Ingénieur·e Devsecops - Offensive Security H/F REDSUP

Résumé du Rôle

Nous recherchons un·e Ingénieur·e DevSecOps expérimenté·e, doté·e d'une forte expertise en sécurité offensive, afin de renforcer la posture de sécurité logicielle sur l'ensemble du cycle de développement (SDLC).
Le/la candidat·e idéal·e possède une solide expérience en tests d'intrusion, une compréhension approfondie des architectures applicatives modernes, ainsi qu'une maîtrise de l'intégration de la sécurité au sein des pipelines CI/CD.

Ce poste implique une collaboration étroite avec les équipes de développement, cloud et architecture pour identifier les vulnérabilités de manière proactive, automatiser les contrôles de sécurité et promouvoir une culture d'ingénierie orientée « security by design ».

Responsabilités Principales

Sécurité Offensive / Application Security

Réaliser des tests d'intrusion ciblés sur des applications web, API, mobiles et cloud-native.

Conduire des analyses de menaces et des évaluations adversariales sur les services critiques.

Identifier, exploiter et valider des vulnérabilités pour mesurer le risque réel.

Effectuer des revues de code manuelles ou assistées par outils/IA afin de détecter les failles de sécurité.

Intégration DevSecOps

Améliorer les pipelines Azure DevOps en matière de SAST, SCA, DAST, IaC et scanning de conteneurs.
Une expérience avec Snyk est un atout majeur.

Automatiser les contrôles de sécurité et renforcer les seuils de qualité dans le CI/CD.

Créer des contrôles personnalisés, scripts et automatisations DevSecOps.

Optimiser les workflows développeurs en fournissant des bonnes pratiques de codage sécurisé et des remédiations.

Secure SDLC & Hardening Continu

Réaliser des revues de sécurité pour les nouvelles applications et les versions majeures.

Accompagner les Security Champions et coacher les équipes de développement.

Participer à la réponse à incident et aux analyses post-mortem.

Collaborer avec les équipes Cloud Security sur la posture de sécurité et la remédiation.

Automation de la Sécurité & IA

Développer ou affiner des agents IA dédiés à l'analyse de vulnérabilités et à l'assistance à la remédiation.

Mettre en place des corrélations automatisées entre les résultats SAST/SCA/Cloud.

Contribuer aux tableaux de bord et métriques internes de sécurité (Power BI, intégrations API).

Compétences & Expérience Requises

Compétences Techniques

Solide expérience en tests d'intrusion applicatifs (OWASP, attaques API, contournement d'auth, RCE, failles logiques).

Très bonne maîtrise des pratiques de développement sécurisé (C#, Java, JavaScript/TypeScript, Python, etc.).

Expérience pratique avec :

Snyk (SAST/SCA/IaC/Cloud)

Pipelines Azure DevOps

Azure Cloud (App Services, Functions, IAM, Storage, Key Vault)

Sécurité de conteneurs (Docker, notions Kubernetes)

Connaissance des outils DAST et techniques d'exploitation manuelle.

Compréhension approfondie des mécanismes d'authentification/autorisation (OAuth2, OIDC, JWT).

Bonne connaissance des architectures DevSecOps et des bonnes pratiques du SDLC.

Outils & Cadres Offensive Security

Burp Suite, ZAP, Nmap, Postman, Metasploit, scripts personnalisés.

Threat modeling (MITRE ATT&CK, STRIDE).

Analyse de code source assistée ou non par outils.

Qualifications Préférées

Certifications appréciées (non obligatoires) :
OSWE / OSCP / OSEP / GWAPT,
AZ-500, AZ-400, ou certifications cloud équivalentes.

Expérience en environnement de grande entreprise.

Expérience avec des outils AppSec assistés par IA (plus appréciée).