Trouvez votre prochaine offre d’emploi ou de mission freelance Static Application Security Testing (SAST)

Sapiens est une Entreprise de Services Numériques (ESN), située à proximité de la gare Saint-Lazare, spécialisée dans les métiers de l’ingénierie informatique, structuré autour de la Digitalisation, les infrastructures et Cybersécurité du système d’information. · Agilité et organisation de la DSI · Etude & Développement · Infrastructure et production · Sécurité et Cybersécurité Sapiens accompagne ses clients dans le développement et la transformation de leurs activités depuis 2003, en nous positionnant sur des projets à forte valeur ajoutée dans des secteurs stratégiques (Grands comptes et ETI) tels que la banque de financement et d’investissement, l’assurance, les médias, l’industrie et le luxe. Rejoindre Sapiens, c’est intégrer une société qui valorise tes compétences, soutient ton potentiel et t’offre l’opportunité de relever de nouveaux défis au sein d’équipes dynamiques et passionnées. Nous recherchons plusieurs profils de PENTESTER pour notre client grand compte dans le secteur de la télécommunication. Contexte Mission d’audit de sécurité complète sur plusieurs périmètres exposés et internes, incluant : applications de vente et de commande (sites web, API, application mobile), réseau social d’entreprise, connexions à distance, environnements internes (machines virtuelles Windows et Linux sur VMware et Azure, réseaux VLAN, wifi), postes de travail bureautiques, environnements magasins (postes caisses), audit de complexité des mots de passe Active Directory, et environnements interconnectés avec un partenaire externe. L’objectif est d’identifier et d’évaluer les vulnérabilités, d’établir un plan de remédiation, et de vérifier l’application des bonnes pratiques de développement web et mobile. Les audits seront menés en « boîte blanche » avec une liste de prérequis à établir. Missions Réaliser un audit de sécurité des applications de vente et de commande : analyse statique du code (SAST), revue manuelle des composants critiques, analyse de composition logicielle (SCA), évaluation de la gestion des secrets et configurations sensibles, audit d’API backend, tests dynamiques, recommandations de sécurité, vérifications des bonnes pratiques de développement sécurisé. Auditer les sites internet : tests dynamiques, revue de conception applicative avec code source, identification des vulnérabilités selon OWASP, analyse des mécanismes d’authentification, gestion des sessions et droits d’accès, évaluation de la protection des données sensibles, vérification de la configuration de sécurité côté client et serveur. Auditer les environnements internes : machines virtuelles, réseaux, wifi, postes de travail bureautiques. Auditer les environnements magasins : évaluation de l’étanchéité entre magasins et siège, audit des postes caisses. Auditer la complexité des mots de passe Active Directory. Auditer les environnements interconnectés avec le partenaire externe (évaluation de l’étanchéité). Établir un plan de remédiation des vulnérabilités identifiées. Rédiger les livrables d’audit et recommandations. Outils & Environnement Méthodologies d’audit « boîte blanche » Analyse statique (SAST) et dynamique Revue de code Analyse de composition logicielle (SCA) Référentiels de sécurité OWASP et bonnes pratiques de développement sécurisé Environnements cloud VMware et Azure Réseaux VLAN, wifi Active Directory Postes de travail bureautiques et environnements magasins Interconnexions partenaires Objectifs et livrables Rapports d’audit détaillés pour chaque périmètre (applications, sites web, API, infrastructures, magasins, Active Directory, interconnexions partenaires) Plan de remédiation des vulnérabilités identifiées Liste des prérequis nécessaires à la réalisation des audits Compétences demandées Compétences Niveau OWASP Expert Maîtrise des méthodologies d’audit « White-box security testing » Expert Audit de sécurité Expert Bonnes pratiques de développement sécurisé Expert Infrastructures Windows/Linux Expert Audit de complexité des mots de passe et sécurité des postes de travail Confirmé Azure Confirmé Analyse de composition logicielle (SCA) Confirmé Environnements cloud Confirmé VLAN Confirmé Mobiles Confirmé Interconnexions partenaires Confirmé VMware Confirmé Rédaction de rapports d’audit et recommandations de remédiation Confirmé Active Directory Expert Revue de code Confirmé Applications web Analyse statique (SAST) et dynamique Confirmé Expert Wifi Confirmé

🌐 Contexte de la mission Nous recherchons un Product Owner technique pour renforcer l’équipe framework transverse sur une plateforme Android multi-produits . Le rôle est fortement orienté delivery et coordination , avec un périmètre transverse entre PMO, architectes, QA, développement, release management et support , sur un environnement multi-sites et international 🌍. Le consultant sera responsable de : l’ ownership du référentiel de requirements , la traduction des priorités business en backlog technique , la construction et le suivi du Dev Plan cross-tracks , l’ alignement des pratiques d’ingénierie et quality gates , la coordination des interfaces multi-équipes et multi-sites . 🎯 Missions principales Maintenir le backlog technique consolidé et priorisé 📋 Décomposer les besoins en Epics, Features et User Stories exploitables ✅ Définir le niveau de maturité compatible avec les équipes de développement Prioriser les sujets selon la capacité des tracks et dépendances techniques 🔄 Construire et suivre le plan de développement cross-tracks avec jalons, risques et chemin critique 📅 Coordonner l’ avancement jusqu’à l’intégration dans la mainline Synchroniser le delivery avec le release management 🔗 Animer les rituels de pilotage : backlog review, integration review, suivi des blocages, revue de valeur livrée 👥 Produire les reportings KPI, risques et plans de mitigation 📊 Contribuer à la convergence des pratiques d’ingénierie : Jira, workflows, Definition of Done, quality gates, CI/CD, SAST ⚙️ Assurer la documentation complète en anglais (besoins, backlog, décisions, risques, planning, comités) 📄 🛠️ Compétences techniques Expérience confirmée en Product Owner technique sur projets embarqués / firmware Bonne maîtrise des plateformes Android et intégration logicielle 📱 Gestion de backlog technique , décomposition Epic / Feature / Story Maîtrise avancée de Jira et outils de pilotage delivery Connaissance des chaînes CI/CD, release management et quality gates Capacité de coordination multi-sites et multi-équipes 🌍 Anglais courant (communication écrite et orale) ✍️🗣️ Bonus : Suite Atlassian (Artifactory, Confluence) SAST, build system Android / firmware Gouvernance de composants transverses et support à l’industrialisation 📍 Modalités de la mission Localisation : Rovaltain Démarrage : 01/04/2026 Durée : 9 mois (avec jalons intermédiaires : 30/06, 30/09, 31/12) TJM : à définir selon profil et expérience 💶 Obligations : respect des jalons, reporting, gouvernance, documentation complète ✅ Livrables attendus Backlog technique consolidé et priorisé 📋 Plan de développement cross-tracks 📅 Registre des risques, décisions, hypothèses et actions ⚠️ Compte-rendus des rituels de gouvernance 👥 Tableau de bord mensuel KPI de delivery 📊 Documentation complète en anglais ✍️

Nous recherchons un Expert CI/DevOps capable de concevoir, automatiser et sécuriser des pipelines d’intégration et de déploiement continu pour des environnements critiques. Le candidat interviendra sur des projets nécessitant maîtrise des outils DevOps, automatisation avancée, et sécurité du code. Responsabilités techniques : Conception, développement et optimisation des pipelines CI/CD avec Jenkins et GitHub Actions . Gestion des artefacts et des dépendances via JFrog Artifactory . Mise en place de l’analyse statique ( SAST ) et de l’analyse de composition logicielle ( SCA ) avec SonarQube , intégration dans le pipeline CI/CD pour contrôle qualité et sécurité. Automatisation des tests unitaires, d’intégration et de déploiement sur environnements de staging et production. Participation à la containerisation et orchestration (Docker/Kubernetes) pour les microservices si nécessaire. Déploiement et gestion optionnelle sur Azure et AWS , incluant pipelines IaC et intégration cloud-native. Collaboration étroite avec les équipes dev pour industrialiser les workflows DevOps et assurer la conformité sécurité.

Concevoir et maintenir l'infrastructure as code avec Terraform sur un environnement AWS (ECS, Aurora, Lambda, S3, SQS/SNS, EventBridge, Step Functions) Mettre en place et opérer les pipelines CI/CD via GitLab CI en appliquant les pratiques GitOps Assurer la conteneurisation des applications avec Docker. Garantir la qualité logicielle via SonarQube Déployer et opérer les outils de sécurité applicative (Checkmarx SAST/SCA/KICS, WIZ) et cloud (AWS Inspector, AWS Security Hub, Prowler, TestSSL) Mettre en œuvre l'observabilité et le monitoring des environnements via CloudWatch, Grafana et la création de Synthetics dans une approche SRE Comprendre les architectures applicatives backend (Python) et frontend (Angular, JS/TS) pour contextualiser les enjeux de sécurité Utiliser l'IA pour la génération, la revue et l'optimisation de code ainsi que pour l'automatisation des tests