Application Security Engineer

Nous recherchons un Application Security Engineer opérationnel pour renforcer la sécurité tout au long du cycle de vie logiciel et intégrer les mesures de mitigation des vulnérabilités dans un environnement logiciel HA de santé réel.

Vous travaillerez en étroite collaboration avec l’IT Development and Applications Team ainsi qu’avec l’Infrastructure Team afin d’intégrer la sécurité dans les pipelines CI/CD, effectuer des revues de sécurité applicative et remédier aux vulnérabilités directement au niveau du code ou de la configuration. Vous recevrez des listes de priorités à traiter de la part de l’équipe Cybersecurity.

Il s’agit d’un poste technique et opérationnel : vous analyserez les vulnérabilités, corrigerez les problèmes dans les applications et aiderez les équipes de développement à concevoir des logiciels sécurisés dès la conception.

Si vous aimez travailler à l’intersection de la sécurité, de l’ingénierie et du DevOps, ce poste est fait pour vous.

Vous serez chargé de prendre des mesures après le triage pour remédier aux vulnérabilités applicatives (résultats SAST/DAST/SCA – issus principalement d’outils ou de processus existants, ou vous serez responsable de la mise en œuvre de certains outils pour détecter les vulnérabilités).

Vous réaliserez également des revues de code sécurisé et des évaluations de la sécurité des architectures.

Vos missions seront les suivantes :

• Résoudre les vulnérabilités et les conflits liés au code applicatif, aux librairies et dépendances
• Contribuer à la réduction de la dette technique et à l’amélioration globale de la maturité de la sécurité applicative, notamment en participant au processus de décision concernant la remédiation des vulnérabilités et en clarifiant les options
• Intégrer des outils de sécurité dans les pipelines CI/CD (DevSecOps)
• Soutenir les équipes de développement dans les pratiques de codage sécurisé
• Participer au threat modeling et aux revues de conception de sécurité

Vous vous concentrerez principalement sur la sécurité applicative – cependant, il sera nécessaire de collaborer étroitement avec les security engineers responsables du traitement des correctifs et des vulnérabilités au niveau OS.

Environnement de travail

• Pipelines CI/CD modernes (GitLab, DevOps Kubernetes/Docker)
• Outils SAST / DAST / SCA (par exemple Qualys, rapports de Pentest, etc.)
• Stacks applicatives d’entreprise (Java, JavaScript/Node.js, TypeScript, Angular ou similaire, éventuellement .NET, Python)
• Environnement Data Center local
• OWASP Top 10 et frameworks de codage sécurisé

Votre profil :

• Solide expérience en software engineering (vous êtes capable de lire et modifier du code en production)
• Expérience en sécurité applicative ou développement logiciel sécurisé
• Bonne compréhension de l’OWASP Top 10 et des vulnérabilités applicatives courantes
• Expérience concrète de la remédiation des vulnérabilités au niveau du code et de la configuration
• Familiarité avec les pipelines CI/CD et les pratiques DevSecOps
• Capacité à analyser les résultats des scanners et à distinguer les vrais problèmes des faux positifs
• À l’aise pour travailler avec des développeurs et des équipes sécurité dans un environnement HA

Atouts appréciés

• Expérience du threat modeling
• Connaissances en sécurité cloud
• Connaissance des processus de gestion des vulnérabilités

Organisation du travail

Nous proposons des postes à temps plein en présentiel. Une fois la confiance mutuelle établie, un maximum de 2 jours de télétravail par semaine pourra être autorisé.