Ingénieur(e) Sécurité Produits - Security Development Lifecycle (SDL)

L’ingénieur(e) sécurité produit intervient dans le cadre du processus de développement sécurisé (Secure Development Lifecycle, SDL) de son périmètre et coordonne les activités avec les équipes de développement et de validation des Lignes de Produits (Business Lines). Ce poste supporte les équipes des Lignes de Produits dans l’exécution du processus de développement sécurisé (SDL), avec une validation des livrables de spécifications, tests et surveillance. Il contribue également à l’amélioration continue du process SDL, mises à jour, audits internes, dans le respect des politiques internes GEV / GS ainsi que des standards internationaux comme IEC 62443-4-1. Ce poste contribue également à la gestion des vulnérabilités et incidents sur les produits et systèmes en coordination avec les équipes concernées et le responsable incidents de GEV.

• Aider les Lignes de Produits pour l’exécution des processus de développement sécurisé (SDL) et de gestion des incidents et vulnérabilités, de manière consistante avec les politiques existantes. Cela inclut la définition des exigences de sécurité, les analyses de risques et modèles de menaces, la revue des résultats d’analyse de code statique, la validation du design et la stratégie de test, les évaluations de sécurité et tests d’intrusion, les guides de déploiement sécurisé, les bulletins de sécurité.
• Selon les besoins de Lignes de Produits, un support aux équipes R&D pour s’assurer que les livrables du processus SDL soient prêts et vérifiés lors des revues techniques et s’assurer de leur suivi.
• Réaliser des audits réguliers du processus SDL pour s’assurer de la conformité avec le référentiel et identifier les actions d’améliorations du processus ainsi que de son implémentation.
• Contribuer à la gouvernance de la sécurité des produits : compliance avec les politiques internes, les standards et les réglementations.
• Partager les bonnes pratiques et retours d’expérience, tenir à jour le référentiel cyber, notamment en fonction des nouvelles technologies, en collaboration avec la communauté sécurité produits, les architectes et experts.
• Développer et réaliser des formations de sécurité à diverses audiences comme des responsables produits, développeurs, support technique.

• Bachelor en informatique ou spécialisation « STEM » (sciences, technologie, ingénierie et mathématiques
• Expérience en processus de développement sécurisé (SDL), bonnes pratiques sécurité de développement logiciel
• 2 ans d’expérience en design de logiciel sécurisé, programmation sécurisée (analyse statique de code), de préférence en environnement industriel (OT – Operational Technology)
• Connaissances des réseaux et protocoles de communications TCP/IP et expérience en équipements réseau (routeur, switch, pare-feu)
• Veille technologique sur la cyber sécurité
• Expérience avec Linux, VxWorks, Windows, notamment durcissement, contrôle d’accès, gestion des patchs
• Expérience confirmée avec des outils de test d’intrusion et d’évaluation de vulnérabilité (Kali, OpenVAS, etc.)
• Connaissances de technologies de sécurité telles
  • Chiffrement symétrique et asymétrique, infrastructure de gestion de clés
  • LDAP, RADIUS, SSH, SFTP, HTTPS, SYSLOG
  • TLS, RSA, signature de code et de binaires
• Connaissances de standards de sécurité applicables aux industries du secteur électrique comme IEC 62443, IEC 62351, ISO/IEC 27001, IEEE 1686
• Excellentes capacités de communication et maîtrise de l'anglais écrit et oral
• Capacités à travailler efficacement en équipe, avec différents départements, dans un environnement international

• Connaissances des protocoles de communications industrielles Modbus, DNP3/IEC-104, IEC 61850.
• Les certifications de sécurité sont un plus (ex. ISA, CISSP, SANS, ISACA)
• Esprit client
• Compétences interpersonnelles et leadership

Relocation Assistance Provided: No