Trouvez votre prochaine offre d’emploi ou de mission freelance Software Development LifeCycle (SDLC) à Paris

Contexte Le Centre d’excellence Cloud (CCoE) participe au projet de transformation du groupe qui vise à positionner la DSI comme un Cloud Service Provider vis-à-vis de ses directions métiers assurances. Cette transformation récente s’appuie sur une Stratégie Cloud Hybride qui vise à réduire le temps de mise à disposition de nos applications. MISSIONS : La mission d’expertise technique CI/CD s’organise autour des axes suivants : • Assurer le support des solutions de la plateforme CI/CD auprès des utilisateurs (accompagnement, conseil, travaux, traitement de tickets techniques support N1,2,3), • Assurer le choix des solutions, la maintenance corrective et évolutive de la plateforme CI/CD, son exploitation et ses performances, • Assurer l’intégration CI/CD de nouveaux usages, projets au sein de la plateforme. En complément du volet technique, cet expert pourrait être amené à assurer un rôle de Proxy PO vis-à-vis de l’offre DevSecOps. Ce rôle sera d’être au service du PO de la squad CI CD pour mieux gérer la scalabilité de cette offre, d’être un facilitateur, de canaliser l’information pour certains sujets, coordonner des actions avec d’autres experts, enrichir le backlog, aider à trouver des solutions. Cette activité est en adhérence forte avec les projets majeurs actuels internes de la DSI. La plateforme CI/CD du client est une solution qui a pour objectif de répondre au cycle de Fabrication et de déploiement de l’ensemble des applications produites par les entités (+ 10000 dépôts de sources).

🧩 Contexte du poste Dans le cadre du renforcement de notre dispositif de sécurité applicative, nous recherchons un(e) Expert(e) en Sécurité Applicative pour accompagner les équipes de développement dans l’intégration des bonnes pratiques de sécurité tout au long du cycle de vie logiciel (Secure SDLC). Vous évoluerez dans un environnement technologique moderne et exigeant, au cœur de projets stratégiques intégrant des architectures web, cloud-native et des technologies innovantes incluant l’IA générative. 🎯 Missions principales Vous interviendrez en tant que référent(e) sécurité applicative et aurez pour responsabilités : Accompagner les équipes de développement dans l’intégration des bonnes pratiques de sécurité (Secure SDLC) Conseiller sur les choix d’architecture, l’évaluation des risques et la sécurisation des applications Définir, maintenir et faire évoluer les standards de développement sécurisé (incluant les enjeux liés à l’IA générative et aux LLM) Réaliser des audits de code, revues de sécurité, tests d’intrusion applicatifs et analyses d’architecture Mettre en place et automatiser les contrôles de sécurité dans les pipelines CI/CD (approche DevSecOps) Administrer et optimiser les outils de sécurité applicative (SAST, DAST, SCA) Accompagner les équipes dans l’analyse et la remédiation des vulnérabilités Participer au choix et à la sécurisation de nouvelles technologies (API Gateway, SSO, frameworks, authentification) Suivre les plans de remédiation issus des audits et pentests Sensibiliser et former les équipes techniques à la sécurité applicative Contribuer au développement d’applications (Java, PHP, Python, web moderne) 🧠 Compétences requises ⭐ Compétences obligatoires OWASP Top 10 : expert Java : confirmé ➕ Compétences appréciées PHP, Python, AngularJS, Node.js Spring, Quarkus API REST / SOAP Docker, Kubernetes CI/CD & DevSecOps Keycloak, OAuth2, OpenID Connect OWASP API Security / OWASP LLM Top 10 🛠️ Environnement technique Java, PHP, Python, AngularJS, Node.js, Spring, Quarkus, API REST, SOAP, Docker, Kubernetes, Keycloak, CI/CD, DevSecOps, SAST (Coverity), SCA (Black Duck), DAST (InsightAppSec), OWASP Top 10

La mission En tant que membre de l'équipe, vous serez un interlocuteur privilégié concernant les bibliothèques de développement et les bonnes pratiques techniques pour des centaines de docteurs (PhD) et d'ingénieurs logiciels. Vous mettrez à profit votre forte curiosité technologique et votre volonté de rester à jour sur les dernières tendances afin de simplifier l'utilisation des technologies au sein de l'entreprise. Votre principale responsabilité sera de veiller à ce que notre écosystème technologique reste moderne, adapté aux besoins de l'entreprise et performant, tout en aidant vos collègues à atteindre leurs objectifs. Responsabilités principales Vous travaillerez au quotidien avec l'équipe pour atteindre les objectifs suivants : Réinventer de fond en comble notre cycle de livraison logicielle (SDLC), par exemple les outils permettant aux développeurs de créer leurs environnements locaux ainsi que les pipelines CI/CD servant à construire nos packages Python. Nous nous appuyons sur les écosystèmes conda-forge et PyPI et souhaitons adopter pleinement les meilleurs outils du marché ( uv , micromamba , rattler-build , etc.). Intégrer et distribuer nos solutions tierces dans une distribution unique afin de garantir leur compatibilité mutuelle, tout en veillant à leur optimisation pour nos conteneurs, systèmes d'exploitation, architectures CPU et GPU. Promouvoir les bonnes pratiques de développement au sein de l'entreprise. Qu'il s'agisse de la gestion des dépendances, de l'utilisation des mocks ou de Playwright pour les tests, ou encore du choix entre Jenkins, GitLab CI ou Docker Compose selon les cas d'usage, il y a toujours des connaissances à partager et des collègues prêts à les adopter. Développer des bibliothèques et outils mutualisés soutenant le cycle de vie logiciel (SDLC), la sécurité, le cloud et d'autres problématiques techniques communes. Assurer une veille technologique continue, suivre les évolutions du marché et développer des prototypes ainsi que des architectures de référence (blueprints) démontrant la valeur des technologies modernes face aux défis concrets de l'entreprise.

Accompagnement des équipes de développement dans l’intégration des bonnes pratiques de sécurité applicative tout au long du cycle de développement logiciel (Secure SDLC). Conseil sur les choix d’architecture, l’évaluation des risques et la sécurisation des technologies et frameworks utilisés. Définition, maintien et évolution des standards de développement sécurisé, incluant les problématiques liées à l’IA générative et aux modèles LLM. Réalisation d’audits de code, revues de sécurité, tests d’intrusion applicatifs et analyses d’architecture. Mise en œuvre et automatisation de contrôles de sécurité au sein des pipelines CI/CD dans une démarche DevSecOps. Administration et optimisation des outils de sécurité applicative (SAST, SCA, DAST), accompagnement des équipes dans l’analyse et la remédiation des vulnérabilités détectées. Participation au choix, à l’intégration et à la sécurisation de nouvelles technologies (API Gateway, SSO, frameworks applicatifs, solutions d’authentification). Pilotage du traitement des recommandations issues d’audits et de tests d’intrusion, avec suivi des plans d’actions associés. Animation d’actions de sensibilisation et de formation à la sécurité auprès des équipes techniques. Développement et contribution sur des applications en environnements Java, PHP, Python et technologies web modernes. Expertise sur les mécanismes d’authentification et d’autorisation (OAuth2, OpenID Connect, Keycloak), ainsi que sur les environnements cloud-native et conteneurisés (Docker, Kubernetes). Environnement technique : Java, PHP, Python, AngularJS, Spring, Quarkus, API REST, Node.js, SOAP, Docker, Kubernetes, Keycloak, Coverity, Black Duck, InsightAppSec, CI/CD, DevSecOps, OWASP Top 10, OWASP API Security, OWASP LLM Top 10.

Le contexte Tu rejoins les équipes opérationnelles d'un client grand compte pour sécuriser concrètement leurs projets applicatifs et leurs solutions IA en production. Pas de PowerPoint — tu implémentes, tu configures, tu formes. Ce que tu feras vraiment Intégrer les contrôles de sécurité dans les pipelines Azure DevOps (SAST, DAST, SCA, secrets scanning, GHAS) Sécuriser les workloads IA/LLM : prompt injection, RAG, agents, guardrails sur Azure OpenAI Faire des revues de code et architecture sécurité avec les équipes dev Accompagner les équipes sur les bonnes pratiques OWASP, Secure SDLC, DevSecOps au quotidien Contribuer à la conformité (DORA, NIS2, ISO 27001)

Vous travaillerez en étroite collaboration au quotidien pour atteindre les objectifs suivants : • Repenser de fond en comble notre cycle de vie de livraison logicielle (par exemple, les outils de développement permettant de créer des environnements locaux et les scripts CI/CD pour compiler nos paquets Python). Nous nous appuyons sur les écosystèmes conda-forge et pypi et souhaitons adopter pleinement les meilleurs outils de leur catégorie (uv, micromamba, rattler-build, etc.) • Regrouper nos composants tiers dans une distribution unique, afin de garantir leur compatibilité croisée et de s’assurer qu’ils sont optimisés pour nos conteneurs, notre système d’exploitation et nos architectures CPU et GPU. • Être un ambassadeur des bonnes pratiques au sein de l’entreprise. De la gestion des dépendances à l’ utilisation de mocks ou de Playwright lors des tests, en passant par le moment opportun pour déclencher Jenkins, GitLab CI et Docker Compose, il y a toujours quelque chose à partager, et toujours quelqu’un prêt à écouter. • Développer des bibliothèques et des outils partagés qui soutiennent le cycle de vie du développement logiciel (SDLC), la sécurité, le cloud et d’autres sujets techniques courants . • Assurer une veille technologique, suivre les évolutions du marché et mettre en œuvre des prototypes et des plans directeurs pour démontrer la valeur des technologies modernes en tant que solutions aux défis concrets à l’échelle de l’entreprise . Qualifications / Compétences requises • Au moins 10 ans d’expérience en développement logiciel sont requis. Ou des compétences exceptionnelles et avérées

Description et localisation La prestation devra disposer de la double expertise sécurité et développement afin de promouvoir la sécurité au sein des équipes Études et Développement de la société. Les principaux objectifs de la prestation sont : • Conseil : choix d'architecture, sécurisation des choix technologiques, évaluation des risques • Formation : sensibilisation et montée en compétences des équipes études et développement • Réalisation : implémentation de mécanismes de sécurité, implémentation de mécanismes de contrôles automatisés, proposition de correction de vulnérabilités • Audit : audit de code, tests d'intrusion applicatifs, revue de configuration, contrôles automatisés Ils se découperont de la façon suivante : Amélioration et maintien des standards de sécurité dans les développements La prestation contribuera à l’évolution des standards et bonnes pratiques de développement sécurisé, en intégrant les nouvelles technologies, et les risques associés aux nouvelles menaces : - Évolution et maintien de la documentation existante - Intégration des nouvelles menaces liées aux IA (ML/LLM) et définition de mesures de sécurité applicatives - Participation à la rédaction des exigences de sécurité IA pour les nouveaux projets - Identification et implémentation de nouvelles mesures de sécurité dans les pipelines de développement (CI/CD) - Accompagnement sur les projets stratégiques La prestation s’assurera de l’application du référentiel sécurité dans les développements sur les projets majeurs et pourra fournir des conseils sur les choix d’architectures applicatives. • Conseils en sécurité applicative • Analyse sécurité de l’architecture applicative • Contrôles sécurité (audit de code, pentest en phase de développement, etc.) • Aide à la sécurisation durant les phases de développement Accompagnement des équipes études et développement dans le choix de technologies ou frameworks • Compréhension des besoins des équipes et de la stratégie IT • Participation aux choix de nouvelles technologies applicatives (framework, API gateway, SSO, etc.) • Participation à la définition des configurations des outils • Contrôle de leur bonne mise en œuvre Maintien et évolution des outils d’analyse de code (SAST), des librairies (SCA) et des outils d’analyse dynamique (DAST) La prestation prendra en charge le pilotage des outils d’analyse de code, d’analyse des librairies et de sécurité applicative : • Définition et amélioration des processus d’intégration aux cycles de développement • Configuration fonctionnelle des outils • Promotion et accompagnement des équipes dans leur utilisation • Définition des politiques d’analyse de code • Accompagnement dans l’analyse des résultats • Conseil sur les mesures correctives à mettre en œuvre Suivi des recommandations d’audits • Analyse et challenge des recommandations issues de tests d’intrusion • Construction des plans d’action avec les équipes IT • Pilotage du traitement des recommandations sécurité • Reporting Construction, animation et suivi du plan de sensibilisation « sécurité dans les développements » • Élaboration du plan de sensibilisation sécurité • Participation au choix des méthodes (workshops, CTF, etc.) et animation • Contribution aux framework internes et réalisation d’audits (boîte blanche, etc.) • Proposition de corrections directement dans le code La prestation devra disposer des expertises suivantes : - Concepts et implémentation d’OpenID et OAuth - Analyse et compréhension du code CONDITIONS TECHNIQUES DE LA PRESTATION La prestation se déroulera au sein du service sécurité informatique, en étroite collaboration avec les équipes études et développement du groupe. RESULTATS ATTENDUS / LIVRABLES De façon non exhaustive, la prestation pourra produire du code dans les langages suivants : • PHP • Java • SQL / LDAP • Python Elle devra également fournir : - Maintien en condition opérationnelle des outils de sécurité utilisés par les équipes de développement - Amélioration du niveau de sécurité applicative - Rapports d’audit détaillant les vulnérabilités PRÉREQUIS • Expertise en sécurité applicative (AppSec) impérative • OWASP Web Top 10 • OWASP API Security Top 10 (2023) • OWASP LLM Top 10 (2025) • Secure SDLC et pratiques DevSecOps (shift-left security) • Audit technique : boîte blanche, boîte grise, boîte noire • Expertise développement : - Java, PHP, AngularJS, Python - Frameworks : Spring, Quarkus, API REST, NodeJS, SOAP • Expertise en authentification moderne : OpenID, OAuth - Outils type Keycloak • Container / Cloud-native : Docker security, Kubernetes RBAC, Network Policies, sécurité des charts Helm • Connaissances transverses : réseau, infrastructure, développement • Architectures standard d’entreprise (reverse proxy, firewall, DMZ) • Contexte international (français / anglais)