Trouvez votre prochaine offre d’emploi ou de mission freelance OWASP

VOTRE QUOTIDIEN RESSEMBLERA A… Vous rejoignez notre client et serez en charge de : Participer aux rituels Agiles (Daily, Poker Planning, Démo mais aussi revue de code) Monter en compétence sur la structuration des sites et l'appropriation du périmètre de l’équipe. Prendre en charge les US de développement dans la squad dans le respect des bonnes pratiques. Analyser et résoudre les anomalies remontées par le métier. Proposer des axes d'amélioration des bonnes pratiques existantes. Participer à la réduction de la dette sur les sites. Environnement Technique : HTML/CSS, JS, OWASP, Git, Jenkins, Scrum, Kanban Le poste est basé à Nantes (44). Dans le cadre de vos fonctions, vous devrez pourrez bénéficier de 3 jours de télétravail par semaine.

Nous recherchons un Expert Sécurité (AppSec/Archi Sécurité) pour intervenir au sein d'une banque dans le cadre d'une mission longue. L'objectif est de renforcer la sécurisation des applications mobiles et web développées et hébergées au sein d'un grand groupe. Votre rôle sera de monter les exigences de sécurité des équipes de développement en intégrant des bonnes pratiques de sécurité dans chaque projet (ISP). Vous travaillerez également sur la réalisation de gap analysis pour identifier et combler les écarts de conformité, ainsi que sur l'amélioration continue des frameworks d'application sécurisés. L'expert jouera un rôle clé dans la gestion de la sécurité des interconnexions et l'authentification des systèmes

Expertise Tufin administration et support N2-N3 de la plateforme tufin --> en étroite collaboration avec l'éditeur. Rédaction et maintien des rapports d'audit tufin / cartographie ... Mise en application de la Politique de Sécurité. Contrôle de la Politique de Sécurité, notamment par des Contrôles Périodiques de Niveau 1 - Valide et instruit les dérogations contrevenant à la Politique de Sécurité. Maintien en Conditions Opérationnelles des Infrastructures de Sécurité (supervision, prise en charge et résolution des incidents/problèmes, installation et configuration) Participation aux audits (internes / externes) Mise en applications des recommandations d'audit et des demandes de remise en conformité Rédaction de guides et standards de sécurité Donne son avis pour l'implémentation des solutions de sécurité Proposition de solutions innovantes pour améliorer la sécurité, la qualité, les performances et les coûts d'exploitation- Assure la veille technologique Expertise dans le domaine des politiques de sécurité Firewall: Palo Alto, Fortinet, checkpoint RUN : Participer à l'implémentation des règles de filtrage au quotidien sur les firewall respectant les règles d'exploitation et la politique de sécurité interne. BUILD : Implémenter la matrice de flux correspondant aux attentes des projets, pour suivre les évolution de version ou de technologie ou architecture. Réaliser des diagnostics pour identifier les causes de dysfonctionnement et proposer des corrections et des solutions de contournement. Définir et mettre en œuvre les règles de bonne gestion et d'exploitabilité des systèmes ou produits et les qualifier d'un point de vue technique. Proposer des solutions pour améliorer les performances de l'activité RUN. Participe aux astreintes régulières sur le périmètre Firewall.

Dans le cadre d'une extension de notre périmètre nous recherchons 1 expert en sécurité des développements. Nous recherchons une personne en mesure d'accompagner des équipes de développement sur l'analyse et le tri des alertes générées par notre outils d'audit de Code. L'accompagnement doit permettre également afin de faire progresser nos développeurs sur les aspects développements sécurisés. Nous souhaitons également améliorer la prise en compte des secrets dans le code, il y aura des travaux à mener sur l'état des lieux, la recherche de solutions et/ou d'outils, la proposition de recommandations... La personne devra bien connaître les technologies Java, de plus une bonne connaissance des usines logicielles, notamment de Jenkins et de Checkmarx est indispensable pour accompagner ces nouvelles équipes de développement.

Réalisation de tests offensifs, principalement sur des applications Rédaction des rapports suite aux tests Participation et animation des restitutions auprès des métiers Réalisation de tests de vulnérabilité en mode RUN via les scanners déployés Maintien en condition opérationnelle de l'outillage Participer aux projets d'amélioration du service (outillage, méthodologie) Attitude positive, participative et constructive Connaissance du monde défensif (monde "Blue") sera apprécié Compte rendu et restitution des tests de sécurité Organisation de réunion de restitution Suivi du planning annuel des tests de sécurité

Pour l'un de nos clients grand compte situé en Ile-de-France, dans le cadre d'une mission de longue durée permettant du télétravail, nous recherchons un Expert WSO2 – Devsecops . Le consultant interviendra dans l’ accompagnement à la mise à jour WSO2 permettant l’exposition d’APIs . Il sera également amené à interagir avec le service DevSecOps pour réaliser le suivi des plans de remédiation. Ses missions : • conception, les études et la mise en place de solutions pour les projets du pôle • Mise en place de socle technique & Démonstration de faisabilité. • Mise en place de solutions automatisées et d’outillage afin de simplifier les développements des équipes et le quotidien des projets. • Mise en place et maintien du CI/CD • Assure un rôle majeur dans le delivery et le fonctionnement DevSecOps. • Amélioration de la robustesse et de la haute disponibilité des applications • Analyse et résolution sur différentes problématiques techniques pour les différents projets. • Présentation des enablers techniques lors des PI Plannings. • Participation aux mises en production complexes (support). • Support de niveau 3 / expertise sur des problématiques de production. • Vérification / validation des performance et robustesse de chaque solution technique / offre Compétences techniques • Avoir obligatoirement des connaissances pointues sur ESB et l’API management (WSO2) • Expérience en upgrade / développement avec normes sécu et architecture pour la migration WSO2 de v3.1 vers v4.3, et adaptation de l’applicatif • Connaissances en intégration dans une chaîne CI/CD (via Gitlab notamment) ; • Connaissances en développement et intégration d'architectures N tiers et applications web ; • Connaissances en développement Agile ; • Connaissances souhaitables en sécurisation des API (notamment sur la base de l’OWASP Top 10 API)

DevSecOps : Expérimenté Animation et sensibilisation : Expérimenté Pilotage projet Agile : Expérimenté Organisation et pilotage d’audit de sécurité : Expérimenté Sécurité - Risques : Expérimenté Pilotage projet Agile : Expérimenté Intégration de la sécurité dans le développement d’applications CheckMarx, Xray, SonarQube, Docker, Jenkins, Ansible, Kubernetes, GitLab, Terraform, PIC (plateforme d’intégration continue), Keycloak, etc… Dans une démarche d’identification des points faibles et d’amélioration permanente de la sécurité des systèmes d’information au sein des différents projets, l’équipe CISO désire renforcer l’intégration de sécurité dans les projets DevOps et évaluer à l’aide d’audits de sécurité, le niveau de sécurité logique des applications (code source, fonctionnement) ainsi que la conformité des applications par rapport aux référentiels du groupe SECAPI et au référentiel OWASP. La prestation consiste à assister le référent sécurité et les équipes de développement sur les missions ci-dessous : - Piloter l’intégration de la sécurité applicative dans les projets (DeVSecOps), organiser et piloter des audits de test d’intrusion ; - Intégrer les phases de conception projet dans une approche " Security by Design " ; - Rédiger des articles focus sur l’architecture sécurité ; - Organiser la gouvernance de l’intégration, de l’usage et de la méthodologie autour des outils de sécurité ; - Participer à la professionnalisation et à l’amélioration continue de la chaine CI/CD ; - Organiser et animer des ateliers techniques de sensibilisation sur l’intégration de la sécurité dans les applications ; - Animer la communauté DecOps avec un focus DevSecOps - Accompagner les équipes DevOps pour transmettre les bonnes pratiques en matière de sécurité ; - Participer à la mise en œuvre et à l’amélioration des modèles de vulnérabilités des produits de sécurité ; - La réalisation et le suivi des revues de code, via l’outil AquasSec de TRIVY, visant à s’assurer des bonnes pratiques en termes de développement ; - Analyse des résultats de scans d’images Docker via l’outil Xray La prestation amènera à d’autres missions ponctuelles telles que le pilotage de test d’intrusion, le suivi et la correction des vulnérabilités.

Nous recherchons un(e) Expert Sécurité des Réseaux WAF/F5 et VMware pour renforcer nos équipes et contribuer à la sécurisation de nos infrastructures critiques. Concevoir, configurer et maintenir les infrastructures de sécurité basées sur les technologies F5 BIG-IP (LTM, ASM, APM) . Déployer et administrer des politiques WAF pour protéger les applications web contre les menaces (OWASP Top 10, DDoS, etc.). Optimiser les configurations d'équilibrage de charge (Load Balancing) et de gestion des flux réseau. Superviser l'intégration des solutions F5 dans des environnements complexes multi-cloud et on-premise. Configurer et administrer des environnements virtualisés VMware (vSphere, NSX-T). Implémenter des politiques de sécurité réseau dans les environnements VMware, en utilisant NSX pour micro-segmentation et pare-feu distribué. Gérer les audits et remédiations pour garantir la conformité aux standards de sécurité. Participer à la résolution des incidents critiques de sécurité réseau, incluant les failles WAF, les attaques réseau et les anomalies dans les environnements virtualisés. Contribuer à l'analyse des logs (F5, VMware NSX) pour détecter et prévenir les menaces. Collaborer avec les équipes SOC et autres experts pour renforcer la posture globale de sécurité. Suivre les évolutions des solutions WAF/F5 et VMware et proposer des améliorations adaptées aux besoins métiers. Participer à des projets de transformation des infrastructures réseau et sécurité. Documenter les procédures et partager les bonnes pratiques avec les équipes internes.

Pour mon client vaudois, je recherche un Consultant en Sécurité Applicative et DevSecOps. Analyse et évaluation de la sécurité des applications. La prestation comprend les activités suivantes réparties en 4 lots (WP). WP1 - Définition des Cycles de vie des applications (Secure-SDLC) : Contrôler des codes sources Sécuriser le release management Sécuriser les données Assurer la traçabilité Vulgariser le processus de SSDLC au près des security champions WP2 - Définition des standards de développement (DevSecOps). Contribuer aux phases de conception Modéliser les designs applicatifs Standardiser le DevSecOps avec les équipes système et de Développement WP3 - Sécurisations des données Contribuer à la sécurisation des tenants cloud applications Mécanisme de revu de code Anonymisation des données WP4 - Sécurisations des APIs Contribuer à la sécurisation des APIs (Authentification et Autorisation), et encryption in-transit Protection DoS/DDoS Règles de pare-feu applicatif WAF et mise en place d'alertes techniques et business Livrables Afin de réaliser cette mission, les livrables suivants sont attendus : Fourniture des standards Secure-SDLC Support aux équipes DevOps à l'intégration des bonnes pratiques de sécurité Accompagner les équipes DevOps vers des pratiques DevSecOps Développement des processus DevSecOps et scripts custom Azure DevOps Mise en place et monitoring d'outils d'analyse code temps réel et construction de process de remédiation des vulnérabilités Rapport de suivi des recommandations Documentation d'exploitation Fourniture du Runbook Exigences techniques Secure SDLC / DevSecOps - Très bonne connaissance de la sécurisation du cycle SDLC et expérience des pratiques de développement CI/CD/CS (Continuous Integration/Continuous Delivery/Continuous Security) IAM / PAM / CIAM - Très bonne connaissance en schéma d'authentification SSO, OpenID Connect (OIDC), aux frameworks SAML et OAuth et au standard JWT API : Très bonne connaissances SOAP / RESTful / GraphQL / gRPC / WebSocket / WebHook WAF : Experience pare-feu application web Authentification : Très bonne connaissance en authentification forte (2FA, MFA, OTP) et passwordless (FIDO2 et Passkeys) et conditional access Data : Experience en anonymisation et pseudo anonymisation des données ainsi que la compliance Data Protection dans les cycles de développement logiciel. SAST/DAST : Expérience sur les outils suivants Snyk, SonarCloud, Qualys WAS et BurpSuite serait un plus. OWASP : Connaissance et expérience Top 10 ITIL v4 : Certification ITILv4 foundation Durée du contrat Du 03.02.2025 au 19.12.2025.