Le candidat fera partie d'une équipe de sécurité logicielle dédiée (AppSec) chez Bentley Systems. La principale responsabilité de l'équipe de sécurité des produits est la sécurité des logiciels créés par Bentley. Cela comprend des centaines de produits et une grande variété de technologies : Cloud, Desktop, Mobile, C#, JavaScript, Node.js, applications à page unique (SPA), Electron, services Azure cloud, etc. Le candidat retenu aura l'occasion de travailler dans un environnement réellement DevSecOps et fera partie d'une équipe multinationale diversifiée d'experts.

Emplacement : Québec, QC

Responsabilités

• Apprentissage en continue et recherche de sujets AppSec avancés.
• Attaque des platformes clouds de Bentley et autres produits (serveur, desktop, mobile, etc.)
• Identifier et exploiter des vulnérabilités.
• Travailler sur l’automatisation et les développements d’outils internes (ex : scan du pipeline de déploiement)
• Gérer le programme de primes relié aux vulnérabilités (Bug bounty).
• Travailler avec un réseau de champions de la sécurité pour améliorer la sécurité de nos produits.
• Aider les développeurs à améliorer leur code pour qu’il soit plus sécuritaire.

Requis

• Intérêt marqué pour la sécurité et le développement de logiciels.
• Formation en informatique, en génie logiciel ou dans un domaine d'études connexe ou expérience connexe équivalente.
• 5+ ans d'expérience en développement ou en sécurité.
• Méthodique et minutieux, mais aussi assez curieux pour enquêter sur les anomalies lorsque cela est justifié.
• Solides capacités de résolution de problèmes à l'aide de diverses technologies.

Atouts

• Connaissance approfondis du Top 10 de l'OWASP et du Top 25 de SANS.
• Connaissance des techniques d’exploitation de heap (sous Window)
• Connaissance de plusieurs debuggers (i.e. windbg, x64dbg)
• Connaissance des technologies web (JavaScript, HTML5, HTTP, REST, SOAP, etc.).
• Connaissance de la sécurité web des outils de débogage (ex : capture avec Fiddler, Wireshark, etc).
• Connaissance de certains des langages de programmation suivants : C++, C# et Typescript.
• Expérience avec les outils de test de pentests comme Burp Suite Pro, OWASP Zed Attack Proxy.
• Expérience en création de code d'exploitation pour les vulnérabilités web et natives (C/C++).
• Expérience avec la création d’exploits en assembleur.