Responsable Sécurité Informatique Applicative

**Description de l'entreprise**

Avec plus de 10'000 collaborateur-trices représentant 180 métiers, les Hôpitaux Universitaires de Genève sont un établissement de référence au niveau national et international. Pour en savoir plus sur notre institution, prenez quelques minutes pour découvrir les moments forts et chiffres clefs de l’année 2020 en cliquant ici.

**Description du poste**

Dans le cadre de ce poste de responsable de la sécurité applicative, votre sens du contact vous permet de créer des interactions efficaces et de vous adapter à vos différents interlocuteurs parmi lesquels, le responsable de la sécurité des systèmes d’information (RSSI), le responsable sécurité des opérations, les responsables de produits, les équipes de développement comprenant environ 50 ingénieurs logiciels, ainsi que les ingénieur-es système et les expert-es métier. Vous conseillez, inspirez les équipes en place et favorisez ainsi l’émulation.
Vous serez en charge de définir, documenter et diffuser les bonnes pratiques de sécurité applicative auprès des équipes de développement. Concevoir et mettre en œuvre des outils et solutions applicatives permettant de répondre aux exigences de sécurité définies, en collaboration avec les membres de l’équipe ‘Quality, Architecture and Delivery’ (QUAD).
De plus, vous serez responsable de maintenir en conditions opérationnelles les composants logiciels gérés au sein du QUAD, directement ou indirectement liés à la sécurité. Vous supportez les équipes de développement sur les sujets de sécurité applicative, mais aussi sur d’autres sujets partagés au sein du QUAD, tels que la gestion des identités et des accès, les outils d’infrastructure DevSecOps, la chaîne CI/CD, les micro-services et le cloud.
Vous planifierez des pentests applicatifs réguliers et implémenter les changements d’architecture nécessaires avec les équipes de développement et mettrez en place des tests de sécurité automatisés intégrés dans les pipelines de développement.
Finalement, vous assurez une veille technique sur les sujets de sécurité informatique, incluant les nouvelles technologies ainsi que les vulnérabilités et les menaces, et participer à la résolution des incidents de sécurité.

**Qualifications**

Vous avez une expérience avérée de plus de 10 ans dans la production et l’intégration de logiciels au sein d’une grande direction des systèmes d’information, dont au moins 5 années dans le domaine de la sécurité applicative. La connaissance du secteur hospitalier est un plus. Titulaire d’un Master en informatique, en technologies de l’information ou d’un diplôme jugé équivalent, vous êtes reconnu-e pour votre expertise Spring security 5.4+ ainsi que des protocoles OIDC et OAuth2.
Vous possédez idéalement une certification sécurité valide (OSCP, CISSP, CEH, CISA par exemple), et vous maîtrisez les concepts d’authentification et d’autorisation applicative ainsi que les concepts du top 10 de l’OWASP dans des environnements webservice, Micoservice/API et mobile.
Vous avez aussi manié des outils de type proxy (Fiddler, Burp,), des scanners de vulnérabilité (Qualys, Sqlmap, Nitko ) et ainsi que des outils SAST d’analyse de code source (SonarQube, Fortify, Snyk,).
Vous avez utilisé et/ou mis en œuvre des outils de gestions de secrets (Safeguard Vault, Hashicorp Vault,) dans un contexte d’automatisation.
Vous avez une bonne expérience d’utilisation de systèmes basés sur les containers logiciels comme Docker et Kubernetes. Vous êtes également familier d’outils standards de l’écosystème DevSevOps, tels que par exemple Jenkins, Nexus, Postman, Traefik, Grafana, Prometheus, ELK, et/ou Apache Kafka.
Plus globalement, vous êtes curieux-se d’explorer les dernières tendances en matière de sécurité informatique et vous communiquez efficacement et avec pédagogie auprès des équipes de développement.
Vous ne craignez pas le challenge, et vous savez tout autant faire preuve de leadership que de diplomatie lors de situations conflictuelles lorsqu’elles se présentent.
Vous savez travailler en autonomie sur des sujets de longue haleine parfois complexes, mais vous aimez aussi travailler en équipe et contribuer à la réalisation d’objectifs partagés.
Vous avez aisance rédactionnelle en français et vous êtes en mesure de communiquer de manière professionnelle en anglais, ce qui vous permet de gérer efficacement des relations avec des fournisseurs informatiques dans ces deux langues.
Vous pourrez être amené-e à travailler en horaire de nuit/week-end et participer à un service de piquet.

**Informations complémentaires**
- Entrée en fonction : dès que possible
- Nombre de poste : 1
- Taux d'activité : 100%
- Classe de fonction : 20
- Type de contrat : CDI
- Demande de renseignements : M. S. Barraclough, responsable du groupe intégration, Tél. 022 372 86 14
Cette an