Consultant en Sécurité Applicative et DevSecOps

Pour mon client vaudois, je recherche un Consultant en Sécurité Applicative et DevSecOps.



Analyse et évaluation de la sécurité des applications.

La prestation comprend les activités suivantes réparties en 4 lots (WP).

• WP1 - Définition des Cycles de vie des applications (Secure-SDLC) :
• Contrôler des codes sources
• Sécuriser le release management
• Sécuriser les données
• Assurer la traçabilité
• Vulgariser le processus de SSDLC au près des security champions

• WP2 - Définition des standards de développement (DevSecOps).
• Contribuer aux phases de conception
• Modéliser les designs applicatifs
• Standardiser le DevSecOps avec les équipes système et de Développement

• WP3 - Sécurisations des données
• Contribuer à la sécurisation des tenants cloud applications
• Mécanisme de revu de code
• Anonymisation des données

• WP4 - Sécurisations des APIs
• Contribuer à la sécurisation des APIs (Authentification et Autorisation), et encryption in-transit
• Protection DoS/DDoS
• Règles de pare-feu applicatif WAF et mise en place d'alertes techniques et business

Livrables

Afin de réaliser cette mission, les livrables suivants sont attendus :

• Fourniture des standards Secure-SDLC
• Support aux équipes DevOps à l'intégration des bonnes pratiques de sécurité
• Accompagner les équipes DevOps vers des pratiques DevSecOps
• Développement des processus DevSecOps et scripts custom Azure DevOps
• Mise en place et monitoring d'outils d'analyse code temps réel et construction de process de remédiation des vulnérabilités
• Rapport de suivi des recommandations
• Documentation d'exploitation
• Fourniture du Runbook

Exigences techniques

• Secure SDLC / DevSecOps - Très bonne connaissance de la sécurisation du cycle SDLC et expérience des pratiques de développement CI/CD/CS (Continuous Integration/Continuous Delivery/Continuous Security)
• IAM / PAM / CIAM - Très bonne connaissance en schéma d'authentification SSO, OpenID Connect (OIDC), aux frameworks SAML et OAuth et au standard JWT
• API : Très bonne connaissances SOAP / RESTful / GraphQL / gRPC / WebSocket / WebHook
• WAF : Experience pare-feu application web
• Authentification : Très bonne connaissance en authentification forte (2FA, MFA, OTP) et passwordless (FIDO2 et Passkeys) et conditional access
• Data : Experience en anonymisation et pseudo anonymisation des données ainsi que la compliance Data Protection dans les cycles de développement logiciel.
• SAST/DAST : Expérience sur les outils suivants Snyk, SonarCloud, Qualys WAS et BurpSuite serait un plus.
• OWASP : Connaissance et expérience Top 10
• ITIL v4 : Certification ITILv4 foundation

Durée du contrat

Du 03.02.2025 au 19.12.2025.