Serma Safety & Security est l’entité spécialisée dans la cyber sécurité du groupe SERMA qui est un acteur indépendant français dans le conseil et l’expertise spécialisée dans les systèmes électroniques embarqués et industriels.

Serma Safety & Security a su développer son expertise en cyber sécurité en accompagnant ses clients (majoritairement grands comptes) sur des projets d’envergure depuis plus de 20 ans.

Nous couvrons l’ensemble des besoins en cyber sécurité: Audit Technique, GRC, SOC, IOT & Intégration de solutions de sécurité

Description du poste :

Contexte :

Nous recherchons un(e) auditeur / pentesteur spécialisé(e) dans les tests d'intrusion d'applications web et mobile. Vous intégrerez une équipe d’audit, avec pour mission d’identifier, exploiter et documenter des vulnérabilités sur des applications, réseaux et postes de travail.

Missions principales :

• Réaliser des tests d’intrusion ciblés sur applications web (front/back), APIs et mobile (Android / iOS).
• Effectuer des pentests black/grey/white box selon le périmètre défini.
• Rechercher et exploiter des vulnérabilités (authentification, autorisation, injection, logique applicative, CSRF, XSS, SSRF, etc.).
• Cartographier les surfaces d’attaque et construire des scénarios d’exploitation reproducibles.
• Produire des rapports de vulnérabilité clairs, actionnables et priorisés (CVSS, preuves de concept, remédiations recommandées).
• Participer à la définition et à l’amélioration des méthodologies et playbooks de test (OWASP WSTG, MASTG).

Compétences techniques requises :

• Maîtrise des tests d’intrusion d’applications web et mobile.
• Connaissance approfondie des référentiels : OWASP Top 10, OWASP WSTG, MASTG (Mobile Application Security Testing Guide).
• Expérience pratique avec Burp Suite (ou équivalent) pour reconnaissance, fuzzing, manipulation de requêtes, repeater, intruder, extension BApps.
• Connaissance des typologies de vulnérabilités et capacité à en exploiter certaines pour démontrer l’impact.
• Savoir rédiger des rapports techniques et exécutifs (niveau technique et niveau management) en anglais et français.
• Connaissances en réseau d’entreprise (TCP/IP, DNS, proxy, firewall) et en poste de travail Windows/Linux.
• Expérience prouvée via CTFs, plateformes (ex. PortSwigger Academy, tryhackme, hackthebox) ou labs personnels/projets pratiques.

Atouts / compétences appréciées :

• Expérience en tests d’intrusion.
• Connaissance des outils d’automatisation de scans (SAST/DAST)
• Connaissance des techniques de reverse engineering, debugging mobile, analyses de paquets.
• Certifications : OSCP / OSWE, etc (un plus, mais non obligatoire).
• Expérience de reconversion depuis un poste de développeur (compréhension forte du cycle de développement).
• Connaissance de normes et bonnes pratiques (ISO 27001, GDPR basics, secure SDLC).

Profil recherché/soft skills :

• Curiosité technique, goût du challenge et de la recherche.
• Rigueur dans la méthodologie et la rédaction.
• Bonnes capacités pédagogiques : expliquer des failles techniques à des non-spécialistes.
• Autonomie tout en sachant travailler en équipe.
• Sens de l’éthique et respect strict des règles d’engagement (scopes, non-divulgation).

Expérience et formation :

• Portfolio technique souhaité : rapports, write-ups CTF, lab notes, contributions open-source ou démonstrations techniques.
• Pour les profils en reconversion : expérience antérieure en développement fortement valorisée (capacité à comprendre code et logique applicative).