Description
Architecte d’application avec focus sur la sécurité
Contexte de la mission
L’aspect sécurité dans le développement de nouveaux logiciels constitue un élément essentiel de la nouvelle directive NIS2, entrée en vigueur en octobre 2024.
Dans le cadre belge CyFun, élaboré par le Centre pour la Cybersécurité Belgique (CCB), plusieurs points de contrôle ont été définis afin d’assurer la conformité des entreprises et des institutions publiques à cette réglementation.
PR.IP-2 : Le processus de développement des systèmes et composants critiques doit couvrir l’ensemble du cycle de conception et inclure une description des propriétés fonctionnelles des contrôles de sécurité, ainsi que les informations de conception et d’exécution relatives aux interfaces système liées à la sécurité.
Au sein du SPF Justice, nous souhaitons que cette réglementation soit plus qu’une simple liste de contrôle (checklist) composée de procédures et de cases à cocher. Notre objectif est d’intégrer la sécurité du développement logiciel (secure development) dans nos procédures quotidiennes et notre manière de travailler. C’est dans cette optique qu’un projet de développement sécurisé est lancé, dont le présent document constitue le point de départ.
Description du profil
Le profil recherché est celui d’un architecte d’applications expérimenté possédant une solide connaissance en sécurité, ou d’un architecte sécurité ayant une bonne maîtrise du développement applicatif.
La personne dispose d’une expérience avérée dans la mise en œuvre et l’analyse des changements nécessaires dans un processus de développement, et est capable de les cartographier et de les documenter de manière claire et compréhensible.
Elle doit pouvoir communiquer efficacement tant avec des profils très techniques qu’avec des collaborateurs moins spécialisés, et être en mesure de promouvoir les concepts de sécurité et de développement de façon convaincante.
Pour la mise en place d’une pratique de développement sécurisé au sein du SPF Justice, il a été décidé de s’appuyer sur le Software Assurance Maturity Model (SAMM) de l’OWASP — un cadre de référence qui aide les organisations à améliorer la sécurité de leurs logiciels grâce à des bonnes pratiques et des objectifs mesurables. Une connaissance de ce framework constitue donc un atout important.
Le profil accompagnera les équipes existantes dans l’intégration du développement sécurisé dans leurs activités quotidiennes, posant ainsi les fondations d’un programme de Secure Development au sein du SPF Justice. L’accent sera mis sur le SecDevOps et la mise en œuvre de pratiques de sécurité continues.
En décrivant, documentant et formant les équipes à ces méthodologies, la personne contribuera activement à renforcer la sécurité des applications développées au sein et pour le SPF Justice, tout en augmentant la maturité globale en matière de sécurité des équipes de développement.
Le profil participera également à la mise en place de tableaux de bord de sécurité applicative et à la définition de routines et de processus permettant d’améliorer en permanence la sécurité des développements.
Un résultat clé de ce projet sera la création d’une directive standard décrivant comment appliquer concrètement le développement sécurisé, non seulement pour les projets internes, mais aussi pour les fournisseurs externes, ainsi qu’une matrice de sécurité permettant d’évaluer les projets externes.
Étant donné qu’il s’agit du lancement du projet, le profil doit disposer de l’expérience et de la maturité nécessaires pour agir en tant que chef de projet. Il participera aux réunions de suivi, rendra compte de la planification et de l’avancement, et rédigera la documentation relative aux méthodologies choisies et à leur mise en œuvre.
Dans le cadre de la mission, il pourra également être amené à concevoir et dispenser des formations sur le développement sécurisé aux équipes concernées.
En tant qu’architecte expert, il doit être capable d’évaluer et de commenter les conceptions techniques, et de fournir des conseils fondés tant sur le plan de l’infrastructure matérielle et logicielle que sur les méthodologies de travail.
Compétences requises
- Expérience démontrée dans des projets similaires, dans un environnement de taille comparable à celui du SPF Justice
- Minimum 3 ans d’expérience dans la revue d’architectures de sécurité
- Minimum 3 ans d’expérience dans la mise en place d’outils SCA, SAST et DAST dans une chaîne CI/CD
- Minimum 3 ans d’expérience en DevSecOps
- Connaissance en gestion de projet
- Agile / Lean Software Development
- Frameworks de sécurité (CyFun, SAMM, …)
- Assurance qualité et tests (test-driven development)
- Sens du résultat, orientation client et sens des responsabilités
- Capacités de planification, d’organisation, de pilotage et d’ajustement
- Aptitude à la négociation et à la gestion des relations
- Capacité à constituer, diriger et superviser une équipe
Atouts supplémentaires
- Connaissance de ITIL
- Connaissance de Java
- Connaissance de Angular
- Connaissance d’Oracle
- Connaissance des technologies Web Services et Service Bus
- Familiarité avec le framework SAMM
- Familiarité avec le framework CyFun
Une prolongation optionnelle est prévue pour 2027, avec un maximum de 880 heures.
——————————————————————————————————————————————
NDLS
Applications Architect met focus op Security
Context van de missie :
Het aspect security binnen het ontwikkelen van nieuwe software is een belangrijk onderdeel in de nieuwe NIS2 regelgeving die sinds oktober 2024 in voege is. Binnen het Belgisch kader CyFun – dat wordt uitgewerkt door het Belgische Center for Cybersecurity fungeert het in een aantal checkpoints om ervoor te zorgen dat bedrijven en overheidsinstellingen compliant zijn met de regelgeving.
PR.IP-2: Het ontwikkelingsproces voor kritieke systemen en systeemcomponenten moet de volledige ontwerpcyclus omvatten en voorziet in een beschrijving van de functionele eigenschappen van veiligheidscontroles, en in ontwerp- en uitvoeringsinformatie voor veiligheidsrelevante systeeminterfaces.
Binnen de FOD Justitie willen we dat deze regelgeving meer is dan een checklist waarop procedures en vinkjes staan en willen we overgaan tot het inwerken van secure development in onze dagelijkse procedures en manier van werken. Hiertoe starten we een project rond secure development is waarvan dit de aanzet is.
Beschrijving van het profiel :
Het profiel dat wij zoeken is een ervaren applicatie architect met een grondige kennis van security of een security architect met een grondige kennis van applicatie ontwikkeling. Zij hebben ervaring met het implementeren en analyseren van de nodige wijzigingen in een ontwikkelproces en kan deze ook in kaart brengen en documenteren op een bevattelijke manier. Het profiel kan communiceren met zowel erg technische profielen als profielen met een minder technische achtergrond en kan de nodige concepten rond veiligheid en ontwikkeling op een overtuigende manier promoten.
Voor het opzetten van een Secure Development-praktijk binnen de FOD Justitie wordt er geopteerd om ons te baseren op basis van het Software Assurance Maturity Model (SAMM) van Open Worldwide Application Security Project (OWASP), een raamwerk dat organisaties helpt om hun softwarebeveiliging te verbeteren door middel van best practices en meetbare doelen. Een kennis van dit framework strekt dan ook tot de aanbeveling.
Het profiel zal de bestaande teams helpen in het incorporeren van secure development in hun dagelijkse opdrachten en zal hiermee de basis leggen voor de fundamenten van een secure development programma binnen de FOD Justitie. Er wordt ingezet op SecDevOps en het invoeren
Door het omschrijven en beschrijven en aanleren van deze methodologieën draagt het profiel actief bij tot het verhogen van de veiligheid van de programma’s die worden gebouwd binnen en voor de FOD Justitie. Daarnaast wordt ingezet op het verhogen van de algemene security maturiteit binnen de ontwikkelteams. Het profiel werkt mee aan het opzetten van applicatie security dashboards en brengt de nodige routines in plaats en in kaart om permanent de veiligheid van ontwikkelingen te verhogen.
Als belangrijke outcome van dit project is een standaardrichtlijn over hoe secure development actief kan worden toegepast, niet enkel voor eigen projecten maar ook bij toeleveranciers en een security matrix die kan worden gebruikt om externe projecten te beoordelen.
Omdat dit de start van het project is moet het profiel over de nodige ervaring en maturiteit beschikken om op te treden als project-lead. Daarnaast zal het nodig zijn deel te nemen aan de nodige meetings om te rapporteren over planning en vooruitgang van het project en zal de nodige documentatie worden aangelegd over de gekozen methodologie en de manier waarop deze kan worden geïmplementeerd. In het kader van de opdracht kan het profiel ook gevraagd worden om de nodige opleidingen over secure development uit te werken én te onderrichten aan de betrokken teams.
Als expert architect is het profiel in staat om technische ontwerpen te beoordelen, te becommentariëren en er zowel op het gebied van basisinfrastructuur m.b.t. hardware als software als methodologie gefundeerde raadgevingen bij te verstrekken.
Vereiste expertise :
- Aantoonbare ervaring in vergelijkbare trajecten in een omgeving van dezelfde grote-orde als de FOD Justitie
- Minstens 3 jaar ervaring in review van security architecturen
- Minstens 3 jaar ervaring in het opzetten van SCA, SAST en DAST tooling in een CI/CD ketting
- Minstens 3 jaar ervaring in DevSecOps
- Kennis van Project Management
- Agile / Lean Software Development
- Security Frameworks (CyFun/SAMM/…)
- Quality Assurance & Testing (test-driven development)
- Resultaat – , Klantgerichtheid, verantwoordelijkheidszin.
- Plannings- en organisatorisch vermogen, vermogen om te sturen, controleren en aanpassen.
- Onderhandelingsvermogen, relatiegerichtheid.
- Vermogen om een team op te bouwen, deze aan te sturen en te controleren
Pluspunt – kennis van :
- ITIL
- Java
- Angular
- Oracle
- Webservice & Service Bus Technologie
- SaMM framework
- CyFun framework
Er is een optionele uitbreiding voor 2027 voor een maximum van 880 uur.
