Ingénieur sécurité des chaines CICD et du code applicative

Le consultant aura pour mission principale d'apporter son expertise pour :

Analyse et Recommandations Stratégiques :

Effectuer une veille sur le marché pour faire un premier état de l'art de ces solutions, voir retour d'expérience.

Évaluer l'utilité et la pertinence des solutions SAST, DAST, SCA et/ou ADR/RASP dans le contexte spécifique (technologies utilisées, maturité des équipes, enjeux de sécurité).

Évaluer la nécessité d'une plateforme de sécurité applicative spécialisée ou l'opportunité d'intégrer ces fonctionnalités à des outils existants (ex: plateformes CNAPP, outils de gestion de vulnérabilités).

Proposer une stratégie d'intégration de ces outils, dans l'écosystème existant en adéquation avec les objectifs de sécurité et les contraintes opérationnelles.

Analyse et Préconisation d'Intégration CI/CD :

Analyser en profondeur les chaînes CI/CD existantes (outils, pipelines) afin d'identifier les points d'intégration optimaux pour les solutions de sécurité applicative.

Préconiser un mode d'intégration technique et organisationnel qui minimise l'impact sur les développeurs tout en maximisant la détection des vulnérabilités.

Préparation du Cahier des Charges pour Appel d'Offres :

Sur la base des analyses et recommandations, élaborer un cahier des charges détaillé pour le lancement d'un appel d'offres auprès des éditeurs de solutions de sécurité applicative.

(EN OPTION) Un deuxième volet pourra consister à implémenter la solution :

Conception, Configuration et Optimisation des Outils :

Accompagner les équipes techniques dans la conception (HLD, LLD), la mise en ?uvre et la configuration initiale de la solution.

Définir les meilleures pratiques de configuration des outils retenus pour optimiser la pertinence des résultats (réduction des faux positifs, priorisation des vulnérabilités critiques).

Définition des Processus de Traitement des Vulnérabilités :

Proposer des mécanismes de tri, de priorisation, de qualification et de suivi des vulnérabilités, en tenant compte de la capacité de correction des équipes de développement.

Élaborer des processus clairs et efficaces pour le traitement des "findings" (vulnérabilités détectées) par les développeurs.

Mettre en place des indicateurs de suivi de la remédiation.

Transfert de Compétences et Formation :

Assurer la formation et le transfert de compétences auprès de l'architecte, de l'exploitant et de l'ingénieur gouvernance en charge des sujets de sécurité applicative.

Exemples de livrables produits :

Rapport d'analyse du contexte, de la chaîne CI/CD, des besoins en sécurité applicative et de veille technologiques sur les solutions pouvant y répondre

Document de recommandations stratégiques et techniques pour le choix et l'intégration des outils SAST/DAST/ADR

Architecture cible et plan d'intégration détaillé dans les chaînes CI/CD, documentation des processus de gestion et de traitement des vulnérabilités

Préparation à l'appel d'offre : cahier des charges, proposition d'un environnement de POC et du cahier de test

Documentation des processus de gestion et de traitement des vulnérabilités

Accompagnement et ateliers de transfert de compétences aux équipes internes

Profil candidat:

Objectifs et livrables

Nous recherchons un expert pour nous accompagner dans l'étude, la recommandation, l'intégration et la mise en ?uvre de solutions de type SAST (Static Application Security Testing), DAST (Dynamic Application Security Testing), SCA (Software Composition Analysis) ou ADR/RASP (Application Detection and Response/Runtime Application Self-Protection).

Compétences demandées

Gitlab CI/CD

Runtime Application Protection

CNAPP

Vulnérabilités applicatives

SAST DAST

Documentation technique

CI/CD