Un événement imaginé par
PENTESTER
Description
"Nous sommes la fabrique numérique du Groupe SNCF. ”#CheminotsDuNumérique
Avec plus de 2000 collaborateurs présents sur tout le territoire, nos équipes e.SNCF Solutions sont fières d’accompagner l’ensemble des agents du Groupe SNCF sur tous les domaines du numérique.
Notre force réside dans notre capacité à produire et à gérer des services numériques performants et sécurisés grâce à :
• Nos activités de production : Cybersécurité, Digital Workplace, Connectivités (Fibre, 5G, satellite…), Hébergement (Geocluster) et exploitation applicative mais également du Design et développement d’applications métiers, le tout s'appuyant sur un système de supervision et de gestion de crise éprouvé.
• Notre DSI Holding qui propose des solutions numériques complètes et intégrées dans le domaine applicatif des métiers RH, achats et finance, communication…
• Nos expertises numériques : Data, Intelligence Artificielle, IOT, École numérique, AR·VR, Laboratoire d’innovations et de prototypages, Sourcing logiciels…
La Direction Cyber Sécurité Numérique (DCS) est l’opérateur interne de services Cyber Sécurité, partenaire naturel des DG et des DSI tant pour adresser ces questions pour le SI d’Entreprise que pour le SI Industriel. La DCS porte la gouvernance, la conception, et l’exploitation.
Le périmètre métier englobe tous les métiers du Groupe SNCF, et inclus des relations renforcées avec la DAIG (Direction de l'Audit Interne Groupe) et la Mission de Contrôle SSI (MCSSI), le RSSI-Groupe et la communautés SSI et les DSI, les experts internes des différents domaines technologiques (équipes techniques, production, réseau, développeurs, etc.) et la RedTeam.
LE QUOTIDIEN
Au sein d’une équipe de 3, vous serez en charge de :
Réaliser des tests d’intrusion (audits cybersécurité) sur des cibles du groupe (clients lourd, applications Web/mobile, réseau, infrastructures, etc.) selon les besoins
Rédiger les notes de cadrage techniques pour préparer les audits
Réaliser des tests d’intrusion (audits cybersécurité) sur des cibles du groupe (clients lourd, applications Web/mobile, réseau, infrastructures, etc.) selon les besoins
Rédiger un rapport détaillé de qualité
Identifier, avec l’aide de l’équipe, les actions globales de remédiations au niveau Groupe
Coordonner la planification d’audits en termes de charge et capacité à faire
LE PROFIL
Pentesteur junior avec une expérience sur différentes plateformes de formation Cyber (Hack the box, rootme, …) et dans la réalisation d'audits de cybersécurité de type boîte noire, grise et blanche sur des applications clients lourds, web et mobiles ; maîtrise des environnements complexes et des outils d'évaluation de la sécurité, avec une solide compréhension des vulnérabilités et des techniques d'exploitation ; compétent pour concevoir des stratégies de mitigation et accompagner les équipes de développement dans la correction des failles.
Compétences attendues :
Test d'intrusion : Applications web, mobiles, clients lourds, APIs, réseaux
Méthodologies : Boîte noire, boîte grise, boîte blanche
Audits de sécurité : OWASP, NIST, PCI-DSS, CIS Benchmarks
Exploitation de vulnérabilités : XSS, CSRF, SQLi, RCE, SSRF, Injections XML, Authentification brute force
Outils d'évaluation de la sécurité :
o Web : Burp Suite, OWASP ZAP, Nikto, SQLMap
o Mobile : MobSF, Frida, apktool, dex2jar, Androguard
o Infrastructure & Réseaux : Nmap, Nessus, Metasploit, Wireshark, OpenVAS
o Cloud : ScoutSuite, Prowler, CloudSploit
o Scripts & Exploits personnalisés : Python, Bash, PowerShell
Langages de programmation : Python, JavaScript, Bash, PowerShell, Ruby ou autre
Sécurité offensive et défensive : Kali Linux, Parrot OS
Analyse statique et dynamique : SonarQube, Snyk, Checkmarx
Outils de versioning : Git, GitLab
Certifications (facultatif) : Au moins une de ces certifications serait un plus.
Certified Ethical Hacker (CEH) – EC-Council (2021)
Offensive Security Certified Professional (OSCP) – Offensive Security (2020)
GIAC Web Application Penetration Tester (GWAPT) – SANS Institute (2019)
Mobile Application Security Tester (MAST) – SANS Institute (2022)
Certified Penetration Tester (CPT) – IACRB (2019)
Compétences Transverse :
Empathie : Être en capacité de synthétiser et de vulgariser ses actions au service des clients.
Proactivité : Forte capacité à proposer, être un aidant, un accompagnant, force de proposition pour une amélioration continue.
Esprit collectif : Participer à l’ensemble de l’activité du service
