Back to search
Lucca Linkedin · Posted 13d ago

Security Engineer - Purple Team

France

Linkedin
Continue to application Add your email once, then Caio opens the original posting.

Indexed description

Description Du Poste

🎓 3 ans minimum d'expérience requis en pentest et/ou red team

💼 Bac+5

💰 Salaire prévu entre 51 et 88K€ fixes bruts par an, selon l'expérience

📍 Nantes, Marseille, Paris ou Full remote (localisation en France obligatoire)

🏠 Hybride ou Full remote possible avec déplacements trimestriels

🌍 Lucca is getting global ! For this job, the level required in English is B2

L'équipe

Vous rejoignez une Purple Team de trois personnes, en collaboration constante avec l'équipe plateforme d'une vingtaine de personnes (Infra, DevX, Tooling) et plus de 250 développeurs.

Vous avez une autonomie réelle, vous êtes compétent, vous êtes responsable, vous avez donc un vrai droit de regard et de conseil, et vous challengez tous les autres, du design jusqu'à l'implémentation d'un correctif en passant par le déroulé d’un incident.

Le scope est significatif, et vous suivez tout le cycle d'une vulnérabilité jusqu'au fix en production, souvent en quelques heures. Le but est de construire sur le long terme le tooling interne utilisé au quotidien par toute l'équipe et toute la R&D.

L'IA au cœur du tooling

Nous construisons notre propre tooling interne (25+ outils maison) et l'IA devient un élément central de nos workflows et nos méthodes de travail. Concrètement, vous passez moins de temps sur la plomberie et les sujets répétitifs, et plus de temps sur les sujets qui comptent vraiment, ceux passionnants et à forte valeur ajoutée.

Lucca en chiffres

  • Bug Bounty YesWeHack : réponse moyenne 55 min, rewards jusqu'à 10K€.
  • 300+ repos GitHub, 80 apps exposées, 1.2M+ utilisateurs.
  • 10 000 builds CI/mois, 50 déploiements/jour, from fix to prod en moins de 60 minutes.

La stack

  • .NET Core/Framework, Angular, SQL, et CI sur GitHub Actions
  • SQL Server, Redis, RabbitMQ, Kubernetes (Talos, Cilium, eBPF, Kyverno, ArgoCD).
  • Datadog, Grafana, CrowdStrike, Cloudflare
  • Tooling interne en Python (mostly côté sécu) Go et .NET

L’approche

  • Security by-design first, et Zéro trust.
  • Pas de sécurité périmétrique, défense en profondeur (ex : nos apps doivent pouvoir être résistantes sans WAF).
  • Flat hierarchy, transparence à tous les niveaux, décisions collectives.

Vos missions : vous touchez à tout, et c'est le but !

  • Offensif : pentester web & APIs, scénarios red-team, k8s, et animer remédiation.
  • Défensif : fine-tuning SIEM & alertes, réponse incident, triage Bounty.
  • Astreinte : obligatoires, on a un excellent rapport signal bruit.
  • Tooling : construire et faire vivre nos outils maison, on automatise tout ce qui vaut le coup.
  • Cloud & Hardening: durcir nos différents SaaS, IDP, infra, IT interne, etc.
  • Challenger les mesures en place, accompagner la R&D, conseiller sur les best-practices.
  • Veille : CVE, zero-days, nouvelles TTPs et exploits croustillants.

Profil recherché

  • Vous savez attaquer une application web et une API modernes en profondeur, access-control, OAuth, logique métier, applications multi tenant, pas juste lancer un scanner, vous adorez rentrer en profondeur dans la technique et trouver un full-chain à 5 bandes pour finir sur une crit.
  • Vous savez aussi défendre, exploiter des logs, explorer les hypothèses, et mitiger autant via des règles de détection que du “secure by design”.
  • Vous savez coder et vous aimez automatiser, en Python, Go ou .NET.
  • Vous rédigez des rapports clairs (ou vous savez comment mettre votre meilleur LLM sur le coup ;) et aimez animer la remédiation avec les devs pour arriver à du fix by-design.
  • Vous aimez éplucher un write-up pour tenter une repro en mode pop-corn.
  • Vous travaillez déjà avec des agents IA et vous avez un avis lucide sur leurs forces et leurs limites.
  • Vous adorez découvrir, apprendre, partager, challenger les idées et être challengé en retour.

Ce qui nous met des étoiles dans les yeux

  • Une ou plusieurs CVE à votre actif, une XP professionnelle originale, un beau parcours Bug Bounty, ou même des write-ups à votre actif.
  • Une expérience de dev de tooling sécu ou de contribs open-source dont vous êtes fier.
  • Une expérience offensive red-team, des connaissances avancées sur Kubernetes (ou même une CKS) ou des expérimentations avec de l’IA.
  • Vous aimez les CTF et autres hackathons.

Les prérequis sur le poste

  • Vous êtes déjà en mode IA first.
  • Vous voulez faire de la sécurité offensive web et/ou system, et vous êtes curieux d'explorer toute la diversité d'une Purple Team.
  • Vous allez participer aux astreintes security.
  • Vous avez des compétences en développement sur un langage objet, bonus si .NET ou Go, et vous vous débrouillez en Python.
  • Vous avez un profil GitHub ou GitLab à nous partager.

Recrutement chez Lucca

  • Étape 1 : Echange avec Florence, Lead Tech Recruiter (45 min).
  • Étape 2 : Entretien technique où on parle exploitation et code avec Martial Security Engineer, et Raphaël Chief Information Security Officer (60 min).
  • Etape 3 : Test en live (60 min).
  • Étape 4 : Petit Oral, rencontre avec une partie de votre future équipe (60min).
  • Étape 5 : Grand Oral, présentation d'un sujet de votre choix devant un "panel" de luccasiens (45min).

Nos “à côtés” qui mettent dans le mille

🎗️ Mutuelle Kenko - 100 % prise en charge pour vous et vos enfants, parce qu’on tient à ce que toute la famille soit en pleine forme

🍽️ Carte titre-restaurant Lucca

🏋️ Abonnement Wellpass

🚴 Transport ou mobilité douce - 75 % remboursé chaque mois… ou une prime pour pédaler / marcher tranquille (40e/mois)

💰 Intéressement et plans d’épargne entreprise (PEE/PERCO)

🌴 Prime de vacances

🎉 Avantages CSE

👩‍🍼 Places en crèche

Free. 20 seconds. No password. See every match in this search.

Create a free Caio profile to unlock more results and save your role and location preferences.

Unlock free search
Want help applying to roles like this? Search Caio for free. If CV tailoring and application tracking get heavy, Full Caio Agent adds a human specialist.
View Full Agent