Auditeur.trice infrastructures NFV et Cloud télécom F/H

Descriptif de l’offre

 Rejoindre l’Agence nationale de la sécurité des systèmes d’information (ANSSI), c’est mettre ses compétences au service de l’intérêt général en participant à une mission capitale, d’actualité et porteuse de grandes responsabilités dans un monde où la cybersécurité est devenue l’affaire de tous !

Vos missions au service de l’intérêt général :

Au sein de la sous-direction Expertise (SDE), le bureau «Sécurisations des Communications», rattaché à la division assistance technique, a pour mission d’accompagner les opérateurs de communication électronique et les équipementiers dans la sécurisation de leurs réseaux fixes et mobiles.

En tant qu'auditeur des infrastructures NFV et Cloud télécom, vous serez amené à réaliser ou piloter des missions d'audits techniques SSI dans le domaine des télécommunications. 
 Le périmètre de vos activités s'étendra des équipements et des plateformes des cœurs de réseau existants ou futurs aux antennes dites "intelligentes" destinées à être déployées chez les opérateurs dans le cadre de la 5G par exemple. 
 Les domaines techniques sont extrêmement riches et variés et couvrent les aspects suivants sans prétendre à l'exhaustivité : 

•  L'analyse et l'audit SSI de systèmes Linux ou Unix-like,
• L'audit technique et l'audit d'architecture de déploiements OpenStack ou Kubernetes, 
• L'analyse de protocols réseau et télécoms, de la téléphonie dite "classique" à la 5G, 
• L'analyse des documents équipementiers ou opérateurs concernant les mesures de durcissments SSI, 
•  Des missions ponctuelles de tests d'intrusion sur des plateformes et des technologies difficilement envisageables dans un autre contexte.

 
Dans le cadre de ces missions, vous pourrez être amené(e) à faire des déplacements d’une semaine en région parisienne, en région, et éventuellement à l’étranger lors des tests de plateforme.

À noter que contrairement à des missions "classiques" d'audits techniques, l'ANSSI recherche des candidats démontrant un fort intérêt à l'accompagnement sur le long terme des opérateurs ou des équipementiers dans la mise en œuvre des solutions de sécurité recommandées lors des audits. À ce titre, des compétences d'administration système et réseau sont également recherchées.
 
Vous serez également amenés à présenter le résultat de vos travaux (défauts de sécurisation,  impacts métier potentiels, recommandations) à des experts techniques comme à des décideurs. À ce titre, des capacités rédactionnelles et pédagogiques sont nécessaires. 
 
Vous pourrez enfin être amenés à participer à des conférences de sécurité des systèmes d'informations en tant qu'auditeur ou présentateur. Enfin, vous réaliserez des travaux de R&D pour monter en compétence sur les domaines liés aux télécommunications.

Profil recherché

Vous êtes titulaire d’un diplôme d’ingénieur ou avoir suivi un cursus universitaire de niveau BAC+5 minimum, dans le domaine des technologies de l’information vous avez une expérience technique avancée dans le domaine de la sécurité informatique ou de très bonnes compétences en administration des systèmes d'information. 

Suivant les profils, un niveau BTS informatique avec 5 ans d’expérience minimum dans le domaine de la gestion ou intégration de réseau opérateur de télécommunication pourra également être accepté.

 Compétences attendues :
Vous êtes idéalement un "tueur" dans tout ou partie des domaines suivants, même si l'ANSSI peut former des profils juniors mais passionnés : 

• audit technique SSI ;
• audit d'architecture SSI ;
• expertise en protocoles de télécommunication ;
• expertise du système Linux et notamment de son durcissement : vous pouvez expliquer pendant des heures les concepts de capabilities, SELinux, ainsi que les élévations de privilèges à partir d'une mauvaise configuration de l'outil sudo,
• expertise cloud native : OpenStack, Kubernetes, docker, sont un plus non négligeables ;
• pentest : Les notions de SQLi, pivoting, tunnels réseau, bufferoverflow vous sont familières ;
• capacités de rétro-ingénierie. Vous aimez trouver des mots de passe en dur dans le code, comprendre les défauts d'implémentation d'algorithmes cryptographiques, découvrir des fonctionnalités secrètes non documentées.

 
Vous faites preuve d'une éthique irréprochable et d'un sens fort du service.

Process de recrutement

• Si votre candidature est présélectionnée, vous serez contacté(e) pour apprécier vos attentes et vos motivations et convenir d'une date d'entretien le cas échéant.
• Les entretiens de sélection pourront être menés en visio-conférence ou en présentiel par l’employeur accompagné par la division des ressources humaines.
• Des tests techniques pourront vous être proposés.
• Vous serez informé(e) des suites données à votre candidature.
• Le poste proposé nécessitant d'avoir accès à des informations relevant du secret de la défense nationale, vous ferez l'objet d'une procédure d'habilitation.