Expert(e) AppSec/DevSecOps

Mission Envie de rejoindre une entreprise en pleine croissance, de travailler au sein d'équipes conviviales et de participer à la stratégie de croissance mondiale de l'un des portefeuilles les plus dynamiques du monde des transports publics ? Nous sommes à la recherche d'un(e) expert(e) en sécurité applicative pour répondre à l'importance croissante de la cybersécurité dans les transports publics en particulier dans les domaines ferrés et guidés ! Vous serez basé à Paris 12. Contexte En rejoignant l'équipe cybersécurité de RATP Dev, vous deviendrez expert(e) en sécurité applicative. Dans le cadre de votre mission, vous collaborerez également étroitement avec les équipes de Cybersécurité et la Direction Digitale de RATP Dev. En dehors de la cybersécurité, vos principaux partenaires comprendront les équipes produit, développement, data et infrastructure de RATP Dev. Missions Vos responsabilités comprennent l'accompagnement à la conception de systèmes sécurisés, le soutien des équipes de développement, la formation et sensibilisation des équipes du Digital au développement sécurisé, la veille technologique et la gestion d'incidents cyber sur votre périmètre. Vous accompagnerez la direction Digitale de RATP Dev dans le développement sécurisé de ses produits. Responsabilités et activités Conception

Définir ou contribuer à la définition des guides de développement sécurisé, sur la base des principes de Security et de Privacy by Design et une approche basée sur les risques. Contribuer au choix des solutions de revue de code. Participer à la rédaction et à la revue des exigences de sécurité applicative et de sécurisation des API.

Soutien auprès des équipes de développement Dans le cadre de l'entrée en vigueur du Cyber Resilience Act (CRA) visant à renforcer la cybersécurité des produits, l'expert(e) en sécurité applicative interviendra pour améliorer notre démarche de développement sécurisé.

Travailler en collaboration avec l'équipe produit pour intégrer la cybersécurité et la privacy by design dans le développement des produits de RATP Dev. Faire respecter les bonnes pratiques de sécurité du développement sur les projets et, en phase d'intégration, contribuer aux sprints pour suivre les revues sécurité pour les développements en méthode agile. Évaluer la bonne implémentation des exigences de sécurité à travers des audits applicatifs et des revues de code. Prioriser les vulnérabilités rencontrées et accompagner les développeurs dans la bonne prise en compte des mesures de remédiation, pendant tout le cycle de vie des produits, et notamment les risques sur la supply chain (dépendances aux librairies externes par exemple). Participer à la sécurisation de notre CI/CD et de notre infrastructure cloud.

Communication, formation et sensibilisation

Contribuer à la définition et au déploiement du programme de sensibilisation et de formation à la cybersécurité auprès des équipes de produit et de développement. Assurer la sensibilisation et la formation des développeurs aux techniques de développement sécurisé et aux risques de cybersécurité sur la base de frameworks de développement sécurisé du marché ; les former aux outils de revue de code.

Partage de connaissances et veille technologique

Assurer une veille technologique sur les techniques de développement sécurisé. Proposer des solutions pour améliorer la sécurité sur son périmètre d'expertise. Mettre en place un PSIRT (Product Security Incident Response Team). Travailler en étroite collaboration avec les fournisseurs de sécurité pour comprendre les risques et les menaces actuels sur les activités de développement.

Support technique et gestion d'incident

Soutenir l'équipe de cyberprotection pendant les activités de gestion et de remédiation des incidents ou crises cyber sur le périmètre d'applications développées en interne (analyse de logs et investigations, proposition de mesures correctives, etc.). Participer à l'organisation de tests de pénétration sur des applications développées par RATP Dev. Gérer le programme de bug bounty externe.

Relations de travail Interne

Reporte au Responsable de la sécurité des systèmes d'information Répond aux demandes des clients internes (DSI RATP Dev et filiales)

Externe

Clients Fournisseurs Partenaires

Particularités du poste

Poste basé à Paris 12 (Gare de Lyon)

Profile Expérience

3-5 ans dans un rôle d'expert(e) en sécurité applicative. Solide compréhension du cycle de développement agile et de l'intégration de la cybersécurité et de la privacy by design dans le logiciel

Qualifications

Formation : Bac+3 / Bac + 5, avec une spécialisation en développement logiciel et en cybersécurité Une ou des certifications sont un plus, comme : OSWE, AWS Certified Security - Specialty, ISO/IEC 27034 Lead Application Security Implementer, Certified Application Security Professional Plus (CASP+), Certified Secure Software Lifecycle Professional (CSSLP), Certified Application Security Engineer (CASE), Certified DevSecOps Professional (CDP), Certified DevSecOps Engineer (CDE)

Compétences techniques

Bonnes connaissances sur le cycle de vie du développement logiciel et sous l'angle cybersécurité : tests de code applicatif (statique / dynamique), connaissance des principales attaques sur les applications (ex. : top 10 de l'OWASP) et mesures de protection (ex. : MITRE D3FEND, guide RGPD du développeur, sécurité des APIs) Tests d'intrusion : maîtrise des techniques d'audits techniques de cybersécurité Connaissances en développement (méthode agile, APIs, langages de développement tels que Python, PHP, Symfony, JS, React, etc.) Connaissance dans la sécurisation des solutions Cloud (AWS, GCP, Azure), des conteneurs et des orchestrateurs Connaissance des outils de sécurité applicative (Static Application Security Testing ou SAST, Dynamic Application Security Testing ou DAST, Software Composition Analysis ou SCA) Connaissance en architecture sécurisée des SI et cryptographie Compréhension des risques liés aux activités de développement Connaissances générales de la gestion de projet Français et anglais courants

Soft skills

Rigueur et méthode Esprit d'analyse Pédagogie Pragmatisme Sens de la communication et de l'écoute Bonne capacité rédactionnelle Confidentialité Capacité de travail en équipe

#J-18808-Ljbffr