Descriptif du poste: * Contexte: Équipes développement .NET/C#, déployant des applications critiques (web API, services, client lourd). Besoin d'un expert AppSec capable de faire évoluer la sécurité des applications dès le cycle de développement et en production. * Objectifs: * Mettre en place une stratégie AppSec alignée business et compliance (OWASP/STIG/etc.) * Intégrer la sécurité dans la chaîne CI/CD et dans les processus de release. * Accompagner les équipes sur les contrôles d'accès, la gestion des secrets, la sécurité des API, l'analyse des CVE et les bonnes pratiques de codage sécurité. * Technologies ciblées: C#, .NET (Core/5/6/7/8/9), .NET Framework 4.8, ASP.NET Core, Web API, PostgreSQL, SQL Server, Angular * Exemples de livrables * Architecture et design sécurisés * Revue d'architecture des applications C#, composants et dépendances * Investigation des CVEs publiées sur le dépendances logicielles en production * Cadre de développement sécurisé * Recommandations et checklists DevSecOps pour .NET * Guide de coding secure C# et patterns/anti-patterns * Intégration de contrôles SAST/DAST adaptés .NET * CI/CD et automatisation * Pipelines sécurisés (build, test, scan, deployment) avec gates de sécurité. * Intégration d'outils de scanning (SAST pour C#, SCA pour dépendances, ..). * Bug Bounty * Participation au pilotage des campagne de Bug Bounty (Echange avec les testeurs, reproduction des vulnérabilités) * Formation et transfert de compétences * Sessions de formation pour les équipes Dev et Ops, et guidelines opérationnelles. * Métriques et reporting * KPIs sécurité (vulnérabilités, temps moyen de remédiation, taux de non-conformité des builds, etc.). Profil recherché: * Connaissances clés: * Expert C# / .NET, ASP.NET Core, sécurité des API, chiffrement, gestion des identités. * Expérience solide en DevSecOps * Compétences pratiques: * Revue de code sécurisée, threat modeling (STRIDE, PASTA). * Mise en place de contrôles de sécurité dans les pipelines CI/CD. * Test d'intrusion applicatif et réponse aux incidents. * Qualités professionnelles: * Capacité à influencer et former des équipes techniques. * Communication claire et pragmatisme pour prioriser les actions.