Expert Sécurité Applicative - Freelance

Présentation de La MISSION

* Conseil : choix d'architecture, sécurisation des choix technologiques, évaluation des risques * Formation : sensibilisation et montée en compétences des équipes études et développement * Réalisation : implémentation de mécanismes de sécurité, implémentation de mécanismes de contrôles automatisés, proposition de correction de vulnérabilités * Audit : audit de code, tests d'intrusion applicatifs, revue de configuration, contrôles automatisés Ils se découperont de la façon suivante : Amélioration et maintien des standards de sécurité dans les développements * Contribution à l'évolution des standards et bonnes pratiques de développement sécurisé, en intégrant les nouvelles technologies et les risques associés aux nouvelles menaces * Évolution et maintien de la documentation existante * Intégration des nouvelles menaces liées aux IA (ML/LLM) et définition de mesures de sécurité applicatives * Participation à la rédaction des exigences de sécurité IA pour les nouveaux projets intégrant des LLM * Identification et implémentation de nouvelles mesures de sécurité applicatives appliquées au pipeline de développement (CICD) Accompagnement sur les projets stratégiques * Application du référentiel sécurité dans les développements sur les projets majeurs * Conseils sécurité applicative * Analyse sécurité de l'architecture applicative * Contrôles sécurité (audit de code, pentest en phase de développement, etc.) * Aide à la sécurisation durant les phases de développement Accompagnement des équipes études et développement dans le choix de technologie ou framework * Compréhension des besoins des équipes études/développement et de la stratégie IT * Participation aux réflexions et aux choix de nouvelles technologies applicatives (framework, API gateway, SSO, etc.) * Participation à la définition des configurations des différents frameworks ou outils * Contrôle de leurs bonnes mises en œuvre Maintien et évolution des outils d'analyse de code (SAST) et des librairies (SCA), et d'analyse dynamique (DAST) * Pilotage des outils d'analyse de code (Coverity), d'audit des librairies (Black Duck), et du DAST (Insight App Sec) * Définition et amélioration des processus d'intégration de l'outil aux processus de développement * Configuration fonctionnelle des outils * Promotion de l'outil et accompagnement des équipes études dans l'appropriation de l'outil * Définition et amélioration des politiques d'analyse de code * Accompagnement des équipes études dans l'analyse des résultats * Conseil des équipes études sur les mesures correctives à mettre en œuvre Suivi des recommandations d'audits sur le périmètre des équipes études et développement * Analyse/challenge des nouvelles recommandations issues de tests d'intrusion * Construction des plans d'action afférents avec les équipes IT * Pilotage du traitement des recommandations sécurité * Reporting Construction, animation et suivi du plan de sensibilisation « Sécurité dans les développements » * Plan de sensibilisation sécurité sur le périmètre étude et développement * Participation au choix des méthodes de sensibilisation (workshop, CTF…) et réalisation de ce plan une fois validé par le Responsable Sécurité Informatique * Développement des frameworks internes ainsi qu'à la réalisation des audits de type boîte blanche ou encore proposer des corrections de vulnérabilité directement dans le code Outils & Environnement * Concepts et implémentation d'OpenID et OAuth * Analyse et compréhension du code * Langages : PHP, Java, SQL/LDAP (pour des éventuels ajustements), Python * Outils d'analyse de code : Coverity (SAST), Black Duck (SCA), Insight App Sec (DAST) * Frameworks : Spring, Quarkus, API REST, NodeJS, SOAP, Java RMI * Technologies modernes d'authentification : OpenID, OAuth, outil Keycloak * Container / Cloud-native : Docker security, Kubernetes RBAC, Network Policies, Helm chart security * Domaines informatiques : réseau, infrastructure, développement * Architectures standards techniques d'entreprise : reverse proxy, firewall, DMZ