 10.

Contexte Objectif global : Accompagner Sécurisation des conteneurs, OpenShift; analyse et gestion des vulnerabilités Contrainte forte du projet Environnement hétérogène, On premise et Cloud public MISSIONS - Cadrer le projet sur les aspects sécurité opérationnelle dans un environnement conteneurs - S'assurer du respect des règles de sécurité de l’infrastructure IT dès le design de l'architecture et des offres de services. - Proposer, tester et intégrer des solutions de sécurité adaptées au contexte du projet et de l'entreprise (sécurité des conteneurs, DevSecOps, gestion de vulnérabilités, traçabilité, etc.). - Mettre en place et automatiser des processus de sécurité dans les chaines CI/CD (gestion des vulnérabilités, gestions des certificats, protections des secrets, etc.). - Mettre en place et automatiser des contrôles de sécurité, le monitoring et la remontée des Indicateurs sécurité. - Accompagner les utilisateurs à l’usage des outils de sécurité mis à disposition par le projet.

Contexte: Le client a lancé un programme stratégique de modernisation de son patrimoine. Afin de rendre possible cette transformation, la DSI vise à se positionner comme un Cloud Service Provider au service des métiers et des marques du groupe. Cette transformation poursuit plusieurs objectifs majeurs : • Digitaliser les parcours des développeurs ainsi que des équipes infrastructure et exploitation. • Réduire le Time & Cost to Market. • Renforcer la fiabilité, la résilience et la sécurité des solutions hébergées. Dans ce cadre, le chantier Capacités et services Cloud accompagne cette transformation en structurant et industrialisant les capacités cloud (infrastructure, services managés, chaîne CI/CD, DevSecOps, FinOps…). Cette modernisation des patrimoines concernera les axes : • Conception et développement applicatif • Déploiement des projets et produits • Solutions d’hébergement La stratégie Cloud repose sur un principe de portabilité, permettant de déployer une application de manière automatisée et prédictible, aussi bien en interne que sur un Cloud externe. Le chantier est organisé avec plusieurs équipes avec des liens forts avec des squads orientées produit adressant les sujets du programme et hors programme. Avec la mise en place d’un mode programme, ce chantier souhaite renforcer son pilotage en complétant le dispositif actuel composé d’une RTE avec un(e) Chef(fe) de projet/RTE expérimenté supplémentaire via une prestation en régie. MISSIONS : 1. Objectifs et périmètre Assurer la coordination, la synchronisation et la réussite globale du train agile dédié au cloud, tout en pilotant des chantiers structurants en mode projet (cadrage, roadmap, engagement des parties prenantes). 👉 Positionnement hybride : • Chef de projet : pilotage structurant, engagement délais/coûts/périmètre • RTE : orchestration agile à l’échelle Rôle Chef de projet (pilotage structurant) • Piloter un ou plusieurs périmètres du chantier « Capacités et services Cloud » o Cadrage (objectifs, périmètre, planning) o Construction et suivi de la roadmap • Assurer le pilotage global du chantier (coûts, délais, risques) • Produire les livrables de pilotage (COMEX, COPIL, supports de décision) • Organiser la gouvernance projet (instances, arbitrages) • Sécuriser l’atteinte des objectifs business et SI Rôle RTE (pilotage agile) • Animer et coordonner les PI Planning, Inspect & Adapt • Assurer la fluidité du delivery et adresser les risques et problèmes majeurs • Piloter les dépendances inter-équipes (SI / OPS / STI / cloud platform) • Suivre les indicateurs de performance (delivery, qualité, valeur) • Accompagner la montée en maturité agile des équipes Coordination transverse • Faire le lien entre : • Equipes produit / squads • Infrastructures & cloud platform • Architecture & gouvernance • Aligner les travaux avec : • Stratégie cloud • Trajectoire de modernisation SI • Besoins des autres programmes SI • Faciliter la prise de décision transverse Compétences requises Compétences clés • Maîtrise des frameworks agiles à l’échelle (SAFe) • Solide expérience de pilotage de projets complexes • Bonne compréhension des environnements cloud (AWS, GCP, Azure) • Connaissance des pratiques : • DevSecOps • CI/CD • Infrastructure as Code Savoir-faire • Animation de collectifs complexes • Pilotage de roadmap et stratégie produit • Gestion des risques et dépendances • Production de supports exécutifs (COMEX)

CONTEXTE DE LA MISSION La mission s'inscrit dans un programme de sécurisation des infrastructures conteneurisées d'une grande institution financière française. L'environnement est hétérogène, combinant des déploiements on-premise et cloud public. L'objectif est de renforcer la posture de sécurité opérationnelle sur les environnements OpenShift et Kubernetes, d'industrialiser les contrôles de sécurité dans les chaînes CI/CD, et d'assurer la gestion des vulnérabilités de bout en bout. L'expert intervient à la fois sur les aspects de conception (dès la phase de design d'architecture), d'intégration de solutions de sécurité, d'accompagnement des équipes de développement et de reporting sécurité. RÔLE ET RESPONSABILITÉS PRINCIPALES Mettre en place des contrôles de sécurité automatisés, le monitoring et la remontée des indicateurs sécurité. Cadrer les aspects de sécurité opérationnelle dans l'environnement conteneurs dès la phase de design d'architecture et d'offres de services. Proposer, tester et intégrer des solutions de sécurité adaptées au contexte (sécurité des conteneurs, DevSecOps, gestion de vulnérabilités, traçabilité, gestion des secrets). Mettre en place et automatiser des processus de sécurité dans les chaînes CI/CD (gestion des vulnérabilités, certificats, protection des secrets). Assister et former les équipes de développement aux pratiques de développement sécurisé (SAST, SCA, RASP, DAST, agrégateurs de vulnérabilités). Accompagner les développeurs dans les travaux de remédiation des vulnérabilités et réaliser des audits de code (manuels et outillés). Participer à la veille en vulnérabilité sur les outils, librairies tierces et composants mis en œuvre. Assurer le reporting et la restitution des travaux aux parties prenantes du projet. LIVRABLES ATTENDUS Contrôles de sécurité automatisés et tableaux de bord des indicateurs sécurité. Processus de sécurité CI/CD intégrés et automatisés (gestion des vulnérabilités, certificats, secrets). Rapports d'audit de code et restitutions de vulnérabilités. Documentation des règles de sécurité et des architectures validées. Supports de formation et de sensibilisation aux pratiques de développement sécurisé. Rapports de veille en vulnérabilité (outils, librairies, composants).

Responsable de garantir la fiabilité des services, l’excellence opérationnelle et le respect des performances sur l’ensemble des environnements, en intégrant les pratiques SRE (Site Reliability Engineering) dans l’Agile Release Train et le cycle de livraison produit. Activités principales Définir, suivre et reporter les SLO (Service Level Objectives) , SLI (Service Level Indicators) et error budgets afin de garantir une fiabilité mesurable par domaine applicatif Mettre en place et améliorer en continu les systèmes de monitoring, observabilité et alerting Superviser la mise en production des releases, en s’assurant de la stabilité via une coordination transverse (Produit & Tech) Gérer les incidents , les analyses de causes racines (RCA) et les post-mortems pour améliorer en continu Travailler avec les équipes plateforme (Core Platform, Observability, FinOps) pour : Améliorer la résilience Optimiser les coûts Maintenir les performances Reporter l’état de la fiabilité, les risques et plans d’amélioration aux responsables (Agile Release Managers, leadership) Participer activement à l’Agile Release Train en représentant la voix de la production et de la fiabilité

Le Domain Manager SRE est responsable de garantir la fiabilité des services, l’excellence opérationnelle et la conformité des performances sur l’ensemble des environnements, tout en intégrant les pratiques SRE au sein de l’Agile Release Train et du cycle de livraison produit. Il agit comme garant de l’évolution des produits vers la production, en veillant à ce que le niveau de qualité soit toujours conforme aux attentes des clients. Il collabore étroitement avec les équipes Produit, Tech et Plateforme afin de maintenir un équilibre entre innovation, vélocité et robustesse opérationnelle. Mission Garantir la stabilité, la performance et la disponibilité des services en production et hors production Promouvoir une culture orientée fiabilité au sein des équipes de delivery Assurer un rôle de gatekeeper dans le passage en production des évolutions produits, en garantissant un niveau de qualité aligné avec les attentes clients Responsabilités principales Définir, suivre et reporter les SLO (Service Level Objectives) , SLI (Service Level Indicators) et error budgets sur les différents environnements afin d’assurer une fiabilité mesurable par domaine applicatif Mettre en place et améliorer en continu des solutions robustes d’ observabilité, monitoring et alerting Superviser la préparation opérationnelle des releases et garantir la stabilité en production via une coordination transverse avec les équipes Produit et Tech Être en capacité de bloquer une mise en production si le niveau de qualité ne correspond pas aux attentes clients Piloter la gestion des incidents , les analyses de causes racines et les post-mortems afin d’assurer l’amélioration continue Collaborer avec les équipes Core Platform et Observability & FinOps pour : Renforcer la résilience des systèmes Optimiser les coûts Maintenir la performance de la plateforme Communiquer sur l’état de la fiabilité, les risques et les plans d’amélioration auprès des Agile Release Managers et des responsables de domaine Participer activement à l’ Agile Release Train (ART) comme référent fiabilité et opérations, en soutenant le rythme et la qualité des livraisons

Contexte de la mission Pour le compte d'un client grand compte du secteur bancaire, nous recherchons un Consultant AppSec & Gestion des Vulnérabilités afin de renforcer une équipe DevSecOps en charge de la sécurisation des applications et des infrastructures. Dans un environnement où la sécurité est intégrée au cœur des cycles de développement et d'exploitation, le consultant interviendra sur l'ensemble du processus de gestion des vulnérabilités : de leur détection à leur remédiation, en passant par leur priorisation et leur suivi. L'objectif est d'accompagner les équipes techniques dans l'amélioration continue de leur posture de sécurité tout en assurant un pilotage rigoureux et une communication efficace auprès des parties prenantes. Vos missionsPilotage et accompagnement de la remédiation Analyser et qualifier les vulnérabilités issues des outils de sécurité applicative et des audits externes. Prioriser les vulnérabilités en fonction de leur criticité, de leur exploitabilité et des enjeux métiers associés. Assurer l'affectation des vulnérabilités aux équipes responsables de leur traitement. Accompagner les équipes de développement dans la définition et le suivi des plans de remédiation. Faciliter la résolution des points de blocage et promouvoir les bonnes pratiques de sécurité. Suivi, reporting et amélioration continue Maintenir et fiabiliser les outils de suivi consolidé des vulnérabilités. Produire les indicateurs de pilotage et les tableaux de bord à destination des équipes opérationnelles et du management. Identifier les risques liés aux retards de correction ou aux vulnérabilités complexes. Assurer les escalades nécessaires auprès des parties prenantes. Contribuer à l'amélioration continue des processus et outils de gestion des vulnérabilités.

CONTEXTE DE LA MISSION La structure cliente opère dans le secteur bancaire et financier à l'échelle nationale. Son équipe en charge de la sécurité des applications souhaite renforcer son expertise en AppSec, DevSecOps et sécurité des API. Le besoin porte sur l'identification et l'évaluation des risques Cyber, ainsi que sur la mise en place de solutions de sécurité adaptées aux contextes internes de l'organisation. L'enjeu principal est de sécuriser les applications développées en interne et les solutions tierces, d'intégrer la sécurité dans les pratiques DevOps existantes, et de structurer une stratégie de protection des API couvrant sensibilisation, contrôle, détection et monitoring. RÔLE ET RESPONSABILITÉS PRINCIPALES Accompagner les équipes de développement dans la résolution des vulnérabilités API identifiées, en appliquant les principes de security by design. Analyser et interpréter les résultats issus des outils SAST, SCA et DAST ; produire des rapports détaillés avec niveaux de gravité et recommandations de remédiation. Réaliser des audits de sécurité des applications internes et des solutions tierces ; identifier les vulnérabilités (référentiel OWASP Top Ten) et évaluer les risques associés. Participer à l'élaboration et à la mise en œuvre de la stratégie de sécurisation des API (authentification, autorisation, protection contre injection SQL, CSRF, etc.). Présenter les résultats aux équipes techniques de développement et synthétiser les conclusions à destination des responsables sécurité. Analyser les processus DevOps en place pour identifier les lacunes sécurité et proposer des plans de remédiation adaptés. Rédiger les guides de sécurité des API (politiques d'accès, protocoles, gestion des incidents) et assurer le reporting régulier sur l'état de sécurité. Assister, sensibiliser et former les développeurs aux pratiques de développement sécurisé ; participer à la veille vulnérabilité et à la maintenance des outils en place. LIVRABLES ATTENDUS Rapports d'audit de sécurité des applications (internes et tierces) Rapports d'analyse SAST / SCA / DAST avec recommandations de remédiation Plans de remédiation DevSecOps Guides de sécurité des API (politiques d'accès, protocoles, gestion des incidents) Reportings réguliers sur l'état de sécurité des API Documentation mise à jour en fonction des évolutions Synthèses à destination des responsables sécurité

Pour le compte d'un acteur majeur de l'écosystème tech, nous recherchons un(e) Domain Manager de haut niveau. Au croisement de la Delivery Agile et de l'Excellence Opérationnelle, votre rôle sera d'ancrer la culture de la fiabilité au cœur du cycle de vie des produits à forte échelle. Vous agirez comme le garant de la qualité et le partenaire clé de la transformation continue de la plateforme. En tant que garant(e) de la stabilité, de la performance et de la disponibilité des services sur l'ensemble des environnements (production et hors-production), vos responsabilités principales s'articulent autour des axes suivants : Pilotage de la fiabilité & SRE : Définir, suivre et piloter les indicateurs clés (SLI/SLO) ainsi que les budgets d'erreur ( error budgets ) par domaine applicatif. Assurer la pertinence et l'évolution continue des frameworks de monitoring, d'alerting et d'observabilité. Garde-fou des releases (Gatekeeping) : Évaluer et valider la préparation opérationnelle de chaque mise en production en étroite coordination avec les équipes Produit et Tech. Vous disposez d’un droit de veto légitime sur les livraisons si la qualité mesurée ne répond pas aux exigences du service. Gestion des incidents & Amélioration : Orchestrer la réponse aux incidents majeurs du domaine, animer les revues post-mortem et formaliser les analyses de causes racines (RCA) afin de pérenniser la résilience du système. Synergie Transverse : Collaborer activement avec les équipes Core Platform , Observability et FinOps pour optimiser à la fois l'efficience des coûts et la robustesse des infrastructures. Gouvernance Agile : Incarner la voix de la fiabilité au sein de l'Agile Release Train (ART). Reporter de manière transparente l'état de la fiabilité et les risques identifiés auprès des Agile Release Managers et du leadership de domaine.

Description et localisation La prestation devra disposer de la double expertise sécurité et développement afin de promouvoir la sécurité au sein des équipes Études et Développement de la société. Les principaux objectifs de la prestation sont : • Conseil : choix d'architecture, sécurisation des choix technologiques, évaluation des risques • Formation : sensibilisation et montée en compétences des équipes études et développement • Réalisation : implémentation de mécanismes de sécurité, implémentation de mécanismes de contrôles automatisés, proposition de correction de vulnérabilités • Audit : audit de code, tests d'intrusion applicatifs, revue de configuration, contrôles automatisés Ils se découperont de la façon suivante : Amélioration et maintien des standards de sécurité dans les développements La prestation contribuera à l’évolution des standards et bonnes pratiques de développement sécurisé, en intégrant les nouvelles technologies, et les risques associés aux nouvelles menaces : - Évolution et maintien de la documentation existante - Intégration des nouvelles menaces liées aux IA (ML/LLM) et définition de mesures de sécurité applicatives - Participation à la rédaction des exigences de sécurité IA pour les nouveaux projets - Identification et implémentation de nouvelles mesures de sécurité dans les pipelines de développement (CI/CD) - Accompagnement sur les projets stratégiques La prestation s’assurera de l’application du référentiel sécurité dans les développements sur les projets majeurs et pourra fournir des conseils sur les choix d’architectures applicatives. • Conseils en sécurité applicative • Analyse sécurité de l’architecture applicative • Contrôles sécurité (audit de code, pentest en phase de développement, etc.) • Aide à la sécurisation durant les phases de développement Accompagnement des équipes études et développement dans le choix de technologies ou frameworks • Compréhension des besoins des équipes et de la stratégie IT • Participation aux choix de nouvelles technologies applicatives (framework, API gateway, SSO, etc.) • Participation à la définition des configurations des outils • Contrôle de leur bonne mise en œuvre Maintien et évolution des outils d’analyse de code (SAST), des librairies (SCA) et des outils d’analyse dynamique (DAST) La prestation prendra en charge le pilotage des outils d’analyse de code, d’analyse des librairies et de sécurité applicative : • Définition et amélioration des processus d’intégration aux cycles de développement • Configuration fonctionnelle des outils • Promotion et accompagnement des équipes dans leur utilisation • Définition des politiques d’analyse de code • Accompagnement dans l’analyse des résultats • Conseil sur les mesures correctives à mettre en œuvre Suivi des recommandations d’audits • Analyse et challenge des recommandations issues de tests d’intrusion • Construction des plans d’action avec les équipes IT • Pilotage du traitement des recommandations sécurité • Reporting Construction, animation et suivi du plan de sensibilisation « sécurité dans les développements » • Élaboration du plan de sensibilisation sécurité • Participation au choix des méthodes (workshops, CTF, etc.) et animation • Contribution aux framework internes et réalisation d’audits (boîte blanche, etc.) • Proposition de corrections directement dans le code La prestation devra disposer des expertises suivantes : - Concepts et implémentation d’OpenID et OAuth - Analyse et compréhension du code CONDITIONS TECHNIQUES DE LA PRESTATION La prestation se déroulera au sein du service sécurité informatique, en étroite collaboration avec les équipes études et développement du groupe. RESULTATS ATTENDUS / LIVRABLES De façon non exhaustive, la prestation pourra produire du code dans les langages suivants : • PHP • Java • SQL / LDAP • Python Elle devra également fournir : - Maintien en condition opérationnelle des outils de sécurité utilisés par les équipes de développement - Amélioration du niveau de sécurité applicative - Rapports d’audit détaillant les vulnérabilités PRÉREQUIS • Expertise en sécurité applicative (AppSec) impérative • OWASP Web Top 10 • OWASP API Security Top 10 (2023) • OWASP LLM Top 10 (2025) • Secure SDLC et pratiques DevSecOps (shift-left security) • Audit technique : boîte blanche, boîte grise, boîte noire • Expertise développement : - Java, PHP, AngularJS, Python - Frameworks : Spring, Quarkus, API REST, NodeJS, SOAP • Expertise en authentification moderne : OpenID, OAuth - Outils type Keycloak • Container / Cloud-native : Docker security, Kubernetes RBAC, Network Policies, sécurité des charts Helm • Connaissances transverses : réseau, infrastructure, développement • Architectures standard d’entreprise (reverse proxy, firewall, DMZ) • Contexte international (français / anglais)