Les missions du poste
L'ingénieur en cybersécurité PenTester sera responsable de la sécurité des systèmes d'information impliqués dans la génération, le stockage et la transmission de données de santé sensibles. En adoptant une approche bienveillante et collaborative, vous jouerez un rôle crucial en partageant activement ses connaissances et en accompagnant les clients dans l'adoption des meilleures pratiques en matière de cybersécurité. En plus de mener des tests de pénétration, vous établirez des relations solides avec les clients, les aidant à comprendre les enjeux de sécurité spécifiques à leur environnement et à mettre en œuvre des solutions adaptées.
Responsabilités :
- Effectuer des tests de pénétration et des évaluations de sécurité sur les systèmes d'information de génération de données de santé sensibles, en adoptant une approche proactive et collaborative.
- Se déplacer chez les clients pour effectuer les observations
- Identifier les vulnérabilités et les faiblesses potentielles des systèmes, des applications et des réseaux, tout en fournissant un accompagnement personnalisé aux clients pour renforcer leur posture de sécurité.
- Évaluer les risques associés aux vulnérabilités identifiées et proposer des mesures correctives appropriées, en mettant l'accent sur la sensibilisation et la formation des clients.
- Collaborer étroitement avec les équipes internes de développement et d'exploitation pour intégrer la sécurité dès la conception des systèmes, en partageant activement les connaissances et les bonnes pratiques.
- Collaborer les clients pour définir et appliquer des politiques et des procédures de sécurité adaptées
- Rédiger des rapports détaillés sur les résultats des tests de pénétration, les vulnérabilités découvertes et les recommandations de sécurité, en mettant en évidence les aspects pédagogiques pour une meilleure compréhension des clients.
- Assurer une veille technologique constante sur les nouvelles menaces et les techniques de piratage émergentes, et partager ces informations de manière proactive avec les clients.
- Participer à l'élaboration et à la mise en œuvre des politiques de sécurité informatique et des procédures de réponse aux incidents, en offrant un soutien continu aux clients dans leurs efforts de conformité.
- Former et sensibiliser le personnel aux risques, aux réponses au incidents et bonnes pratiques de sécurité informatique, en organisant des sessions de formation interactives et en fournissant un suivi personnalisé.
En plus des compétences techniques traditionnelles, l'ingénieur en cybersécurité PenTester démontre :
Une expérience avérée dans le domaine de la cybersécurité, de préférence dans le secteur de la santé.
Capacité à réaliser des audits de parcs informatiques et de réseaux.
Capacité à cibler des pentests à l’aide des outils appropriés, incluant des outils open source (comme Metasploit, Nmap, Wireshark, Burp Suite Community Edition, John the Ripper, Aircrack-ng, Nikto, sqlmap) et des outils commerciaux (comme Burp Suite Professional, Nessus, Acunetix, Core Impact, Cobalt Strike, QualysGuard, Imperva).
- Aptitude à réaliser des rapports d'audit et de pentest, et à délivrer les résultats.
- Autonome en analyse de sécurité opérationnelle (SOC).
- Maîtrise des techniques de test de pénétration, des outils d'audit de sécurité et des méthodologies de piratage éthique.
- Connaissance approfondie des systèmes d'information médicaux (SIH), des protocoles de communication médicale (HL7, DICOM, etc.) et des normes de sécurité associées (HIPAA, GDPR, etc.).
- Compétences en programmation et en script (Python, Bash, PowerShell, etc.) pour l'automatisation des tests et l'analyse des vulnérabilités.
- Capacité à analyser les résultats des tests de sécurité, à évaluer les risques et à formuler des recommandations pertinentes.
- Excellentes compétences en communication écrite et orale pour la rédaction de rapports techniques et la présentation des résultats aux parties prenantes.
- Certification en sécurité informatique (CEH, OSCP, CISSP, etc.) fortement appréciée.
- Capacité à travailler de manière autonome et en équipe dans un environnement dynamique et axé sur les résultats.
Motivé et passionné par les nouvelles technologies.
Formation et Expérience :
- Diplôme universitaire en informatique, en cybersécurité ou dans un domaine connexe.
- Expérience professionnelle d'au moins 3 ans dans le domaine de la cybersécurité, de préférence dans le secteur de la santé.
- Une expérience dans la restitution d’audit à des publics non spécialistes.
- Non requises, sont appréciées des certifications en sécurité telles que PASSI, CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional) ou GPEN (GIAC Certified Penetration Tester), certification en GRC (ISO 2700X, EBIOS RM, …).Toute autre certification acquise est bienvenue.
Notre client, société de services en sécurité Informatique qui met son expérience au service des cabinets de Radiologie privés et de grands comptes d’hospitalisation privée et assure aux clients un service sur mesure. Son activité l'amène à prendre en charge la sécurité des infrastructures informatiques, les plans de continuité et de reprise d’activité, l'assistance aux utilisateurs, la sécurité des réseaux, l’accompagnement dans la gestion de crise. De proposer l'hébergement des données de santé(HDS) sous différentes offres. Son rôle est d'accompagner ses clients dans leurs projets actuels et futurs depuis l’audit et l’établissement du schéma directeur du système informatique, la réalisation des consolidations et le suivi, jusqu’à la certification le cas échéant.