Ingénieur Sécurité – Responsable Vulnerability Operations Center (VOC) (H/F)

FinTech leader en France pour les logiciels dédiés aux métiers du patrimoine et de la finance, HARVEST accompagne les professionnels avec des solutions couvrant toute la chaîne de valeur patrimoniale et financière depuis 35 ans. Le groupe conçoit des solutions digitales, rend accessible l’information indispensable pour éclairer les décisions patrimoniales et financières. Spécialiste de la data, il permet la construction automatisée de portefeuilles efficients sur mesure.
Avec plus de 4600 sociétés clientes, le groupe propose un ensemble de logiciels et de services plébiscités par les professionnels désireux de développer un conseil à forte valeur ajoutée.

Expertise métier et maîtrise technologique s’exercent avec plus de 600 talents passionnés et investis. Le groupe a recruté plus de 100 collaborateurs en France en 2024 pour accompagner sa croissance et son ambition de devenir le champion européen de la WealthTech.

Vous voulez structurer un vrai dispositif de gestion des vulnérabilités, au-delà des campagnes ponctuelles de tests et des alertes dispersées ?

Nous créons un poste d’Ingénieur Sécurité – Responsable VOC au sein de la Direction Sécurité des Systèmes d’Information (SSI), rattaché(e) au RSSI Groupe.

Votre mission : créer, structurer et piloter l’ensemble du processus de gestion des vulnérabilités du Groupe pour assurer une maîtrise proactive et mesurable du risque cyber (ISO 27001, exigences réglementaires, attentes clients).

Votre rôle

Vous mettez en place et faites vivre le Vulnerability Operations Center :

• Définir et formaliser le processus global de gestion des vulnérabilités.

• Mettre en place les workflows de collecte, qualification, affectation et validation des corrections.

• Définir les critères de priorisation (CVSS + exposition + criticité métier).

• Proposer et déployer les outils de pilotage et de reporting.

Au quotidien, vous pilotez l’activité :

• Établir et piloter la campagne annuelle de pentests.

• Centraliser toutes les vulnérabilités (pentests, audits, SAST, DAST, scanners infra/cloud, bulletins éditeurs…).

• Qualifier et prioriser selon le risque réel.

• Assigner les actions de remédiation aux équipes concernées (infra, cloud, dev, DevOps…).

• Suivre les délais de correction, relancer si besoin et valider l’efficacité des corrections.

Côté gouvernance et amélioration continue :

• Définir avec les équipes des SLA de remédiation et suivre leur respect.

• Produire les indicateurs de pilotage (taux de vulnérabilités critiques ouvertes, délai moyen de correction, backlog…).

• Fournir un reporting consolidé au RSSI et aux comités de gouvernance ; contribuer aux audits internes/externes (ISO 27001…).

• Automatiser la collecte et la corrélation des vulnérabilités, optimiser les délais de traitement, réduire les faux positifs.

• Assurer une veille proactive sur les vulnérabilités critiques.

Vos interlocuteurs

Vous travaillez en proximité avec :

• En interne : RSSI, équipes Infrastructure & Cloud, DevOps / DevSecOps, équipes Produits / Développement, SOC, équipe GRC.

• En externe : prestataires de pentest, auditeurs, éditeurs / constructeurs (bulletins de sécurité), intégrateurs sécurité.

Compétences techniques :

• Bac+5 en cybersécurité, informatique ou équivalent.

• Maîtrise des concepts CVE, CVSS, OWASP.

• Expérience des outils SAST / DAST.

• Pratique des scanners de vulnérabilités infrastructure et cloud.

• Bonne compréhension des architectures cloud (AWS ou équivalent).

• Compréhension des environnements applicatifs et DevOps.

• Connaissance des exigences ISO 27001 appréciée.

Compétences comportementales :

• Forte autonomie (création de fonction).

• Capacité à structurer et formaliser des processus.

• Rigueur, sens de l’organisation.

• Capacité d’influence transverse auprès des équipes techniques.

• Excellentes capacités d’analyse et de synthèse.

• Orientation résultat et pilotage par indicateurs.