Product security: comment assurer la sécurité d’une solution IT tout au long de son cycle de vie ?

Grand-lancy, Switzerland

Applications have closed

Wavestone

Welcome at Wavestone, your most trusted consulting partner for strategic transformations, and find your postive way with us!

View all jobs at Wavestone

Description de l'entreprise

Dans un monde où savoir se transformer est la clé du succès, Wavestone s'est donné pour mission d'éclairer et guider les grandes entreprises et organisations dans leurs transformations les plus critiques avec l'ambition de les rendre positives pour toutes les parties prenantes. C'est ce que nous appelons « The Positive Way ».

Wavestone rassemble plus de 4000 collaborateurs dans 8 pays. Il figure parmi les leaders indépendants du conseil en Europe avec en particulier une présence en Suisse depuis plus de 15 ans incarnée par notre bureau à Genève composé de 70+ collaborateurs.

Wavestone est coté sur Euronext et labellisé Great Place To Work®.

Pour plus d'informations, consulter www.wavestone.com

Contexte 

Les récentes avancées en matière de cybersécurité nous permettent d'affirmer que les solutions IT sont généralement de mieux en mieux sécurisées by design, ce grâce à un gain en maturité en matière de sécurité applicative, notamment en ce qui concerne le développement. Dans les organisations les plus matures, les nouvelles approches, telle que le DevSecOps, ont drastiquement réduit le nombre de vulnérabilités contenues dans une solution IT lors de sa mise en production. Cependant, ce n'est pas parce qu'une solution IT est sécurisée by design qu'elle le restera tout au long de son cycle de vie.  

Description du poste

En prenant la hauteur nécessaire et en s’appuyant sur les meilleures pratiques et frameworks du marché (e.g., OWASP ASVS, MASVS, ISO27001/2, NIST, CIS Controls, …) et les potentiels manquements identifiés, le stagiaire aura pour objectif de définir une méthodologie, des processus, des activités, des outils, des rôles et responsabilités et une gouvernance globale permettant d’assurer la sécurité d’une solution IT tout au long de son cycle de vie. Cela devra donc a minima couvrir la sécurité dans les phases suivantes : 

  • À la création de la solution, et ce, en s’assurant de la sécurité tant applicative que de l’infrastructure sous-jacente, en suivant les bonnes pratiques du marché et en intégrant les exigences de sécurité issues de frameworks de sécurité reconnus, tout en gardant une approche contextuelle, en phase avec les caractéristiques de la solution IT, et adaptée aux niveaux de risque et de criticité associés pour l’organisation. 
  • Lors du déploiement de la solution dans un environnement client, et en particulier, lorsque la solution n’est pas commercialisée en SaaS. Une attention particulière devra être donnée aux potentielles customisations demandées par le client, qui doivent elles aussi être effectuées de manière sécurisée.  
  • Tout au long de la vie opérationnelle du produit, et ce peu importe le modèle opérationnel choisi (solution opérée par le client lui-même ou par le fournisseur en service managé). 
  • À la fin du cycle de vie de la solution, afin de s’assurer qu’elle soit décommissionnée selon les meilleures pratiques de sécurité.  

Cette approche de sécurité tout au long du cycle de vie devra également prendre en compte d’autres aspects connexes, tels que la protection des données personnelles et la durabilité.  

Travaux à réaliser 

Sous la tutelle d’un consultant expérimenté, le stagiaire pourra être amené à réaliser une partie ou la totalité des travaux suivants :  

  • Identification des meilleures pratiques et frameworks existants pour chacune des phases du cycle de vie d’une solution IT et des potentiels points d’amélioration. 
  • Identification des activités de sécurité à réaliser lors de chaque phase (activités obligatoires vs optionnelles) ainsi que les rôles et responsabilités associés. 
  • Identification des outils existants pour chaque phase (en précisant leur utilité et la manière dont ils devraient s’intégrer dans une démarche sécurité end-to-end) et comparaison des outils entre eux lorsque plusieurs existent pour une même phase (selon des critères restant à définir). 
  • Identification des outils permettant de donner de la visibilité et/ou de gérer la sécurité end-to-end d’une solution IT. 
  • Proposition d’une démarche consolidée et synthétique permettant de traiter la sécurité d’une solution IT de façon end-to-end, comprenant méthodologie, processus, activités, outils, rôles et responsabilités et gouvernance associée. 

En parallèle, le stagiaire participera à une ou plusieurs mission(s) de conseil auprès de nos clients, en étant intégré dans une équipe de consultants placée sous la responsabilité d’un directeur de mission. 

Qualifications

Étudiant.e au sein d'une école d'ingénieurs ou grande université, vous êtes à la recherche d'un stage de fin d'études dans un cabinet de conseil. Vous possédez un excellent relationnel, le goût du travail en équipe et un sens prononcé de la qualité. Vous savez associer analyse et synthèse et être force de proposition. 

Idéalement vous êtes / avez : 

  • Passionné(e) de sécurité informatique, et notamment des activités liées à la gouvernance et à la gestion des processus et des risques de sécurité, 
  • Une bonne maîtrise des aspects théoriques et des fondamentaux de l'informatique (réseau, protocoles, systèmes d'exploitation, cryptographie, etc.). 
  • Une connaissance des bonnes pratiques et des frameworks de sécurité reconnus (ISO/IEC 27001/2, ISO 27005, OWASP ASVS/MASVS, NIST, CIS Controls, CIS Benchmarks, …), 
  • Une aisance à interagir avec des interlocuteurs divers

Si votre objectif est d'être considéré comme un collaborateur à part entière : soucieux d'être acteur d'un projet d'entreprise ambitieux, ayant envie de mettre à profit son talent et son enthousiasme dans une société où il est possible de prendre des responsabilités rapidement et de vivre une expérience riche, alors donnez-vous les chances de rejoindre nos équipes et postulez ! 

Mots clés 

#productsecurity #endtoendsecurity #applicationsecurity #devsecops #infrastructuresecurity #operationssecurity #securedeployment #securedecommisioning #governance #risk #securityframeworks #tooling #compliance #privacy 

 

Informations supplémentaires

Tous nos postes sont ouverts aux personnes en situation de handicap.

Job stats:  16  3  0

Tags: C Compliance Cryptography DevSecOps Governance ISO 27001 ISO 27005 NIST OWASP Privacy Product security SaaS Vulnerabilities

Region: Europe
Country: Switzerland

More jobs like this

Explore more career opportunities

Find even more open roles below ordered by popularity of job title or skills/products/technologies used.