Trouvez votre prochaine offre d’emploi ou de mission freelance Static Application Security Testing (SAST)

Cette Prestation est désignée par l’appellation « Appui pilotage Cyber», avec les activités et tâches suivantes : - Accompagner les équipes projet dans la prise en compte des exigences de la discipline Cyber, en particulier en facilitant le travail des Security Champions (sensibilisation, cadrage, suivi des actions). - Coordonner et structurer l’activité des Security Champions, en assurant un appui méthodologique, un suivi régulier de leurs travaux et en garantissant la bonne articulation avec les autres parties prenantes (équipes techniques, référents cyber, pilote de la discipline). - Piloter la réalisation des états des lieux des vulnérabilités applicatives (SCA/SAST/DAST), en veillant à la complétude, à la cohérence et à la bonne exploitation des résultats fournis par les équipes techniques. - Contribuer à l’élaboration et à la priorisation des roadmaps de remédiation, incluant vulnérabilités applicatives et obsolescences, en facilitant l’arbitrage entre les enjeux métiers, planning projet et exigences de sécurité. - Définir et maintenir une grille de maturité Cyber par activité et par exigence, afin de donner de la visibilité sur le niveau d’avancement, les écarts, et les axes de progression. - Assurer le pilotage opérationnel au travers de rituels récurrents : o Réunions hebdomadaires avec la pilote de la discipline pour aligner les priorités et suivre les actions, o Points mensuels avec les référents RSSI pour partager les avancées, risques, irritants et besoins d’arbitrage C

Cybersécurité expert / Security Champion Suite au déploiement des outils SAST et SCA dans un modèle DevSecOps, les développeurs sont responsables de l'exécution des analyses de sécurité du code et de la gestion des vulnérabilités identifiées tout au long du processus de développement. Les équipes de sécurité applicative, quant à elles, ont pour mission de promouvoir, gouverner et fournir un support pour la stratégie de remédiation de ces vulnérabilités au niveau applicatif. Le Business Application Security Office (BASO) a pour mission d'industrialiser et de standardiser le scan, le contrôle, la surveillance et le support technique à l'échelle de l'ensemble de l'organisation, qui comprend diverses unités métiers réparties sur plusieurs régions. En tant que membre du Business Application Security Office, le Application Security Champion transversal sera attendu pour soutenir, pour un ou plusieurs domaines métiers : Les équipes ADM (développeurs) – les guider dans l'utilisation des scanners de sécurité et dans la remédiation des vulnérabilités identifiées durant les phases de développement des systèmes. Les équipes Business CISO – leur fournir des services de contrôle de scans au moment des releases, assister dans le déploiement de la stratégie de remédiation et contribuer à la standardisation des rapports. Missions principales Support des équipes ADM (développement) pour la remédiation des vulnérabilités et l'adoption des pratiques DevSecOps standardisées (développeurs / ingénieurs DevOps / technical leads) Réaliser des analyses à la demande et fournir des recommandations de remédiation pour les vulnérabilités détectées par les scans SAST (Fortify) et SCA (Nexus IQ). Fournir une assistance technique pour automatiser les scans dans les pipelines CI de développement (Jenkins / GitLab CI). Aider les équipes de développement à interpréter les rapports de sécurité et à prioriser la remédiation des vulnérabilités.

Le consultant aura pour mission principale d'apporter son expertise pour : Analyse et Recommandations Stratégiques : Effectuer une veille sur le marché pour faire un premier état de l'art de ces solutions, voir retour d'expérience. Évaluer l'utilité et la pertinence des solutions SAST, DAST, SCA et/ou ADR/RASP dans le contexte spécifique (technologies utilisées, maturité des équipes, enjeux de sécurité). Évaluer la nécessité d'une plateforme de sécurité applicative spécialisée ou l'opportunité d'intégrer ces fonctionnalités à des outils existants (ex: plateformes CNAPP, outils de gestion de vulnérabilités). Proposer une stratégie d'intégration de ces outils, dans l'écosystème existant en adéquation avec les objectifs de sécurité et les contraintes opérationnelles. Analyse et Préconisation d'Intégration CI/CD : Analyser en profondeur les chaînes CI/CD existantes (outils, pipelines) afin d'identifier les points d'intégration optimaux pour les solutions de sécurité applicative. Préconiser un mode d'intégration technique et organisationnel qui minimise l'impact sur les développeurs tout en maximisant la détection des vulnérabilités. Préparation du Cahier des Charges pour Appel d'Offres : Sur la base des analyses et recommandations, élaborer un cahier des charges détaillé pour le lancement d'un appel d'offres auprès des éditeurs de solutions de sécurité applicative. (EN OPTION) Un deuxième volet pourra consister à implémenter la solution : Conception, Configuration et Optimisation des Outils : Accompagner les équipes techniques dans la conception (HLD, LLD), la mise en œuvre et la configuration initiale de la solution. Définir les meilleures pratiques de configuration des outils retenus pour optimiser la pertinence des résultats (réduction des faux positifs, priorisation des vulnérabilités critiques). Définition des Processus de Traitement des Vulnérabilités : Proposer des mécanismes de tri, de priorisation, de qualification et de suivi des vulnérabilités, en tenant compte de la capacité de correction des équipes de développement. Élaborer des processus clairs et efficaces pour le traitement des "findings" (vulnérabilités détectées) par les développeurs. Mettre en place des indicateurs de suivi de la remédiation. Transfert de Compétences et Formation : Assurer la formation et le transfert de compétences auprès de l'architecte, de l'exploitant et de l'ingénieur gouvernance en charge des sujets de sécurité applicative. Exemples de livrables produits : Rapport d'analyse du contexte, de la chaîne CI/CD, des besoins en sécurité applicative et de veille technologiques sur les solutions pouvant y répondre Document de recommandations stratégiques et techniques pour le choix et l'intégration des outils SAST/DAST/ADR Architecture cible et plan d'intégration détaillé dans les chaînes CI/CD, documentation des processus de gestion et de traitement des vulnérabilités Préparation à l'appel d'offre : cahier des charges, proposition d'un environnement de POC et du cahier de test Documentation des processus de gestion et de traitement des vulnérabilités Accompagnement et ateliers de transfert de compétences aux équipes internes

Nous recherchons un(e) Senior Security Engineer expérimenté(e) pour rejoindre notre équipe de sécurité opérationnelle. Le rôle est essentiel pour renforcer la posture cybersécurité de l’organisation en participant à des projets d’architecture, en menant des tests d’intrusion, en supervisant des projets de sécurité et en apportant une expertise technique sur les solutions de sécurité. La mission contribue à garantir l’efficacité des contrôles de sécurité, à appliquer la gouvernance de sécurité et à protéger les actifs critiques tout en maintenant la résilience opérationnelle. Responsabilités principales : Stratégie et architecture cybersécurité Mener des études d’architecture de sécurité. Assister à la mise en œuvre de la feuille de route technologique en cybersécurité. Fournir des retours sur les technologies émergentes et leur impact opérationnel. Aider à aligner l’utilisation des technologies avec les objectifs de sécurité de l’entreprise. Gestion de projets cybersécurité Superviser la planification, l’exécution et la livraison de projets cybersécurité (infrastructure, applications, cloud). Définir le périmètre, les objectifs et les livrables des projets. Collaborer avec des équipes transverses (IT central, IT régional, équipes produits et solutions, équipes GRC). Communiquer l’avancement, les risques et les résultats aux parties prenantes techniques et non techniques. Tests d’intrusion et gestion des vulnérabilités Contribuer à la définition du programme de tests d’intrusion. Coordonner les tests pour identifier les failles de sécurité. Analyser les résultats et accompagner les équipes concernées dans les mesures correctives. Fournir des rapports avec recommandations exploitables. Expertise sur les solutions de sécurité Piloter le déploiement des outils de sécurité. Agir en tant qu’expert technique sur les plateformes et outils de sécurité. Former les équipes IT et SecOps sur les technologies de sécurité. Évaluer la performance des solutions de sécurité et proposer des améliorations. Compétences techniques et qualifications : Minimum 10 ans d’expérience en tant que consultant ou dans un rôle similaire en cybersécurité. Expérience avérée dans la conception et la mise en œuvre de stratégies de prévention des fuites de données (DLP) sur environnements cloud et postes de travail. Maîtrise approfondie de l’architecture de sécurité cloud (AWS, Azure, GCP) : IAM, chiffrement, conception sécurisée des workloads. Expérience pratique avec CSPM et CWPP, y compris la sélection, rationalisation et intégration des outils. Connaissance des WAF (AWS WAF, Azure Application Gateway, Cloudflare) et de leur configuration. Expertise dans la conception, l’exécution et le suivi des programmes de tests d’intrusion. Compétences complémentaires : Gestion de projet et engagement des parties prenantes. Capacité à traduire les risques techniques en impacts business. Excellentes compétences en communication et documentation, à destination d’audiences techniques et exécutives. Maîtrise du français et de l’anglais.

Nous recherchons un Product Designer expert en ergonomie mobile et responsive pour améliorer les parcours clés du tunnel d’achat (connexion, livraison, paiement) sur notre plateforme responsive. Vous travaillerez main dans la main avec les équipes produit, tech et data pour concevoir, tester et faire évoluer les expériences stratégiques du site, avec un focus sur la conversion et l’expérience utilisateur . Responsabilités : Améliorer l’ergonomie et l’expérience utilisateur sur mobile et desktop responsive. Optimiser les parcours du tunnel d’achat pour maximiser la conversion. Concevoir et tester des interfaces centrées utilisateur via des prototypes et tests A/B. Analyser les données utilisateurs (ContentSquare, analytics) pour orienter les décisions de design. Garantir la conformité aux standards d’accessibilité (RGAA). Collaborer étroitement avec les équipes produit, tech et data.