En tant que Product Owner Cybersecurity Testing & Exposure Management, vous êtes responsable du développement, de la gestion et de l’évolution continue de la prestation de services autour des tests de sécurité et de la gestion des vulnérabilités au sein de l’organisation. Vous traduisez les besoins des parties prenantes internes en une vision produit claire et une roadmap, et vous pilotez la réalisation via des partenaires externes et des équipes internes. Vous veillez à une exécution structurée et qualitative des services (périmètre, planification, reporting, suivi et contrôle qualité) et vous garantissez que les parties prenantes soient servies de manière correcte et dans les délais.

Penetration Testing

Vous planifiez, coordonnez et réalisez des penetration tests sur les applications, systèmes et infrastructures — tant en interne qu’en collaboration avec des parties externes spécialisées. Vous accompagnez les parties prenantes internes pour définir le périmètre et les objectifs, et vous assurez la qualité de chaque projet : de la demande initiale et la définition du scope à l’exécution des tests, jusqu’au reporting et au suivi des vulnérabilités. Vous jouez un rôle clé dans l’assurance qualité : vous relisez et validez les rapports délivrés (cohérence, exhaustivité, reproductibilité des constats, évaluation claire des risques et conseils de remédiation concrets), et intervenez si nécessaire afin que les parties prenantes puissent compter sur des résultats exploitables et orientés action.

Ethical hacking

Vous jouez un rôle actif dans le développement et le suivi des initiatives d’ethical hacking, dont les programmes de vulnerability disclosure et de bug bounty. Vous organisez un traitement structuré et sécurisé des vulnérabilités signalées et collaborez avec les équipes internes ainsi qu’avec des chercheurs externes pour analyser, prioriser et suivre correctement les vulnérabilités.

Exposure management

Vous gérez et développez le service d’exposure management, incluant la gestion et l’optimisation de solutions telles que les vulnerability scanners et l’attack surface management (ASM). Vous assurez une configuration correcte, l’intégration, le reporting et le suivi des constats, et vous alignez la priorisation et la remédiation avec les équipes produit et plateforme concernées. Vous définissez les KPI/SLA et garantissez la qualité du service délivré par les fournisseurs et/ou les exécutants internes.

Amélioration continue

Vous suivez activement les évolutions dans le domaine et examinez de nouvelles approches, méthodologies et technologies — telles que des formes hybrides de test et des techniques émergentes — afin de rendre la prestation de services autour des tests de cybersécurité plus efficace et orientée vers l’avenir.

Exigences et expérience

• Expérience avérée en tant que Security Consultant dans l’un des environnements suivants : data, infrastructure, applications, ...
• Expertise prouvée dans un domaine spécifique de l’information security (par ex. implémentation de processus d’information security management, réalisation d’analyses de vulnérabilité et de pentests, optimisation de la sécurité applicative via des moyens rentables, mise en œuvre de Privileged Access Management, implémentation de solutions de chiffrement)
• Expérience avérée dans l’analyse, l’optimisation et la documentation de processus et de la gouvernance de la sécurité
• Expérience avérée des techniques et/ou référentiels de gestion de la sécurité (par ex : ISO27000 series, COBIT for Security, NIST, OWASP, CIS Critical Security Controls for Effective Cyber Defense)
• Connaissances et expérience attestées par des certifications en fonction du domaine d’expertise (par ex. CISM, CISSP, CEH)
• Exigence linguistique : néerlandophone au niveau C2 du CECRL

Contexte / Exigences

Digitaal Vlaanderen a pour mission de développer une politique d’information cohérente à l’échelle de l’administration et de soutenir et réaliser la transition du gouvernement flamand vers une administration pilotée par la donnée. Les produits et services de l’agence sont organisés en programmes afin de maximiser les synergies et d’offrir un service optimal à nos partenaires VO. Digitaal Vlaanderen est une agence de digitalisation du gouvernement flamand, engagée dans la transformation numérique des services et la collaboration entre administrations, citoyens et entreprises. Nous accompagnons et soutenons les autorités flamandes et locales dans leur transformation numérique et leur recherche de l’administration de demain.

Contexte métier

Vous travaillez au sein du Vlaams Centrum voor Digitale Veiligheid (VCDV), qui fait partie de Digitaal Vlaanderen. Le VCDV agit comme centre d’expertise central pour la sécurité numérique au sein du gouvernement flamand et soutient à la fois les entités flamandes et les administrations locales avec expertise, services et coordination en matière de cybersécurité.

Dans ce contexte, un service structurel est développé autour de la gestion des vulnérabilités, y compris les penetration tests et l’ethical hacking. Ce service vise à identifier les vulnérabilités à temps et à soutenir les organisations du gouvernement flamand et les administrations locales dans le renforcement de leur sécurité numérique.

Contexte technique

Dans ce rôle, le Product Owner est attendu pour développer, opérationnaliser et surveiller la prestation de services autour des tests de cybersécurité et de l’exposure management. La fonction combine une expertise de contenu en offensive security avec un ownership produit affirmé : recueil des besoins auprès des parties prenantes, priorisation, élaboration de la roadmap, pilotage des fournisseurs et contrôle de la qualité de service.

L’environnement technique dans lequel ce service est proposé est très diversifié et comprend différentes technologies, plateformes et architectures utilisées au sein du gouvernement flamand et par les administrations locales. Cela signifie que les tests de cybersécurité doivent pouvoir être appliqués à des applications, infrastructures et plateformes numériques variées.

Les principales tâches et responsabilités comprennent :

• Cartographier les besoins des parties prenantes internes (entités flamandes et administrations locales) et les traduire en une vision produit claire, un backlog et une roadmap pour le cybersecurity testing et l’exposure management.

• Organiser, exécuter et coordonner des penetration tests sur des applications, API, plateformes et infrastructures, y compris la définition du périmètre et la stratégie de test en collaboration avec les parties prenantes concernées.

• Piloter les prestataires externes (y compris les fournisseurs de pentest) et garantir la qualité et la cohérence : mise en place d’un processus clair de revue et d’acceptation des livrables, contrôle qualité des rapports de pentest (couverture du scope, clarté des constats, reproductibilité, évaluation/notation du risque, impact, preuves et propositions de remédiation), et suivi des engagements concernant les délais et la communication.

• Gérer les solutions d’exposure management telles que les vulnerability scanners et l’attack surface management (ASM) : configuration, intégrations, reporting, tuning (faux positifs/couverture) et gestion du cycle de vie.

• Développer et gérer des initiatives d’ethical hacking, telles que les programmes de vulnerability disclosure et de bug bounty, incluant la triage, l’analyse, la priorisation et le suivi des signalements.

• Préparer et exécuter des trajectoires de sourcing (y compris RFI/RFP) : définition des exigences et critères d’évaluation, évaluation des offres, justification de la sélection et élaboration des contrats/SLA.

• Gérer les relations avec les fournisseurs et la prestation de services : suivi des SLA/KPI, organisation de service reviews, gestion des escalades et amélioration continue basée sur les données et le feedback.

• Garantir la surveillance qualité de bout en bout : intake clair, planification transparente, reporting uniforme, suivi des remédiations et communication périodique aux parties prenantes.

• Veiller à l’utilisation de méthodologies et standards reconnus pour les tests de cybersécurité, tels que l’OWASP Testing Guide, PTES ou des cadres de référence similaires.

• Suivre les évolutions dans le domaine des tests de cybersécurité et de l’exposure management et contribuer au développement et à l’amélioration continue des services (processus, métriques, outils et approche).