Présentation de la société : SNCF

e.SNCF Solutions est la fabrique numérique du Groupe SNCF. Avec plus de 1 800 collaborateurs présents sur tout le territoire, nous sommes fiers d'accompagner l'ensemble des collaborateurs du Groupe sur tous les domaines du numérique.

Notre force réside dans notre capacité à produire et à gérer des services numériques performants et sécurisés grâce à :

o Nos activités de production : Cybersécurité, Digital Workplace, Connectivités (Fibre, 5G, satellite…) , Hébergement (Geocluster) et exploitation applicative mais également du Design et développement d'applications métiers, le tout s'appuyant sur un système de supervision et de gestion de crise éprouvé.

o Notre DSI Holding (fonctions support) qui propose des solutions numériques complètes et intégrées dans le domaine applicatif des métiers RH, achats et finance, communication…

o Nos expertises numériques : Data, Intelligence Artificielle, IOT, École numérique, AR·VR, Laboratoire d'innovation et prototypage, Sourcing logiciels…

Labellisé « Top Employer 2024 », SNCF favorise l'intégration de ses collaborateurs, prône la diversité et les accompagne dans leur évolution de carrière.

Missions

Au sein d'une équipe de 3, vous serez en charge de :

• Réaliser des tests d'intrusion (audits cybersécurité) sur des cibles du groupe (clients lourd, applications Web/mobile, réseau, infrastructures, etc.) selon les besoins
• Identifier, avec l'aide de l'équipe, les actions globales de remédiations au niveau Groupe
• Rédiger les notes de cadrage techniques pour préparer les audits
• Réaliser des tests d'intrusion (audits cybersécurité) sur des cibles du groupe (clients lourd, applications Web/mobile, réseau, infrastructures, etc.) selon les besoins
• Rédiger un rapport détaillé de qualité
• Assurer un rôle de coaching et de formation de trois pentesteurs juniors afin de les faire monter en compétence

Profil recherché

Rejoignez nous si vous êtes pentesteur confirmé avec au moins 5 ans d'expérience dans la réalisation d'audits de cybersécurité de type boîte noire, grise et blanche sur des applications clients lourds, web et mobiles ; maîtrise des environnements complexes et des outils d'évaluation de la sécurité, avec une solide compréhension des vulnérabilités et des techniques d'exploitation ; compétent pour concevoir des stratégies de mitigation et accompagner les équipes de développement dans la correction des failles.

Compétences :

• Test d'intrusion : Applications web, mobiles, clients lourds, APIs, réseaux
• Méthodologies : Boîte noire, boîte grise, boîte blanche
• Audits de sécurité : OWASP, NIST, PCI-DSS, CIS Benchmarks
• Exploitation de vulnérabilités : XSS, CSRF, SQLi, RCE, SSRF, Injections XML, Authentification brute force
• Outils d'évaluation de la sécurité :
• Web : Burp Suite, OWASP ZAP, Nikto, SQLMap
• Mobile : MobSF, Frida, apktool, dex2jar, Androguard
• Infrastructure & Réseaux : Nmap, Nessus, Metasploit, Wireshark, OpenVAS
• Cloud : ScoutSuite, Prowler, CloudSploit
• Scripts & Exploits personnalisés : Python, Bash, PowerShell
• Langages de programmation : Python, JavaScript, Bash, PowerShell, Ruby ou autre
• Sécurité offensive et défensive : Kali Linux, Parrot OS
• Analyse statique et dynamique : SonarQube, Snyk, Checkmarx
• Outils de versioning : Git, GitLab

Certifications :

• Certified Ethical Hacker (CEH) - EC-Council (2021)
• Offensive Security Certified Professional (OSCP) - Offensive Security (2020)
• GIAC Web Application Penetration Tester (GWAPT) - SANS Institute (2019)
• Mobile Application Security Tester (MAST) - SANS Institute (2022)
• Certified Penetration Tester (CPT) - IACRB (2019)

Compétences Transverse :

• Empathie : Être en capacité de synthétiser et de vulgariser ses actions au service des clients.
• Proactivité : Forte capacité à proposer, être un aidant, un accompagnant, force de proposition pour une amélioration continue.
• Esprit collectif : Participer à l'ensemble de l'activité du serviceCertified Penetration Tester (CPT) - IACRB (2019)