Security Engineer H/F

Fintech early-stage en construction avec son équipe fondatrice. Produit : application mobile et web de banque/finance personnelle (onboarding, KYC, dashboard, transactions, épargne). Enjeu fort sur l'identité produit et le craft pour se différencier dans un paysage fintech saturé. Environnement startup classique : itérations rapides, lien direct avec les fondateurs, cycle ship/learn/iterate hebdo.

Poste d'AppSec Engineer en tant qu'early security hire : construire le programme de sécurité applicative from scratch.

Périmètre : Secure SDLC (threat modeling, secure code reviews, SAST/DAST/SCA en CI/CD), application security sur APIs et mobile, AI security (prompt injection, LLM, RAG), conformité ACPR / DORA / PCI DSS / RGPD, developer enablement, security tooling, incident response.

CDI, ASAP, 80K€+ selon expérience, BSPCE. Process en 2 semaines : discovery call, technical screen, hands-on assessment, culture fit.

5+ ans en application security, capable de construire un programme from scratch en early-stage.

Compétences clés : threat modeling, secure code review, SAST/DAST/SCA, pentest, lecture de code et PRs (Python, Go, TypeScript ou équivalent), OWASP Top 10 / API Security Top 10, mobile security indispensable (iOS/Android, OWASP Mobile Top 10), cloud-native security (AWS/GCP/Azure, Docker, Kubernetes), hardening CI/CD, crypto, OAuth 2.0 / OIDC, secrets management, industrie régulée (PCI DSS, RGPD, ISO 27001, SOC 2).

Bonus : sécurité LLM/AI-native, DORA, bug bounty, certifications (OSCP, CSSLP, GWAPT).

Soft skills : pense comme un attaquant, communique comme un ingénieur, pragmatique, non-bloqueur. Anglais solide requis, français un plus.