Application Security Manager

Description de la mission

Pluxee is a global player in employee benefits and engagement that operates in 31 countries. Pluxee helps companies attract, engage, and retain talent thanks to a broad range of solutions across Meal & Food, Wellbeing, Lifestyle, Reward & Recognition, and Public Benefits.

Powered by leading technology and more than 5,000 engaged team members, Pluxee acts as a trusted partner within a highly interconnected B2B2C ecosystem made up of more than 500,000 clients, 36 million consumers and 1.7 million merchants.

Conducting its business as a trusted partner for more than 45 years, Pluxee is committed to creating a positive impact on all its stakeholders, from driving business to local communities, to supporting wellbeing at work for employees while protecting the planet.

Pluxee France, acteur majeur dans le secteur des services d’avantages et récompenses, est en pleine accélération technologique. L’entreprise propose aux entreprises, comités d’entreprise, collectivités locales et services publics une gamme complète de solutions visant à améliorer la qualité de vie des salariés et agents, et ainsi contribuer à la performance globale des organisations.

Dans ce cadre, Pluxee France opère sur des infrastructures hybride mêlant des environnements cloud et on-premises, avec des applications et plateformes digitales en constante évolution.

🚀 Your next challenge

La sécurité de ces systèmes constitue un enjeu stratégique majeur, à la fois pour garantir la conformité réglementaire (protection des données personnelles, résilience, cybersécurité dans un contexte de DORA/NIS2, PCIDSS), préserver la confiance des clients et partenaires, et assurer la continuité de services sur des applications sensibles à fort impact métier.

Pour accompagner cette dynamique, la DSI renforce son équipe sécurité des systèmes d'information.

Vous serez intégré·e à cette équipe, au cœur des projets IT, pour garantir l’intégration des exigences de sécurité dès les phases amont du développement, dans une approche DevSecOps structurée.

Votre mission principale : sécuriser les projets applicatifs en accompagnant les équipes techniques et métiers dans l’adoption des bonnes pratiques de sécurité, du développement à la mise en production, en passant par la gouvernance, l’outillage et la veille technologique.

What you’ll be doing:

• Sécurité des projets et accompagnement transverse

• Participer aux échanges stratégiques et à la construction des roadmaps produit afin d’y intégrer les enjeux de sécurité dès les phases amont.
• Adapter les exigences sécurité au regard des stratégies Produits Groupes et locales.
• Suivre le processus de livraison des projets IT et garantir la bonne intégration de la sécurité dans toutes les étapes.
• Réaliser des revues d’architectures techniques et applicatives avec une approche sécurité.
• Contribuer aux analyses de risques projets (EBIOS, ISO 27005).
• Maintenir et rédiger les recommandations, exigences et référentiels de sécurité pour les projets (cloud, on-prem, API, microservices, etc.).
• Sensibiliser les parties prenantes des projets (produit, IT, métier) aux enjeux de sécurité.

• Expertise DevSecOps & développement sécurisé

• Intégrer les exigences de sécurité dans le cycle de développement logiciel (Secure SDLC).
• Accompagner les équipes produit et développement dans la modélisation des menaces (Threat Modeling).
• Définir et mettre en œuvre des contrôles de sécurité automatisés dans les chaînes CI/CD (GitLab, GitHub Actions, Azure DevOps, Jenkins…).
• Configurer et maintenir les outils de sécurité : SAST / DAST (analyse de code statique/dynamique), SCA (Software Composition Analysis), Secrets detection
• Définir les seuils d’acceptabilité, règles de blocage et processus de gestion des faux positifs en collaboration avec les développeurs.
• Veiller à l’application des normes et standards internes (OWASP ASVS, ISO 27034…) et à la conformité avec les exigences du groupe.
• Proposer des améliorations sur les processus de gestion des vulnérabilités dans les projets applicatifs.

• Analyse, suivi, gestion des vulnérabilités applicatives et aide à la gestion d’incidents

• Participer à la définition du processus de détection, de qualification et de remédiation des vulnérabilités.
• Collaborer avec les Product Owners et les équipes de développement pour planifier et prioriser les correctifs dans les sprints.
• Créer et maintenir des tableaux de bord de suivi de la sécurité applicative à destination de la DSI et des équipes projets.
• Aide aux investigations sécurité dans les applications pour le traitement des incidents.

• Documentation, sensibilisation et culture sécurité

• Rédiger des guides de développement sécurisé adaptés aux langages et environnements internes.
• Produire des référentiels internes (coding guidelines, checklists de sécurité, etc.).
• Animer des sessions de formation et des ateliers pratiques (secure coding, code review sécurité, pratiques DevSecOps).
• Participer à la mise en place d’une culture sécurité forte : campagnes de sensibilisation, challenges internes (CTF, bug bounty, etc.).

• Gouvernance, veille et amélioration continue

• Assurer une veille régulière sur les réglementations (DORA, NIS2, RGPD…) et les tendances en cybersécurité.
• Participer aux audits internes/externes et à la gestion des incidents liés à la sécurité applicative.
• Suivre les évolutions technologiques et les menaces émergentes (SBOM, GitOps sécurisé, shift-left testing, etc.).
• Proposer, tester et promouvoir de nouveaux outils et pratiques pour renforcer la maturité DevSecOps de l’organisation.

🌟 You’re a match

• Expérience confirmée (5 ans minimum) en sécurité applicative ou DevSecOps, idéalement dans un environnement hybride (cloud/on-prem).

Education Requirements:

• Bac +5 en cybersécurité, informatique ou développement logiciel avec spécialisation sécurité.

Work Experience Requirements:

• Expérience confirmée (5 ans minimum) en sécurité applicative ou DevSecOps, idéalement dans un environnement hybride (cloud/on-prem).

Languages:
Francais, Anglais courant

Competencies:

• Excellente maîtrise des principes de développement sécurisé (OWASP Top 10, ASVS, Secure SDLC, threat modeling...).
• Connaissance approfondie des outils de sécurité intégrés à la CI/CD : SAST, DAST, SCA, détection de secrets, etc.
• Maîtrise des environnements de développement et d’intégration continue (GitLab CI, GitHub Actions, Jenkins, etc.).
• Bonne compréhension des architectures modernes : API, microservices, containers, cloud public (Azure, AWS).
• Expérience avec les normes de sécurité applicative et référentiels internes (ISO 27034, CIS Benchmarks, etc.).
• Autonomie, rigueur, sens de l'organisation
• Esprit analytique et capacité a résoudre des problèmes complexes
• Curiosité
• Capacité a vulgariser des concepts de sécurité
• Aisance orale, bonne communication, capacité a animer des réunions
• sens du service
• Capacité à s’intégrer dans des cycles projet agiles et en mode produit.
• Expérience dans le pilotage ou la coordination de sujets sécurité transverses.
• Capacité à suivre plusieurs projets simultanément, avec priorisation et reporting clair.

🏅 Your team
Equipe Sécurité des Systèmes d'information

📍 Your location
Paris 9

☀️ Happy at work

Un travail porteur de sens : Soyez le changement ! Aidez-nous à construire l’avenir des avantages employés en donnant une vie à des expériences durables et personnalisées, et contribuez à avoir un impact réel sur la vie de millions de personnes. Notre modèle économique profite non seulement aux individus, mais aussi à leurs communautés, en soutenant les commerces locaux et les économies locales. Une culture d’entreprise exceptionnelle : Les gens compétents – vraiment ! Rejoignez une équipe multiculturelle qui avance ensemble dans un environnement dynamique et innovant. Nous respectons nos collaborateurs et prenons sincèrement soin d’eux, nous valorisons le bien-être, l’équilibre entre vie professionnelle et vie personnelle, les nouvelles idées, et nous savons aussi nous amuser ! Un environnement valorisant : Soyez vous-même ! Chez Pluxee, nous célébrons fièrement la diversité et la singularité de nos talents. Nous cultivons un environnement de travail inclusif où toutes les compétences sont reconnues, et où chacun bénéficie des mêmes opportunités d’apprentissage et d’évolution.

Profil recherché