POSTE : Ingénieur·e Devsecops - Offensive Security H/F DESCRIPTION : Résumé du Rôle Nous recherchons un·e Ingénieur·e DevSecOps expérimenté·e, doté·e d'une forte expertise en sécurité offensive, afin de renforcer la posture de sécurité logicielle sur l'ensemble du cycle de développement (SDLC). Le/la candidat·e idéal·e possède une solide expérience en tests d'intrusion, une compréhension approfondie des architectures applicatives modernes, ainsi qu'une maîtrise de l'intégration de la sécurité au sein des pipelines CI/CD. Ce poste implique une collaboration étroite avec les équipes de développement, cloud et architecture pour identifier les vulnérabilités de manière proactive, automatiser les contrôles de sécurité et promouvoir une culture d'ingénierie orientée « security by design ». Responsabilités Principales Sécurité Offensive / Application Security Réaliser des tests d'intrusion ciblés sur des applications web, API, mobiles et cloud-native. Conduire des analyses de menaces et des évaluations adversariales sur les services critiques. Identifier, exploiter et valider des vulnérabilités pour mesurer le risque réel. Effectuer des revues de code manuelles ou assistées par outils/IA afin de détecter les failles de sécurité. Intégration DevSecOps Améliorer les pipelines Azure DevOps en matière de SAST, SCA, DAST, IaC et scanning de conteneurs. Une expérience avec Snyk est un atout majeur. Automatiser les contrôles de sécurité et renforcer les seuils de qualité dans le CI/CD. Créer des contrôles personnalisés, scripts et automatisations DevSecOps. Optimiser les workflows développeurs en fournissant des bonnes pratiques de codage sécurisé et des remédiations. Secure SDLC & Hardening Continu Réaliser des revues de sécurité pour les nouvelles applications et les versions majeures. Accompagner les Security Champions et coacher les équipes de développement. Participer à la réponse à incident et aux analyses post-mortem. Collaborer avec les équipes Cloud Security sur la posture de sécurité et la remédiation. Automation de la Sécurité & IA Développer ou affiner des agents IA dédiés à l'analyse de vulnérabilités et à l'assistance à la remédiation. Mettre en place des corrélations automatisées entre les résultats SAST/SCA/Cloud. Contribuer aux tableaux de bord et métriques internes de sécurité (Power BI, intégrations API). Compétences & Expérience Requises Compétences Techniques Solide expérience en tests d'intrusion applicatifs (OWASP, attaques API, contournement d'auth, RCE, failles logiques). Très bonne maîtrise des pratiques de développement sécurisé (C#, Java, JavaScript/TypeScript, Python, etc.). Expérience pratique avec : Snyk (SAST/SCA/IaC/Cloud) Pipelines Azure DevOps Azure Cloud (App Services, Functions, IAM, Storage, Key Vault) Sécurité de conteneurs (Docker, notions Kubernetes) Connaissance des outils DAST et techniques d'exploitation manuelle. Compréhension approfondie des mécanismes d'authentification/autorisation (OAuth2, OIDC, JWT). Bonne connaissance des architectures DevSecOps et des bonnes pratiques du SDLC. Outils & Cadres Offensive Security Burp Suite, ZAP, Nmap, Postman, Metasploit, scripts personnalisés. Threat modeling (MITRE ATT&CK, STRIDE). Analyse de code source assistée ou non par outils. Qualifications Préférées Certifications appréciées (non obligatoires) : OSWE / OSCP / OSEP / GWAPT, AZ-500, AZ-400, ou certifications cloud équivalentes. Expérience en environnement de grande entreprise. Expérience avec des outils AppSec assistés par IA (plus appréciée). PROFIL : Compétences Relationnelles Capacité à challenger les choix de design ou d'architecture sous un angle attaquant. Excellente communication, adaptée aux profils techniques et non techniques. Leadership sur les sujets sécurité et accompagnement des développeurs. Forte capacité d'analyse et de résolution de problèmes.