POSTE : Consultant Senior - Expérimenté - Sécurité Applicative H/F DESCRIPTION : Au-delà de la RSE, nous avons développé notre propre approche, RESET, qui englobe l'ensemble de nos engagements en matière de responsabilité économique, sociale, environnementale et technologique, tant au sein de notre collectif que chez nos clients. Onepoint, est une entreprise inclusive, handi accueillante, avec une politique de diversité affirmée. Equipe & Contexte Vous rejoignez une équipe d'experts et de consultants intervenant sur l'ensemble des défis cybersécurité (Gouvernance, Audits, Cloud, Zero Trust, sécurité OT et IA, cryptographie), sur des missions de conseil ou d'audit pour des clients issus de tous les secteurs. L'équipe conçoit et met en oeuvre des stratégies de défense de bout en bout, depuis l'analyse des risques et le cadrage jusqu'à l'opérationnalisation (SOC, remédiation), avec une forte exigence d'excellence technique, de souveraineté et de garantie de la continuité vitale. Nous recherchons des profils alliant technicité et solide posture de conseil : capacité à vulgariser les menaces, pédagogie, sens du collectif, autonomie et aisance avec des interlocuteurs variés (DSI, RSSI, métiers, opérationnels industriels, et Directions Générales). Vos missions En tant que Consultant Senior / Expérimenté Sécurité Applicative, vous concevez, pilotez et délivrez des prestations de pointe visant à ancrer la sécurité au coeur même du cycle de développement logiciel (SDLC) et des infrastructures de déploiement. Vous êtes le partenaire de confiance de nos clients pour transformer la sécurité applicative d'une contrainte en un véritable accélérateur de livraison (enabler). Entre ingénierie de pointe, industrialisation et coaching d'équipes de développement, vous pilotez des chantiers de transformation à fort impact et faites grandir notre collectif. - Évaluation & Audit AppSec Avancé : Vous réalisez des analyses approfondies (SAST, DAST, IAST, SCA) sur des applications web, mobiles et des API, complétées par des revues de code manuelles et des tests ciblés alignés sur les standards OWASP et ASVS. - Ingénierie & Industrialisation DevSecOps : Vous concevez et déployez des architectures de pipelines CI/CD durcis (GitLab CI, GitHub Actions, Azure DevOps) en y intégrant des contrôles de sécurité automatisés ("security gates") performants. - Modélisation des Menaces (Threat Modelling) : Vous animez des ateliers de modélisation des menaces (méthodologies STRIDE, PASTA) pour cartographier les risques des applications critiques et définir les contrôles architecturaux adaptés. - Pionnier de la Sécurité Applicative de l'IA : Vous intégrez et évaluez les risques AppSec spécifiques aux grands modèles de langage et aux API d'IA (injections de prompts, fuites de données, contournement de garde-fous) et veillez au durcissement des applications de l'écosystème DevSecMLOps. - Gestion de la Dette de Sécurité & Patterns Sécurisés : Vous analysez les vulnérabilités en fonction du risque métier pour proposer des roadmaps de remédiation chiffrées, tout en concevant des patterns réutilisables (templates de projets sécurisés, images de base durcies). - Coaching, Mentorat & Collaboration SOC : Vous encadrez et mentorez les consultants juniors. Vous animez des sessions de sensibilisation et de formation pour les équipes produit (Security Champions), et collaborez avec le SOC/CSIRT pour corréler les logs applicatifs de sécurité. Compétences recherchées - Vous possédez une excellente connaissance de l'OWASP Top 10 (Web et API), du standard ASVS , et démontrez une solide capacité à lire et critiquer du code source (Java, .NET, Node.js, Python) pour y déceler des vulnérabilités complexes. - Vous maîtrisez l'intégration et l'industrialisation d'outils SAST (SonarQube, Semgrep), DAST (Burp Suite Pro), SCA (Snyk), et de scanners IaC (Checkov, tfsec) au sein des moteurs de pipelines CI/CD majeurs. - Vous maîtrisez les concepts de Policy as Code (OPA/Rego) , les meilleures pratiques de sécurisation de conteneurs (Docker, Kubernetes) , et les solutions avancées de gestion des secrets (HashiCorp Vault, KMS). - Vous maîtrisez les frameworks de gestion des risques (STRIDE, CVSS) , l'ingénierie des logs de sécurité applicatifs , et possédez une bonne compréhension des guidelines de développement sécurisé appliqué à l'IA (NIST SSDF, OWASP Top 10 pour LLM). - Vous possédez une forte capacité à vulgariser les enjeux de sécurité auprès des équipes de développement et des Product Owners pour positionner la cyber comme un accélérateur business. - Vous savez trouver des compromis pragmatiques et réalistes entre le time-to-market des projets, la dette tech