Consultant(e) Méthodes & Process Produit – Conformité CRA F/H Recruteur partenaire

Contexte de la mission

Le Cyber Resilience Act (CRA), dont l'application est prévue à partir de 2027, impose aux fabricants de produits comportant des éléments numériques des exigences inédites de cybersécurité tout au long du cycle de vie : sécurité dès la conception, gestion des vulnérabilités, documentation technique réglementaire, déclaration de conformité et signalement d'incidents.
AVISTO intervient auprès d'un acteur majeur de l'industrie des semi-conducteurs pour l'accompagner dans l'intégration concrète de ces exigences CRA au sein des méthodes et processus de développement d'un produit en particulier (familles de composants sécurisés telles que ST31, ST54, ou gammes similaires), depuis la spécification du besoin jusqu'à la fabrication. Mission de 1 à 2 ans.

Vos missions
- Intégration des exigences CRA dans le cycle de vie produit
- Réalisation d'une analyse d'écart (gap analysis) entre les processus de développement produit existants et les exigences applicables du Cyber Resilience Act, en tenant compte de la catégorie du produit (classe I / classe II ou critique).
- Définition et mise en place d'un plan de mise en conformité CRA couvrant l'ensemble du cycle de vie : spécification, conception, développement, tests, fabrication, livraison, fin de vie.
- Intégration des exigences « security by design » dans les processus de développement : identification des cas d'usage de sécurité, exigences de sécurité dès la spécification, revues de sécurité aux jalons clés.
- Mise en place ou renforcement d'un processus de gestion des vulnérabilités conforme au CRA : identification, évaluation, divulgation coordonnée (CSAF/VEX), mise à jour de sécurité, politique de support.
- Structuration de la documentation technique réglementaire requise par le CRA : déclaration de conformité UE, dossier technique, SBOM (Software Bill of Materials), instructions d'utilisation sécurisée.
- Accompagnement opérationnel des équipes produit
- Appui quotidien des équipes certification produit dans l'application des processus CRA tout au long du développement du produit (ST31, ST54, ou gammes équivalentes).
- Coordination avec les équipes R&D, qualité, industrialisation, juridique et supply chain pour assurer la cohérence de la démarche de conformité à chaque phase.
- Préparation des livrables nécessaires aux démarches de certification et d'évaluation (Critères Communs, normes sectorielles), en les articulant avec les exigences CRA.
- Identification et remontée des risques de non-conformité CRA au fil de l'avancement du projet, avec proposition d'actions correctives priorisées.
- Suivi des jalons réglementaires et reporting auprès du management produit et de la direction certification.
- Capitalisation et structuration méthodologique
- Construction d'un référentiel méthodologique CRA réutilisable : modèles de documents, checklists par phase, matrices de traçabilité exigences / livrables.
- Capitalisation des retours d'expérience en vue de l'extension de la démarche à d'autres produits de la gamme.

L'agence de rattachement de cette offre se situe à Aix.

Profil recherché

Compétences et savoir-faire attendus

Bonne connaissance du Cyber Resilience Act (CRA) : périmètre d'application, obligations des fabricants, exigences essentielles de cybersécurité (Annexe I), obligations de signalement, processus d'évaluation de la conformité.
Expérience en cycle de vie produit ou en certification de produits de sécurité (composants sécurisés, cartes à puce, secure elements, IoT) dans un environnement réglementé.
Capacité à traduire des exigences réglementaires abstraites en actions concrètes au sein d'un cycle de développement produit existant.
Rigueur documentaire : aptitude à produire et maintenir une documentation technique de niveau réglementaire (dossier technique, SBOM, déclaration de conformité, politique de vulnérabilités).
Autonomie, sens du cadrage, et capacité à s'inscrire dans la durée (1 à 2 ans) au sein d'une équipe produit dédiée.
Bon relationnel pour travailler en transverse avec des interlocuteurs variés (R&D, qualité, juridique, industrialisation, certification).

Atouts selon le périmètre de mission

Connaissance des référentiels Critères Communs / Common Criteria, ISO/SAE 21434, ou autres normes de certification hardware/software applicables aux semi-conducteurs sécurisés.
Expérience antérieure chez un fabricant de semi-conducteurs ou au sein d'un laboratoire/organisme de certification (CESTI, laboratoire accrédité CC…).
Connaissance des familles de composants sécurisés de type ST31, ST54, ou équivalents.
Familiarité avec les outils de gestion des vulnérabilités (CVE, CVSS, VEX/CSAF) et la notion de SBOM.

AViSTO est une société d'ingénierie logicielle, fondée et managée par des ingénieurs.
Nous sommes spécialisés dans la réalisation de solutions logicielles dans le monde des systèmes d'informations et des applications industrielles.

Notre savoir-faire nous permet de développer des produits complets, sur mesure, pour nos clients (web, client lourd, mobile) et de les accompagner sur les métiers connexes tels que le DevOps, le Cloud, la Data ou encore l'UX / UI.

Rejoindre AViSTO, c'est intégrer une communauté de spécialistes, passionnés par leurs métiers et les nouvelles technologies.

Vous aimez relever des défis techniques ? Vous avez envie d'évoluer dans une ambiance humaine, bienveillante et responsabilisante ? D'intégrer une structure familiale, présentant les avantages d'un grand groupe ?

Alors, n'hésitez plus : postulez et rencontrons-nous !