Description
Le SFP souhait recruter un architecte applicatif spécialisé dans la sécurité pour renforcer la sécurité de son parc applicatif.
Les cybers attaques sont devenus un élément quotidien de la vie des entreprises et des services publics. Les dégâts peuvent se chiffrer en millions d’euros et bloquer l’activité pendant des semaines avant que la situation ne redevienne normale. Le SFP est un élément critique du système de sécurité sociale Belge car il paie deux millions et demi de personnes chaque mois.
L’Union Européenne a mis en place la norme NIS2 pour faciliter le renforcement structurel de la sécurité des acteurs publics et privés européen. En 2025, le SFP sera tenu de se mettre en conformité avec cette norme, ce qui a un impact sur la manière dont sont développées les applications.
Le SFP a démarré plusieurs projets pour améliorer la sécurité de ses applications :
- Mise en place de « security champions » dans les équipes de développement (1 champion par domaine) pour que chaque membre de l’équipe ait un référent sécurité qu’il peut consulter
- Introduction d’une méthode d’analyse de risques (type « threat modeling »)
- Création d’un projet SAST (Static Application Security Testing / Test statique de la sécurité des applications)
La mission de cet architecte applicatif sécurité est d’améliorer la sécurité des applications du SFP en général, avec une attention particulière aux initiatives en cours :
- Suivre le programme de « security champions » et coacher ces référents sécurité
- Coacher les équipes dans l’analyse de la sécurité de leurs composants applicatifs et mettre en place les actions correctives nécessaires
- Gérer le projet SAST :
- Choisir un outil de détection automatique de failles de sécurité
- Le configurer pour les applications du SFP
- L’embarquer dans la chaîne de construction des applications
- Coacher les équipes pour exploiter les résultats de l’outil et en améliorant la qualité du code
- Fixer et suivre les objectifs d’améliorations
- Communiquer les progrès et les points d’attention au management IT
- Aider les architectes applicatifs des domaines dans le design des applications (C4)
L’impact de l’architecte applicatif sécurité sera mesuré via la note à l’évaluation SSDLC (Secure Software Development Life Cycle / cycle de développement logiciel sécurisé) effectué par la société Toreon. Le SFP veut atteindre au moins un score de 2 sur une échelle de 4.
Le candidat sera jugé sur :
- sa connaissance de langage java et de son écosystème
- sa capacité à gérer des projets et des tâches de manière agile
- ses compétences en programmation sécurisée
- sa capacité à faire une analyse de type threat modeling sur un système existant
- ses capacités de modélisation avec les langages C4
La mission implique une présence physique de minimum 2 jours par semaine dans les locaux du SFP à Bruxelles.