Testeur de pénétration interne en cybersécurité

À propos de cette offre

Informations générales

• Département : Sécurité de l'information & BCM

• Temps de travail : 100%

• Lieu : Genève (préféré), Zurich ou Lugano

Notre entreprise

EFG International est un groupe bancaire privé mondial, offrant des services de banque privée et de gestion d'actifs. Nous servons des clients dans plus de 40 sites à travers le monde. EFG International offre un environnement de travail stimulant et dynamique et s'efforce d'être un employeur de choix. 

EFG s'engage à fournir un environnement de travail équitable et inclusif fondé sur le principe du respect mutuel. Rejoindre notre équipe signifie vivre dans un environnement de soutien, où vos contributions sont valorisées et reconnues. Nous croyons fermement que la diversité de nos équipes nous donne un avantage concurrentiel en favorisant une meilleure prise de décision et une plus grande innovation.

Notre but et notre mission

Donner aux esprits entrepreneuriaux les moyens de créer de la valeur – aujourd'hui et pour l'avenir.

Nous sommes une banque privée, offrant des solutions personnalisées à l'échelle mondiale aux clients privés et institutionnels. Notre succès durable repose sur nos talents et sur la manière dont nous collaborons avec nos clients et nos communautés pour créer une valeur durable.

Description du poste

Contexte - La Sécurité de l'information & BCM, sous la direction du Group Chief Information Security Officer (CISO) et faisant partie de l'organisation du Chief Operating Officer (COO), définit, dirige et coordonne les efforts de sécurité de l'information à travers EFG International et ses entités à l'échelle mondiale. Elle élabore la stratégie de sécurité de l'information, identifie et mène des initiatives de sécurité et établit des normes.

Pour soutenir le cadre de gestion des risques TIC, en conformité avec les exigences réglementaires (FINMA, DORA et réglementations pertinentes du secteur financier), nous recherchons un testeur de pénétration interne en cybersécurité.

Le candidat retenu sera responsable de la réalisation d'évaluations de sécurité offensives continues en interne de l'infrastructure, des applications et des contrôles de la Banque.

Ce rôle combine une expérience technique pratique en tests de pénétration et en simulation d'attaques réelles sur des environnements d'entreprise, avec une collaboration étroite avec les équipes de sécurité, informatique, développement et gestion des risques pour identifier de manière proactive, exploiter et conseiller sur la remédiation des vulnérabilités dans les systèmes bancaires critiques. 

Les responsabilités clés incluent :

• Planifier, définir la portée et exécuter des tests de pénétration internes sur les plateformes bancaires principales et les applications métier, avec un fort accent sur les services supportant des fonctions critiques et importantes

• Concevoir des scénarios de test alignés avec des modèles de menace bancaire réalistes (fraude, exfiltration de données, élévation de privilèges, mouvements latéraux vers des systèmes critiques, etc.) et des évaluations internes des risques

• Réaliser des tests pratiques contre les réseaux internes, serveurs, points de terminaison, applications web, API, charges de travail cloud, AD et autres systèmes d'infrastructure principaux

• Documenter les résultats dans des rapports clairs, basés sur les risques, avec des preuves et des recommandations de remédiation exploitables pour des publics techniques et non techniques

• Travailler en étroite collaboration avec les équipes infrastructure, développement, DevOps et gestion des risques pour soutenir les plans de remédiation et les retests, en veillant à ce que les résultats critiques soient suivis jusqu'à leur clôture dans les processus de gestion des risques et de gouvernance TIC.

• Développer et maintenir les méthodologies, guides et outils de test internes pour soutenir des évaluations répétables et efficaces

• Collaborer avec le SOC lors d'exercices de type équipe violette pour tester et améliorer les capacités de détection et de réponse

• Se tenir informé des menaces émergentes, vulnérabilités, TTP, etc., et les intégrer dans les tests internes

Compétences et expérience

• Formation en cybersécurité, informatique ou domaines connexes

• 3 à 5 ans d'expérience pratique en tests de pénétration ou en équipe rouge, avec un travail démontrable sur réseau interne, applications web et API ; une expérience dans le secteur bancaire ou financier est un atout majeur 

• Bonne compréhension des protocoles réseau, systèmes d'exploitation (Windows, Linux), technologies web et cloud ; la connaissance des architectures bancaires principales est un plus

• Maîtrise des outils et techniques offensives courantes (ex. Burp Suite, Metasploit, frameworks similaires à Cobalt Strike, outils basés sur Kali) et capacité à effectuer des tests manuels au-delà des outils

• Solide connaissance des concepts de codage sécurisé et des vulnérabilités courantes des applications (ex. OWASP Top 10) pour évaluer les cibles web et API

• Certifications professionnelles telles que OSCP, GXPN ou autres accréditations en sécurité offensive en règle

• Excellentes compétences en communication et capacité à expliquer des résultats techniques complexes à des publics techniques et non techniques

Nos valeurs

• Responsabilité : Prendre en charge les tâches et défis, ainsi que rechercher une amélioration continue

• Pratique : Être proactif pour livrer rapidement des résultats de haute qualité

• Passionné : Être engagé et viser l'excellence

• Orienté solution : Se concentrer sur les résultats clients et traiter les clients équitablement avec une conscience des risques

• Orienté partenariat : Promouvoir la collaboration et le travail d'équipe. Travailler ensemble avec un esprit entrepreneurial.

Candidature

Veuillez vous assurer de joindre une lettre de motivation à votre CV lors de la soumission de votre candidature.