Description
Lien : https://join.com/companies/taurusgroup/16394548-senior-product-security-engineer-architect-lausanne
Vous souhaitez faire partie d'une nouvelle aventure entrepreneuriale et contribuer à construire la prochaine FinTech mondiale ? Nous avons peut-être le poste qu'il vous faut.
Missions :
Un rôle de contributeur individuel profondément opérationnel, où vous relèverez le niveau de sécurité du produit lui-même. Vous êtes le partenaire sécurité que les ingénieurs souhaitent avoir dans la salle : quelqu'un capable d'ouvrir un diff, de comprendre la surface d'attaque, de construire l'automatisation qui impose le correctif, et de le livrer le jour même. Une grande partie de cette surface étant cryptographique (clés, signature, HSM, et la frontière de confiance qui les entoure), c'est là que vous aurez le plus d'impact.
Responsabilités
Assurer la sécurité produit pour l'ensemble des produits d'actifs numériques concernés : Taurus-PROTECT, Taurus-CAPITAL, Taurus-EXPLORER et Taurus-NETWORK. Contribuer à la sécurité produit des services financiers.
Contribuer à l'architecture de sécurité pour les HSM, le confidential computing, le MPC et les systèmes cryptographiques
Réaliser des revues de sécurité du code applicatif, des workflows cryptographiques, des smart contracts, des intégrations HSM et des composants basés sur des enclaves
Modéliser les menaces des nouvelles fonctionnalités et revoir les conceptions architecturales avant leur mise en production
Diriger et superviser les tests d'intrusion, reproduire les résultats et valider les plans de remédiation
Construire et assurer la maintenance de l'automatisation qui impose les garde-fous de sécurité — sur les pipelines CI/CD, les chaînes d'approvisionnement logicielles, les environnements Kubernetes et les plateformes de déploiement
Collaborer avec les équipes d'ingénierie produit pour concevoir et livrer des correctifs, pas seulement signaler des constats
Revoir les modèles d'autorisation, la gestion des privilèges, les intégrations d'identité et les contrôles d'accès opérationnels
Soutenir la réponse aux incidents, la gestion des vulnérabilités et les investigations de sécurité
Soutenir les audits clients, les appels d'offres (RFP), les ateliers de sécurité et les discussions réglementaires
Traduire les exigences réglementaires et de conformité en contrôles techniques concrets
Assurer une veille sur l'actualité et les tendances en matière de sécurité ; identifier leur impact potentiel sur les produits et garantir l'application rapide des mesures correctives
Profil :
Master ou Doctorat en informatique, ingénierie de la sécurité IT ou cryptographie
7 ans d'expérience minimum en sécurité applicative, sécurité produit, sécurité offensive ou ingénierie de la sécurité
Expérience dans des environnements critiques en matière de sécurité — services financiers, paiements, identité, conservation d'actifs (custody), systèmes embarqués ou plateformes réglementées
Anglais courant, à l'écrit comme à l'oral
Exigences clés
Sécurité applicative et produit :
Solide expérience en revue de code de sécurité dans au moins deux des langages suivants : Go, C/C++, TypeScript, Python
Modélisation des menaces, revues de conception sécurisée et tests d'intrusion
Capacité à identifier les failles de logique métier, les problèmes d'autorisation, les mauvais usages cryptographiques et les chemins d'attaque complexes
Cryptographie et gestion des clés :
Solides bases en cryptographie appliquée : PKI, TLS, X.509 ; AES, RSA, ECDSA, EdDSA ; gestion des clés et cérémonies de clés ; stockage sécurisé des clés et workflows de signature
Expérience avec les technologies HSM et les environnements PKCS#11
Sécurité infrastructure et cloud :
Solide expérience en sécurité Kubernetes et conteneurs
Familiarité avec la gestion des identités et accès (IAM) cloud, l'identité de charge de travail (workload identity), la gestion des secrets et le policy-as-code
Un esprit de bâtisseur — vous mettez en œuvre les contrôles de sécurité, pas seulement les révisez
Matériel sécurisé et confidential computing :
Expérience avec un ou plusieurs des éléments suivants : Thales / Luna HSM, AWS CloudHSM, Azure Managed HSM, Intel SGX, AMD SEV-SNP, AWS Nitro Enclaves, Azure Confidential Computing
Compétences relationnelles et de communication :
À l'aise pour échanger avec des équipes de sécurité, des auditeurs, des régulateurs, des clients entreprises et des CISO prospects
Capable d'expliquer des sujets de sécurité complexes de manière claire et pragmatique
Un atout important
Sécurité blockchain et smart contracts
MPC et systèmes de signature à seuil (threshold signature)
Fuzzing et tests de sécurité logicielle
Conformité et cadres réglementaires de sécurité (FINMA, DORA, MiCA, ISO 27001, SOC 2, FIPS 140-3)
Recherche publique en sécurité, CVE, expérience en bug bounty, ou contributions open source en sécurité
Expérience dans le support d'appels d'offres (RFP), de questionnaires de sécurité et de due diligence client
Diplôme en informatique, sécurité, ou expérience pratique équivalente
Avantages
Une opportunité de travailler à l'intersection des actifs numériques et de la finance
Une équipe qualifiée et expérimentée, incluant des experts de renommée mondiale
Un environnement d'apprentissage dynamique, un esprit entrepreneurial et un fort esprit d'équipe
Un moment idéal pour rejoindre l'entreprise alors qu'elle croît et se développe
Une technologie et une infrastructure informatique de pointe
Travail hybride à distance et horaires flexibles
Des événements d'équipe conviviaux
À mesure que l'entreprise évolue dans un environnement dynamique et innovant, son ADN repose sur le mérite. Ainsi, des opportunités de croissance importantes seront offertes aux candidats ayant un esprit ouvert et orienté résultats. Nous sommes un employeur garantissant l'égalité des chances.
