Applications Architect avec focus sur la Sécurité

Contexte de la mission

L’aspect sécurité dans le développement de nouveaux logiciels est un élément important de la nouvelle réglementation NIS2, entrée en vigueur depuis octobre 2024. Dans le cadre belge CyFun – élaboré par le Centre pour la Cybersécurité belge – cela fonctionne comme une série de checkpoints afin de garantir que les entreprises et les institutions publiques soient conformes à la réglementation.

PR.IP-2 : Le processus de développement pour les systèmes critiques et leurs composants doit couvrir l’ensemble du cycle de conception et inclure une description des propriétés fonctionnelles des contrôles de sécurité, ainsi que des informations de conception et de mise en œuvre pour les interfaces système pertinentes pour la sécurité.

Au sein du SPF Justice, nous souhaitons que cette réglementation soit plus qu’une simple checklist de procédures et de cases à cocher ; nous voulons intégrer le secure development dans nos procédures et notre mode de fonctionnement quotidiens. À cette fin, nous lançons un projet autour du secure development, dont ceci est le point de départ.

Description du profil

Le profil que nous recherchons est un architecte d’applications expérimenté ayant une connaissance approfondie de la sécurité ou un security architect disposant d’une connaissance approfondie du développement d’applications. Il a de l’expérience dans la mise en œuvre et l’analyse des changements nécessaires dans un processus de développement, et sait les cartographier et les documenter de manière claire. Le profil peut communiquer tant avec des profils très techniques qu’avec des profils moins techniques, et sait promouvoir de manière convaincante les concepts nécessaires autour de la sécurité et du développement.

Pour la mise en place d’une pratique Secure Development au sein du SPF Justice, il a été choisi de s’appuyer sur le Software Assurance Maturity Model (SAMM) de l’Open Worldwide Application Security Project (OWASP), un cadre qui aide les organisations à améliorer la sécurité de leurs logiciels via des bonnes pratiques et des objectifs mesurables. Une connaissance de ce framework est donc fortement recommandée.

Le profil aidera les équipes existantes à intégrer le secure development dans leurs missions quotidiennes et posera ainsi les bases des fondations d’un programme de secure development au sein du SPF Justice. L’accent est mis sur le SecDevOps et son implémentation.

Par la description, la documentation et la transmission de ces méthodologies, le profil contribue activement à l’augmentation de la sécurité des programmes développés au sein et pour le SPF Justice. Par ailleurs, il est également attendu une augmentation de la maturité globale en matière de sécurité au sein des équipes de développement. Le profil participe à la mise en place de dashboards de security applicative et structure les routines nécessaires pour améliorer en continu la sécurité des développements.

Un livrable clé de ce projet est une directive standard sur la façon d’appliquer activement le secure development, non seulement pour les projets internes mais aussi chez les fournisseurs, ainsi qu’une matrice de sécurité pouvant être utilisée pour évaluer des projets externes.

Puisqu’il s’agit du lancement du projet, le profil doit disposer de l’expérience et de la maturité nécessaires pour assumer le rôle de project-lead. Il devra également participer aux réunions requises pour le reporting sur la planification et l’avancement du projet, ainsi que constituer la documentation nécessaire sur la méthodologie choisie et la manière dont elle peut être implémentée. Dans le cadre de la mission, il pourra également être sollicité pour élaborer et donner les formations nécessaires sur le secure development aux équipes concernées.

En tant qu’expert architecte, le profil est capable d’évaluer et de commenter des conceptions techniques, et de fournir des conseils fondés tant sur l’infrastructure de base (hardware et software) que sur la méthodologie.

Expertise requise

• Expérience avérée dans des trajectoires comparables dans un environnement de taille similaire à celui du SPF Justice
• Minimum 3 ans d’expérience dans la revue d’architectures de sécurité
• Minimum 3 ans d’expérience dans la mise en place d’outillage SCA, SAST et DAST dans une chaîne CI/CD
• Minimum 3 ans d’expérience en DevSecOps
• Connaissance du Project Management
• Agile / Lean Software Development
• Security Frameworks (CyFun/SAMM/…)
• Quality Assurance & Testing (test-driven development)
• Orientation résultats, sens du client, sens des responsabilités
• Capacité de planification et d’organisation, capacité à diriger, contrôler et ajuster
• Aptitude à la négociation, orientation relationnelle
• Capacité à constituer une équipe, à la diriger et à la contrôler

Atout – connaissance de

• ITIL
• Java
• Angular