Pentester Web (H/F)

Lexfo, filiale du groupe Forward Global, est un cabinet d’audit délivrant une expertise technique complète sur les sujets de Cybersécurité. Avec une centaine de collaborateurs experts et passionnés à son bord, Lexfo intervient auprès de nombreux clients afin d'assurer la détection et l'exploitation de vulnérabilités, la recherche de fuites de données, la réponse à incident de sécurité ainsi que la formation.

Dans le cadre du développement de nos activités en France et à l’international, nous recrutons un Pentester afin de renforcer notre équipe Ambionics, plateforme CTEM industrielle de pilotage continu de l'exposition cyber.

Missions

Réalisation de tests d'intrusion web :

• Réaliser des tests d'intrusion sur des applications et API web variées (sites vitrines, applications métier, SPA, services REST/GraphQL, microservices, etc.).

• Auditer des environnements web modernes : frameworks front-end (React, Angular, Vue), back-ends (Node.js, PHP, Java, .NET, Python), conteneurs et architectures cloud.

• Identifier et exploiter des vulnérabilités web complexes (injections, désérialisation, SSRF, failles d'authentification et de session, contournements de logique métier, vulnérabilités liées aux API, etc.).

• Évaluer la sécurité des mécanismes d'authentification et d'autorisation (OAuth2, SAML, JWT, SSO).

Recherche et développement technique :

• Participer à la conception et au développement de nos outils internes (scanners, proxies, extensions Burp, automatisations) et à l'amélioration de nos méthodologies web.

• Contribuer à la recherche de nouvelles techniques d'exploitation web et de contournement de protections (WAF, etc.).

• Contribuer à la recherche de nouvelles techniques d'exploitation et d'évasion.

• Automatiser des tâches d'intrusion et développer des scripts d'exploitation.

• Participer à la recherche de vulnérabilités et à l'innovation en sécurité offensive.

Production de livrables et restitution :

• Produire des rapports d'audit détaillés et des recommandations de sécurité exploitables.

• Assurer la qualité technique et rédactionnelle des livrables clients.

Veille technologique et partage de connaissances :

• Contribuer à la veille technologique et suivre les évolutions en lien avec la sécurité offensive.

• Partager des connaissances et des découvertes avec l'équipe.

• Participer à des conférences, workshops ou publications (blog, advisories, etc.).

• Contribuer à la montée en compétences collective.

Collaboration et amélioration continue :

• Participer activement à la vie de l'équipe et travailler de manière collaborative.

• Contribuer à l'amélioration continue de nos pratiques et méthodologies.

• Participer aux retours d'expérience et capitaliser sur les missions.

Votre profil

• Vous êtes diplômé d’un Bac+3 / Bac+5 en cybersécurité ou équivalent.

• Vous avez au moins 3 ans d'expérience dans la réalisation de tests d'intrusion web, sur diverses technologies et architectures applicatives

• Vous maîtrisez les principales classes de vulnérabilités web (OWASP Top 10, vulnérabilités d'API, failles de logique métier) ainsi que les techniques d'exploitation associées.

• Vous avez de bonnes connaissances des technologies web ( navigateurs, mécanismes d'authentification et de session, architectures front/back, API REST et GraphQL) et des frameworks et méthodologies d'intrusion (OWASP, MITRE ATT&CK, PTES, WSTG, etc.).

• Vous êtes à l'aise avec les outils du pentest web (Burp Suite, etc.) et savez développer vos propres scripts d'exploitation et d'automatisation.

• Vous savez produire et présenter des rapports clairs et pédagogiques.

• Vous avez une forte volonté d'apprendre, de progresser et d'innover sur les techniques d'intrusion et la sécurité offensive.

• Vous faites preuve de curiosité technique et d'appétence pour la recherche de vulnérabilités.

• Vous êtes reconnu pour vos compétences techniques, vos qualités relationnelles et rédactionnelles.

• Vous êtes à l’aise dans des environnements dynamiques et à forte exigence opérationnelle.

• Vous parlez français et anglais couramment .

• Un engagement dans la communauté (publications, CTF, bug bounty, conférences, etc.) est apprécié.

Poste à pourvoir à Paris - 43 Avenue de Clichy 75017 ou Lyon - 20 rue de la Villette (69003.

Pour en savoir plus sur Lexfo et Forward Global :

Chez Forward Global toutes les candidatures qualifiées sont les bienvenues. En tant qu'employeur garantissant l'égalité des chances, le Groupe promeut la diversité et l'inclusion au sein de l'environnement de travail.