Stage en Cybersécurité – Évaluation, Tests d’Outils d’Analyse de Code Source et Intégration à notre environnement de développement logiciel.
Contexte
Mise en conformité de l’environnement de développement logiciel vis-à-vis des standards de Cybersécurité (IEC 62443, ISO-27001).
Dans le cadre de l’amélioration continue de la sécurité des applications, l’équipe cybersécurité souhaite évaluer l’efficacité des outils d’analyse de code source (SAST : Static Application Security Testing et DAST : Dynamic Application Security Testing). Le/la stagiaire contribuera à la sélection, au test et à la comparaison de ces outils afin d’identifier les solutions les plus adaptées aux besoins internes.
Missions
Le stagiaire sera responsable des tâches suivantes :
1. Identifier et comparer plusieurs outils d’analyse de code (ex : SonarQube, Semgrep, CodeQL, OpenText Fortify, Checkmarx, Frama-C, Horusec).
· Définir des critères d’évaluation des outils (types de vulnérabilités, langages supportés, performance, etc.).
2. Évaluer la couverture des vulnérabilités détectées, la précision des résultats (faux positifs/négatifs), et la facilité d’intégration dans nos environnements de développement, les différents langages, et les pipelines CI/CD.
· Mettre en place des environnements de test avec des projets vulnérables (ex : OWASP Juice Shop, WebGoat, DVWA).Proposer des recommandations sur les outils à adopter ou à améliorer.
· Mettre en place de POCs (Proof of Concept) et une automatisation des analyses.
3. Réaliser des campagnes d’analyse et documenter les résultats.
Environnement technique
Systèmes :
Linux (environnements de développement).
Apport du stage
· Découverte et maitrise d’outils DevSecOps dans un environnement industriel de développement
· Interaction avec différentes équipes permettant de comprendre le déroulement des projets industriels d’envergure dans le domaine du développement logiciel sécurisé.
· Compréhension des enjeux et défis des études de faisabilité dans un environnement R&D.