ingénieur informatique SSI Applicatif — Référent sécurité informatique projet informatique · Conformité & Conseil technique informatique (IT)

Profil attendu : ni auditeur GRC pur, ni pentesteur ? l'intermédiaire crédible entre le monde de la sécurité et le monde du développement. Un auditeur sans compétence technique se fera "enfumer" par les équipes dev. Un développeur sans culture conseil ne saura pas produire des avis opposables ni tenir une position sécurité sous pression.

MISSIONS PRINCIPALES

Accompagnement Projet & Security by Design Intégrer la sécurité dans le cycle de vie des projets SI dès la conception : recueil des besoins, architecture, développement, recette Produire des exigences de sécurité contextualisées pour chaque projet : déclinaison opérationnelle des référentiels (OWASP, RGS, PSSIE, ISO 27001, NIS2) adaptée au contexte technique et métier Conduire des séances de threat modeling avec les équipes projet pour identifier les risques applicatifs en amont Conseiller les architectes et développeurs sur les choix techniques à impact sécurité : authentification, gestion des secrets, chiffrement, cloisonnement Contrôle de Conformité & Avis Sécurité Réaliser des contrôles de conformité SSI sur les projets : couverture des exigences, identification des écarts, formulation de recommandations Émettre des avis sécurité formels (favorable, réservé, défavorable) opposables auprès des équipes projet et de la direction SSI Assurer la traçabilité des exigences de sécurité et leur couverture effective dans les livrables Maintenir sa position sécurité face aux équipes projet sous pression de délais ? avec diplomatie mais sans compromis sur les exigences essentielles Conseil sur la Transformation du SI Accompagner les nouveaux cas d'usage : cloud, API, IA ? produire les exigences de sécurité associées Sécuriser les API REST et composants cloud : authentification (OAuth2, SAML), IAM, gestion des secrets, exposition des services Contribuer à l'amélioration continue du processus SSI projet : méthodes, templates d'exigences, outillage Appui Homologation & Analyse de Risques Contribuer aux analyses de risques EBIOS RM en apportant la vision applicative sur les scénarios de menace Participer aux processus d'homologation RGS en fournissant les livrables sécurité de son périmètre Pédagogie & Capitalisation Animer des sessions de sensibilisation sécurité auprès des équipes techniques non-SSI Être le référent sécurité applicative accessible et compréhensible ? vulgariser sans décrédibiliser Contribuer à la capitalisation de l'équipe SSI : retours d'expérience, bonnes pratiques Profil candidat:

PROFIL RECHERCHÉ

5 à 8 ans en sécurité des SI, dont une expérience significative en sécurité applicative ou en accompagnement projet SSI Expérience en RSSI adjoint, en équipe SSI d'un grand groupe ou en cabinet de conseil sécurité (missions Security by Design) : signal le plus fort Une expérience en développement applicatif en début de carrière est un vrai plus ? crédibilité technique naturelle face aux développeurs Exposition à un environnement régulé OIV / OSE ou à des référentiels PSSIE / RGS : fortement valorisée Pédagogue : explique une exigence de sécurité à un développeur sans le braquer Rédacteur : les exigences, avis et recommandations sont des livrables écrits ? la qualité de la plume compte Organisé : gestion d'un portefeuille multi-projets simultanés

COMPÉTENCES REQUISES

Sécurité applicative ? Must Have : OWASP Top 10 ? maîtrise opérationnelle : savoir déceler et adresser en contexte projet, pas juste citer Authentification & IAM ? OAuth2, SAML, MFA, gestion des sessions Chiffrement & gestion des secrets ? principes, bonnes pratiques, erreurs courantes Threat modeling ? animation ou contribution à des séances d'identification des risques applicatifs Référentiels & Conformité ? Must Have : ISO 27001 / 27002 ? déclinaison en exigences opérationnelles RGS ? connaissance pratique pour les contextes administration / OIV PSSIE ? exigences applicables aux SI de l'État et équivalents NIS / NIS2 ? obligations des opérateurs de services essentiels RGPD ? exigences applicables à la conception des traitements de données Cloud, API & Nouvelles Technologies ? Bonus fort : Sécurisation des API REST : authentification, autorisation, exposition, gestion des tokens Sécurité cloud : IAM cloud, shared responsibility model, zero trust, secrets management Méthodes ? Nice to Have : EBIOS RM ? contribution à des analyses de risques Homologation RGS ? participation à un processus, connaissance des livrables attendus Certifications : CISSP, CISM, ISO 27001 LA/LI ? si elles reflètent une pratique opérationnelle réelle