Consultant Junior - Sécurité Applicative

Consultant Junior Sécurité Applicative

Responsabilités

• Exécution & tri des scans de sécurité : installation, configuration et lancement d'outils automatisés d'identification des vulnérabilités applicatives (SAST, DAST, SCA, IaC); triage et priorisation des résultats pour préparer des fiches de vulnérabilités claires.
• Support à la revue de code sécurisée : utilisation de checklists de référence pour identifier des patterns de vulnérabilités simples (injections, secrets codés en dur, gestion des erreurs) et proposition de corrections de premier niveau validées par un senior.
• Intégration DevSecOps dans les pipelines CI/CD : intégration des scanners de code dans des pipelines GitLab CI, GitHub Actions, Jenkins et mise à jour des indicateurs et tableaux de bord KPI.
• Audits de configuration applicative : vérification des paramètres essentiels (headers de sécurité, TLS, authentification) selon checklists de conformité et documentation rigoureuse des écarts observés.
• Sensibilisation à l'impact de l'IA : évaluation des risques liés aux assistants de code tels que GitHub Copilot, identification des injections de prompts ou fuites de données applicatives, et utilisation de l'IA comme assistant de recherche supervisé.
• Modélisation des menaces & retests : documentation des flux et scénarios de menaces de base lors des ateliers de threat modelling; réalisation de retests pour valider l'efficacité des corrections apportées par les développeurs.

Compétences recherchées

• Maîtrise des référentiels de vulnérabilités (OWASP Top 10, MITRE Top 25) et compréhension des technologies SAST, DAST, SCA, IaC.
• Familiarité avec un outil de ces catégories (ex. SonarQube, Semgrep, Burp Suite, Dependabot).
• Maîtrise d'au moins un langage de programmation (Java, .NET, Python, Node.js) et connaissance globale d'une application web ou API.
• Compréhension du fonctionnement d'un pipeline de déploiement et utilisation de scripting (Python, PowerShell, Bash) pour automatiser des tâches simples.
• Approche de la sécurité comme facilitateur, pas comme « police ».
• Grande rigueur et sens du détail dans l'analyse des vulnérabilités.
• Enthousiasme à monter en compétences sur des sujets spécialisés (sécurité Kubernetes, architectures cloud).
• Capacité à expliquer une vulnérabilité clairement à l'écrit.

Profil requis

• Diplômé(e) Bac+5 en informatique, cybersécurité ou systèmes d'information (école d'ingénieur, Master universitaire ou équivalent).
• Parcours initial de 0 à 3 ans, idéalement avec stage, alternance ou expérience concrète (développeur, QA, participation à des CTF).
• Certifications d'introduction reconnues (CompTIA Security+, eJPT, AWS Cloud Practitioner, AZ‑900).
• Orientation client, esprit d'initiative, aptitude à piloter des projets et développer des offres clients.
• Esprit collectif et volonté d'accompagner la montée en compétences des équipes.
• Curiosité, capacité à innover et à impacter durablement les pratiques de travail.
• Aisance relationnelle et rédactionnelle, bonnes compétences en communication, maîtrise de l'anglais et intérêt pour les sujets stratégiques.