Product security engineer (cybersecurity) h/f

Job Description Summary

Job Description

* L'Ingénieur Sécurité des Produits (PSE, Product Security Engineer) contribue au respect du processus du cycle de vie de développement sécurisé (SDL) dans son domaine de compétence et sur les produits qu'ils lui sont assignés. Il assure la coordination avec les équipes de développement et de validation.

Ce rôle est chargé de suivre et de participer à la validation des artefacts SDL, depuis les spécifications jusqu'aux tests, à la livraison et à la surveillance. Le rôle est également chargé de gérer les vulnérabilités et les incidents des produits / systèmes qu'il a en charge en coordination avec les équipes concernées.

Le rôle est rattaché au responsable de la sécurité des produits (PSL) de Power Transmission.

Responsabilités

* Pour les produits dont il a la charge, il est responsable de l'exécution du cycle de vie de développement sécurisé (SDL) des produits et de leur conformité à la gestion des incidents et des vulnérabilités conformément aux politiques de GE. Cela inclut la définition des exigences, la modélisation des menaces, l'analyse des résultats de l'analyse du code statique, la validation de la conception de haut niveau et les spécifications de stratégie de test, les évaluations de sécurité, les tests de pénétration, les guides de déploiement sécurisés, la publication de bulletins de sécurité.
* Coordination avec les équipes de R&D chargées des logiciels pour s'assurer que tous les artefacts SDL pertinents sont prêts et vérifiés pour les examens techniques du NPI et pour garantir le suivi.
* Contribution aux décisions liées aux choix technologiques et à la conception, afin de les aligner sur la portée globale de la stratégie et de la feuille de route en matière de cybersécurité.
* Contribution aux spécifications des outils de test de cybersécurité, aux tests et à l'évaluation des nouvelles technologies et produits de sécurité.
* Validation des stories, tickets, tickets de test liés à des fonctions Cybersécurité.
* Suite le processus relatif aux vulnérabilités et aux incidents de cybersécurité, y compris l'évaluation des vulnérabilités, la définition de la solution (en collaboration avec l'équipe de développement), la communication avec les parties externes le cas échéant et la rédaction des avis de sécurité.
* Partage des meilleures pratiques et des leçons apprises et mise à jour en permanence de l'architecture technique de cybersécurité, en fonction de l'évolution des technologies, en collaboration avec d'autres Ingénieurs de la sécurité des produits, des architectes de domaine et des experts.
* Développement et animation des formations de sécurité pertinentes pour divers publics internes, tels que les chefs de produit, les ingénieurs logiciels et le support technique.

Qualifications requises

* Baccalauréat en génie, en informatique ou en technologie de l'information délivré par une université accréditée.
* Expérience du développement de logiciels sécurisés (SDL), des meilleures pratiques de sécurité et du développement de logiciels.
* Minimum de 3 ans d'expérience dans la conception de logiciels sécurisés, le codage sécurisé et les tests de sécurité (y compris l'analyse de code statique), de préférence dans un environnement de technologie opérationnelle (OT).
* Connaissance et compréhension démontrées des protocoles de communication réseau dans la pile réseau TCP / IP.
* Connaissance des derniers développements techniques au sein de la communauté de la cybersécurité.
* Expérience démontrée avec les systèmes d'exploitation Linux et Windows, y compris la gestion des comptes utilisateurs, le renforcement de la sécurité / du système, le contrôle des appareils et la gestion des correctifs.
* Expérience avec les équipements de télécommunications et de réseau (routeurs, commutateurs, pare-feux).
* Expérience démontrée avec les outils de test sécurisés, le fuzzing et les examens d'évaluation des vulnérabilités.
* Expérience avec les technologies de sécurité, telles que:
o Cryptographie symétrique et asymétrique et infrastructure PKI ou LDAP, RADIUS, SSH, SFTP, HTTPS, SYSLOG.
o Chiffrement, TLS, RSA et signature de code.
* Connaissance des normes et réglementations de cybersécurité applicables au secteur des services publics, telles que la CEI 62443, la NERC CIP, l'IEEE 1686, la CEI 62351.
* Excellentes compétences en communication orale et écrite.
* Capacité à travailler efficacement au sein d'une équipe et dans toutes les fonctions, en partenariat avec d'autres équipes dans un environnement mondial.

Compétences souhaitées

* Expérience en matière de tests de pénétration.
* Connaissance et compréhension des protocoles de communication industriels, notamment Modbus, DNP3 / IEC-104 et IEC 61850.
* Certification en cybersécurité (ex. ISC2, SANS, ISACA, CISSP) est un plus.
* Expérience avec les langages de programmation et de script.
* Fort esprit de service à la clientèle.
* Solides compétences interpersonnelles et de leadership.

Savoir-être

* Proactivité, sens des priorités, autonomie ; capacité à interagir avec de multiples fonctions et équipes dans le monde entier.
* État d'esprit centré sur l'amélioration continue.
* Anglais courant : parlé et écrit.
* Solides compétences en communication orale et écrite.

Additional Information

Relocation Assistance Provided : No

#J-18808-Ljbffr