Confirmed / Senior Security Engineer - Purple Team

🎓 3 à 8 ans d'expérience requis en pentest et/ou red team💼 Bac+5 💰 Salaire prévu entre 63 et 75K€ fixes bruts par an, selon l'expérience 📍 Nantes, Marseille, Paris ou Full remote (localisation en France obligatoire)🏠 Full remote possible avec déplacements trimestriels sur le site de l'équipe🌍 Lucca is getting global ! For this job, the level required in English is B2


Descriptif de l'offre :
La team sécurité chez Lucca est une Purple Team, et mène ses missions sur les 3 axes : offensif, défensif, et évolution de la posture de sécurité via de nombreux projets internes. Notre priorité est de renforcer notre expertise offensive web, d’améliorer en continu notre fiabilité, notre security-posture, tout en adressant les challenges de scalabilité et de performance (on double de volume tous les deux ans), et en prenant soin d’automatiser au maximum.
Vous intégrerez l’équipe sécurité composée de 2 personnes (4 à la fin de l’année) et vous serez en collaboration constante avec l’équipe plateforme composée de 20 personnes et les développeurs de Lucca (200 personnes).
Lucca c’est aussi une expérience pro où vous aurez une grande autonomie, vous êtes compétent, vous êtes responsable, et vous avez donc un vrai droit de regard et de conseil (voir même “un devoir” de challenger les autres) sur les choix réalisés, allant du design jusqu’à l’implem d’un fix.
C’est aussi un scope énorme, où vous allez pouvoir suivre tout le cycle d’une vuln jusqu’au fix en prod (souvent en quelques heures), et un contexte où vous allez pouvoir construire tout le tooling interne utilisé au quotidien sur du long terme.

Lucca en quelques chiffres : 
⁃ Un programme de Bug Bounty mature chez YesWeHack, qui fait le bonheur des hunters (Av. response time : 55m, rewards jusqu’à 10k€).⁃ Le scope : plus de 300 repos GIthub, et 80 applications exposées.⁃ 300k req/min, plus d’un million d’utilisateurs, présent dans quasiment tous les pays.⁃ Plus de 900 VMs, 700 To de data, 16 clusters de prod, une croissance de 50% / an depuis des années, plus de 10 000 builds de CI / mois, jusqu’à 50 déploiements chaque jour (les équipes sont autonomes), le tout sur 3 régions (France, Allemagne, Suisse).⁃ Une migration vers du Kubernetes bare-metal en cours, avec une transformation profonde des points de contrôle sécurité et notre approche de hardening (microsegmentation, eBPF, zero-trust, etc).
Notre stack : ⁃ Nos apps sont en .NET Core + .NET Framework et Angular.⁃ Côté infra : les classiques Sql Server / Redis / RabbitMq / Haproxy / IIS / Nginx.⁃ Monitoring : Datadog (logs / apm / SIEM) + Prometheus / Grafana.
Notre équipe est majoritairement remote en France et nous avons aussi des bureaux sympas sur Paris, Nantes et Marseille, Bordeaux et Toulouse.

Missions principales :
‣ Pentests offensifs sur nos applications web, nos fournisseurs, notre future infrastructure kubernetes, et donc rédiger des rapports de pentest sur les vulnérabilités trouvées. (et oui même chez un éditeur on fait des rapports).‣ Participer aux réponses à incidents, que ce soit sur des alertes automatisées ou des rapports externes, et participer aux astreintes.(Spoiler, on a un très bon rapport signal bruit, on dort sur nos 2 oreilles).‣ Contribuer à l'automatisation sur de nombreux axes, allant de l’augmentation des contrôles sécu sur la stack CI/CD à de l’automatisation de scans, ou des workflow SOAR.‣ Challenger les mesures de sécurité en place et proposer des améliorations.‣ Participer à de nombreux projets de sécurité internes allant de la mise en place d’honeypots, du hardening, de l’exploitation de CVE.‣ Réaliser une veille sécurité active (CVE, zero days, communauté infosec).‣ Accompagner les équipes R&D, que ce soit sur la remédiation des vulnérabilités, de l’analyse de risques, des conseils sur les best-practices, ou encore de la sensibilisation allant du technico technique au social engineering.

Profil recherché :
❏ Vous avez une expérience confirmée en cybersécurité opérationnelle (+3 à 5 ans minimum) sur des tests d’intrusion WEB, du discovery, exploitation.❏ Vous êtes intéressé par le challenge d’une purple team : une aventure à la fois variée et technique.❏ Burp Suite Pro n’a aucun secret pour vous, vous aimez rédiger des rapport de pentest intéressants, animer les remédiations avec les développeurs, et vous adorez voir les fixs de vos vulns passer en prod en quelques jours.❏ Vous avez exploré quelques exploits, et les TTPs n’ont pas de secrets pour vous.❏ Vous réalisez une veille technologique active sur les sujets infosec, les frameworks ATT&CK et OWASP, n’ont aucun secret pour vous, et vous adorez partager votre expertise.❏ Vous adorez apprendre de nouvelles techniques, challenger les idées, et être challengé.
❏ Bonus : - Vous avez une ou plusieurs CVE à votre actif.- Vous avez une expérience de dev sur du tooling sécu, et vous êtes fier de nous partager votre profil Github- Vous avez déjà participé à des CTF, à des conférences.- Vous avez des connaissances avancées sur Kubernetes, avec un gros bonus pour une expérience offensive (CKS fortement appréciée).- Vous avez une expérience sur un ou plusieurs langages haut niveau (.NET, ou Go), ainsi qu’en scripting et automatisation (python).- Vous avez une ou plusieurs certifications (OSCP etc).

Pré-requis :
❏ Vous voulez faire du pentest WEB, et vous êtes curieux d’évoluer sur la diversité des sujets d’une Purple Team.❏ Vous avez des compétences en développement (sur un langage objet, bonus si .NET et/ou Go).❏ Vous avez une expérience offensive sur du Kubernetes.❏ Vous avez un profil RootMe, HackTheBox ou sur une plateforme BugBounty.❏ Vous avez un profil GitHub ou GitLab.

Process de recrutement :
Étape 1 : Entretien Manager (60')Étape 2 : Petit oral avec une (bonne) partie de votre probable future équipe (60')Étape 3 : Echange avec les Ressources Humaines (30')Étape 4 : Grand oral (45')
Chez Lucca vous trouverez :
✔︎ Des luccasien(ne)s passionné(e)s qui abordent les sujets sérieusement mais sans se prendre au sérieux ✔︎ Notre culture d’entreprise fondée sur la collaboration et la responsabilisation de chacun ✔︎ Un environnement où chaque jour est vécu comme le premier jour ✔︎ Des animaux de compagnie, parfois, qui attendent des caresses ✔︎ Des perspectives d’évolutions ambitieuses avec des mobilités internes variées et même des Erasmus entre services ✔︎ Et la possibilité de faire du télétravail régulièrement
Venez rejoindre notre entreprise à taille humaine et dont le fonctionnement très participatif laisse une place importante à l'initiative, à l'innovation et au non-conformisme.

Les avantages :
✔︎ Un intéressement intéressant ✔︎ Une prime de vacances ✔︎ Des RTT en plus des congés payés ✔︎ Et des avantages classiques mais essentiels : des avantages CE, des tickets-restaurants (Swile) et une mutuelle (Benefiz) prise en charge à 100% par Lucca, abonnement Gymlib à prix compétitif... ✔︎ Un évènement collectif par trimestre, dont l’objectif est de réunir tout Lucca pour partager l’actualité et les perspectives de l’entreprise de manière formelle… et moins formelle. ✔︎ Et surtout être heureux(se) de se lever le matin pour aller travailler. Et oui, Lucca a décroché la 2ème place du classement HappyIndex®AtWork France 2024 *(dans la catégorie d'effectif 500-999 collaborateurs).

Et pour finir, un petit focus culture :
✔︎ Les salaires sont 100% transparents chez Lucca ✔︎ Le collectif avant l'individuel : il n'y a pas de variable individuel chez Lucca, mais un variable collectif (intéressement) assis sur le taux de croissance du chiffre d'affaires ✔︎ Après 3 ans d'ancienneté, chaque salarié(e) peut définir son salaire lors d’un comité.

Nos offres sont ouvertes aux salarié(e)s reconnu(e)s travailleurs et travailleuses handicapé(e)s (RQTH).