Evaluateur Offensif en Cybersécurité Confirmé

Vous rejoindrez un groupe dynamique et pourrez profiter des nombreuses opportunités de mobilités internes, au sein d’AMOSSYS ou plus largement du groupe composé de 3 entités:

- ALMOND : en France (Paris, Nantes, Strasbourg, Lyon) ou à l’étranger (Suisse, Canada, Corée du Sud), pour les services d’audit, conseil, pentest, intégration et pour nos services de cybersécurité managés - SOC / CERT / CTI ;
- AMOSSYS : à Rennes, au sein de nos équipes audit & pentest ; conseil & gouvernance, risques, conformité ; security evaluation et analysis lab (cryptographie, reverse engineering, audit de solutions logicielles, etc.) ; R&D (lutte informatique offensive et défensive, développement, etc.).
- BOARD OF CYBER : la branche solutions et logiciels cyber innovants du groupe.

Au cœur de la capitale Bretonne (Rennes), vous évoluerez dans un environnement convivial et bénéficierez de nombreux avantages:

- Partage et montée en compétences : en plus des formations externes et internes proposées sur diverses thématiques, vous pourrez développer vos compétences et faire de la veille en participant à des groupes de travail thématiques, à des conférences et CTF, aux après-midi veille technique, etc.
- Équilibre vie pro/vie perso : vous bénéficierez d’une certaine souplesse dans l’organisation de vos missions avec la possibilité de faire du télétravail ponctuel (selon missions et projets) et des horaires flexibles.
- Vie interne dynamique : vous aurez l’occasion d’apprendre à connaître vos collègues lors de nombreux moments de convivialité : petits-déjeuners, activités teambuilding, séminaire, etc.
- Package salarial global:

- Salaire brut avec système d’augmentation individuel annuel
- Primes : prime de vacances ; accord de participation ; etc.
- Avantages sociaux : titres-restaurant ; budget CSE ; forfait mobilités durables ; etc.

**Présentation du poste**:
Membre du pôle _Security Evaluation and Analysis Lab_, vous évaluerez le niveau de sécurité de produits logiciels au travers d’une approche offensive, dans le cadre des activités d’analyse logicielle offensive ou des activités du laboratoire CESTI (Centre d’Évaluation de la Sécurité des Technologies de l’Information) d’AMOSSYS.

Ces analyses pourront porter sur des composants de l’informatique standard (solution EDR, pare-feu, système de messagerie sécurisée, bibliothèque cryptographique, etc.) comme des produits plus spécialisés (système de contrôle d’accès, équipement industriel, etc.).

Vos principales missions seront de:

- Conduire des analyses de sécurité offensives sur des solutions logicielles (code source, scripts, configuration, binaires) en boîte grise ou noire (analyse de code, tests de robustesse, _reverse-engineering_ de binaires, etc.)
- Identifier les mécanismes de sécurité intégrés aux solutions étudiées et les analyser en profondeur
- Rechercher des vulnérabilités dans ces composants et mécanismes et les exploiter
- Consigner les résultats de ces travaux, émettre un avis d'expert sur le niveau de sécurité des produits, proposer des recommandations permettant d’améliorer la sécurité du produit, puis les soutenir auprès de nos clients et/ou de l’ANSSI (dans le cadre de travaux entrant dans le cadre des visas de sécurité délivrés par l'ANSSI)
- Éventuellement, et selon votre appétence, analyser des codes malveillants en lien avec notre CERT

Dans le cadre de vos travaux, et selon vos envies, vous pourrez être amené(e) à:

- Gérer des projets
- Encadrer et/ou participer à la montée en compétences d’Evaluateurs offensifs juniors, alternants ou stagiaires
- Développer des outillages ou nouvelles méthodologies de travail (méthodes innovantes, gain de productivité, etc.) et les partager à la communauté (publication d’outils _open-source_, articles de blogs, soumission d’articles en conférences ou dans la presse spécialisée, etc.)
- Contribuer au développement et au rayonnement de l’activité (communication, participation à des conférences internationales, CTF, etc.)

**Modalités**:

- Déplacements professionnels ponctuels chez les clients et/ou prestataires (en majorité sur le territoire national, très ponctuellement à l’étranger selon les projets)
- Protection du secret de la défense : renseignement d’un dossier de demande d’habilitation étudié par l’autorité compétente

**Profil recherché**:
D’un niveau de qualification Ingénieur/Bac+5, vous possédez une expérience d’au moins 2 ans dans un ou plusieurs de ces domaines : sécurité informatique, analyse de vulnérabilités, évaluation logicielle, cryptographie, développement. Vous appréciez la démarche d’audit et d’analyse ainsi que la recherche de vulnérabilités.

Vous détenez des compétences dans les domaines suivants:

- Sécurité des systèmes (Windows, Linux, Mac) ; réseaux (pare-feu, VPN, chiffrement de flux, etc.) ; mobiles (Android, iOS)
- Développement d'outils logiciels et de scripts (langage au choix : Python, Bash, etc.)

Des connaissances dans certains des domaines ci-dessous seraient un plus:

- Rétro-