Consultant senior en sécurité offensive / auditeur technique (h/f)

Description du poste


Nous recherchons un nouveau talent pour intervenir en tant qu’Auditeur Sécurité Technique Senior, avec une forte orientation architecture sécurisée et tests d’intrusion. Si vous êtes passionné(e) par l’offensive comme par la sécurisation des systèmes (on-prem & cloud), c’est le moment de nous rejoindre !
En tant que Senior, vous aurez une double fonction : réaliser des missions d’audit techniques de bout en bout et agir comme référent technique auprès des consultants/auditeurs (méthodo, outillage, qualité des livrables, accompagnement).

Responsabilités principales

Réalisation d’audits d’architecture sécurité (revue de conception, analyse de menaces, recommandations de durcissement, patterns sécurité).
Conduite de tests d’intrusion (web, API, mobile, interne/externe, AD, cloud) et, selon contexte, activités red team/purple team.
Encadrement méthodologique : définition du périmètre, règles d’engagement (RoE), scénarios d’attaque, gestion des risques de test.
Rédaction de rapports d’audit actionnables (constats, preuves, criticité, recommandations, plan de remédiation priorisé).
Restitution aux parties prenantes (techniques et métiers), suivi de remédiation et retest.
Contribution à l’amélioration continue : playbooks, templates, capitalisation, veille, R&D outillage, partage en communauté.

Vos missions détaillées

Audits d’intrusion :
Web & API (OWASP Top 10, authN/authZ, logique métier, SSRF, XSS, injection, etc.)
Infrastructure (externe/interne), Active Directory, mouvements latéraux, élévation de privilèges
Audit de configuration et durcissement (OS, middleware, Kubernetes, reverse proxy, WAF, IAM…)
Cloud (AWS/Azure/GCP) : revue IAM, exposition, stockage, secrets, posture, scénarios d’attaque

Audits d’architecture :
Revue de conception (flux, trust boundaries, chiffrement, gestion des secrets, journalisation, HA, etc.)
Recommandations “secure by design” et validation de la mise en œuvre

Accompagnement & leadership :
Coaching des profils plus juniors, revues de livrables, amélioration des pratiques et de la qualité
Animation d’ateliers (restitution, sensibilisation technique, retours d’expérience)

Suivi :
Coordination avec équipes produit/infra/sécu, priorisation, plan de remédiation, retest et clôture

Qualifications
Compétences requises

Pentest / intrusion : excellente maîtrise des approches et méthodologies (OSSTMM / PTES / OWASP, etc.), capacité à construire des scénarios réalistes et maîtrisés.

Architecture & sécurité : capacité à analyser une architecture, identifier les faiblesses structurelles, proposer des contre-mesures pragmatiques et priorisées.

AD & environnements hybrides : compréhension solide des mécaniques Kerberos, GPO, délégations, chemins d’attaque (ADCS, LAPS, etc. selon contexte).

Web/API : compréhension des mécanismes d’authentification (OAuth2/OIDC, JWT, SSO), contrôle d’accès, segmentation, sécurité applicative.

Cloud (AWS/Azure/GCP) : IAM, réseau, stockage, services managés, pratiques de sécurité et risques d’exposition.

Outillage : Burp Suite, Nmap, Metasploit, Nessus/Qualys/OpenVAS (selon mission), outils AD, fuzzing, outils cloud et K8s.

Scripting / automatisation : Python, Bash, PowerShell (automation, parsing, PoC, tooling).

Reporting & restitution : produire des rapports clairs, exploitables, avec preuves, criticité, recommandations et plan d’action ; aisance à présenter à différents niveaux.



Qualifications


De formation supérieure bac + 5, en école d'ingénieur ou en université, vous recherchez à vous spécialiser ou continuer votre spécialisation en sécurité offensive. Vous possédez un sens de l'écoute, des capacités d'analyse et de synthèse et êtes méthodique. Vous possédez également un bon relationnel, vous aimez travailler en équipe et vous souhaitez vous investir dans des projets d'envergure. Votre anglais est opérationnel (niveau B2 du Cadre Européen Commun de Référence (CECR)).

Parmis les compétences que nous recherchons pour ce poste:

Expérience red team/purple team, simulation d’attaque.
Sécurité conteneurs / Kubernetes (hardening, RBAC, admission, secrets, supply chain).
Certifs : OSCP/OSWE/OSEP, eJPT/eCPPT, AZ-500/AWS Security, ou équivalents (non obligatoires mais valorisées).



Informations supplémentaires


Pourquoi nous rejoindre ?

* Un suivi de carrière réalisé par un manager tech avec des échanges réguliers ;

* Des certifications techniques et soft skills en libre accès avec un objectif de 2 certifications minimum par an, des vouchers fournis et du coaching d’experts ;

* Des partenaires technologiques de choix : Google, AWS, Microsoft, ServiceNow, Snowflake, MuleSoft, Outsystems, SAP, Databricks, Gitlab, … ;

* Une trajectoire aux possibilités variées via la mobilité interne géographique, fonctionnelle et inter entité / tribu ou squad.

* Des rôles internes pour construire votre carrière au sein du Groupe : manager, formateur interne, tech leader, digital champion, squad leader, …

* Des contributions internes pour élargir vos compétences telles que les relations écoles, le recrutement, le commerce, la rédaction d’articles, l’animation de meet up ou de communauté, …

* Un esprit de communauté fort, au travers d’événements internes et d’activités sportives et culturelles grâce à plus de 30 clubs Happiness@Devoteam, vous permettant de rencontrer vos collègues régulièrement et de partager vos passions ;

* Une vision Tech for People qui s’incarne dans nos valeurs, nos pratiques responsables, notre programme de développement durable récompensé par le label Ecovadis et nos engagements forts avec notamment la Fondation Devoteam.

Comment se déroule le processus de recrutement chez Devoteam ?

Il comporte 2 à 3 entretiens :

* Talent Acquisition Interview : l'objectif est de faire le point sur vos compétences, votre niveau d'anglais et de valider vos éléments de motivation

* Tech & Business Interview : cet entretien vise à approfondir vos compétences techniques et à vérifier leur adéquation avec nos besoins lors d'un échange avec un expert métier

* Leadership Interview : il permet d'évaluer votre potentiel, vos ambitions et d'envisager votre évolution au sein de Devoteam.

Nous privilégions au moins un entretien en présentiel. Une prise de référence est demandée et, selon votre profil, des tests (techniques, anglais, personnalité...) peuvent vous être adressés. Si votre candidature est retenue, nous vous faisons parvenir une proposition présentant les conditions d'embauche. En cas d'acceptation, le contrat de travail est formalisé.

Si vous partagez notre passion pour la technologie et que vous souhaitez construire le monde numérique responsable de demain, alors vous êtes peut-être le passionné que nous recherchons chez Devoteam.


Le Groupe Devoteam oeuvre pour l'égalité des chances, pour la promotion de ses collaboratrices et de ses collaborateurs au mérite et lutte activement contre toute forme de discrimination. Nous sommes convaincus que la diversité contribue à la créativité, au dynamisme et à l'excellence de notre organisation. Chaque candidature est donc considérée indépendamment de tout critère discriminatoire.