- Lieu : Paris 2eme, Rue Montmartre - Full Remote (Sur site chaque mois : 2 jours environ)
- Avantages : Création produit de A à Z, impact business, usage de Rust, bonne santé financière de l'entreprise, cadre bienveillant
- Télétravail ? Oui
- Stack technique :
#React #Rust #Python
- Type : cdi
Contexte du recrutement ?
La petite histoire de RandoriSec et leur positionnement actuel
C’est l’histoire d’un consultant en Cybersécurité, Davy Douhine, qui décide de créer un collectif d’entreprise dans le domaine de la sécurité, RandoriSec, inspiré du mot Randori : entraînement pratiqué dans les arts martiaux japonais, au cours duquel une personne se défend contre de multiples attaquants en succession rapide, sans savoir de quelle manière ou dans quel ordre les assauts seront réalisés. Selon Davy, cette métaphore collait plutôt bien au domaine des attaques et failles de sécurité.
Initialement, l’idée de créer cette entreprise reposait uniquement sur des éléments contractuels : poursuivre sa mission en freelancing chez un client.
Puis, il finit par lancer une société de prestation en cybersécurité.
L’entreprise propose des missions en régie et au forfait, et rassemble aujourd’hui 30 personnes.
Les principaux domaines d’intervention de RandoriSec sont les suivants :
- Test d’intrusion.
- Audit : audit de configuration, audit d’architecture, audit de code (applications web et mobile).
- Recherche de vulnérabilité.
- Sécurité sur mobile iOS.
- Sécurité opérationnelle
- Formation en sécurité.
Chronologie des événements
Création
Après une longue mission au sein de la Banque de France, Davy souhaite prolonger son contrat avec eux et décide donc de créer sa propre structure en freelancing.
Les premiers recrutements
En 2016, Davy rencontre d’anciens collègues qui décident de rejoindre l’aventure.
En 2018, Pierre Crolard, est recruté et devient son bras droit sur de nombreux sujets stratégiques dans l’entreprise : recrutement, RH, légal, sujets administratifs.
A ce moment-là ils décident de recruter des personnes plutôt expertes en cybersécurité puis, ils décident d’ouvrir la porte à des personnes plus juniors (stages et alternances).
La mission ratée
En 2016, Davy réalise une mission complètement ratée: un audit de sécurité sur une application iOS. Il se rend compte à quel point il est loin des attentes de son client. Il se remet en question et décide de suivre une formation en Autriche : Offensive iOS Exploitation, dispensée pendant la conférence DeepSec. Le sujet est vraiment passionnant. Il constate que peu de personnes en France maîtrisent le sujet donc pourquoi pas se lancer sur ce créneau de niche.
Orientation mobile
Depuis 2017, ils font pas mal de sujets mobiles. Ils donnent notamment des formations lors de plusieurs conférences en France et à l’étranger: DeepSec, Hack in Paris, BSides Dublin, BSides Budapest, OWASP AppSec Israël, ainsi que pour des organismes de références comme HS2.
Ouverture R&D
En parallèle des sujets mobiles, à l’été 2020, ils décident de monter toute une cellule R&D. Cette cellule réalise des tâches de Recherche et Développement uniquement autour des sujets de vulnérabilité. Il est question de trouver des failles pas encore connues dans des produits (logiciels et matériels). Ils sont aujourd’hui 7 personnes rattachées à la R&D.
L’impulsion de l’appel à projet
Ils font partie de l’ACN, un regroupement d’entreprises qui propose des sujets de veille sécurité, des articles de loi et des appels à projets.
Fin d’année 2021, un appel à projets retient leur attention. Il est financé par la BPI et impulsé par le Ministère de l’Economie. Il s’agit d’un appel à projet sur les technologies critiques à l’échelle d’un pays et un des sous sujets concerne la sécurisation des appareils mobiles. Ils se sont donc immédiatement mis dessus.
POC
Ainsi, en 2023, ils se lancent dans la commercialisation d’une solution, qui, de façon très vulgarisée, est une sorte d’anti-virus pour mobile.
Si nous devions choisir des termes plus exacts, il s’agit d’une solution qui réalise une analyse inforensic automatisée sur un appareil mobile. Il convient donc, telle une scène de crime, de voir sur le téléphone s’il n’y a pas eu des compromissions. A l’heure actuelle, sur le marché, ce type d’intervention se fait manuellement et coûte vraiment très cher (entre 5 à 10 K€). Leur solution ferait donc cela de façon totalement automatique pour un prix beaucoup plus abordable.
Focus actualité recrutement
Ainsi, dans le cadre de ce POC orienté mobile, ils recherchent un profil de Solution Architect (H/F) qui a pour principales fonctions :
- Des tâches de développement (70%).
- Mais aussi l’impulsion du produit auprès de clients existants et de nouveaux clients.
- Et la réalisation de nouvelles fonctionnalités en fonction des remontées produit.
Le ou la Solution Architect ne réalise aucune mission au forfait ni en régie.
Cette personne est uniquement dédiée au développement produit.
Quelle entreprise vas-tu rejoindre ?
Date existence
2015
Nombre de personnes au sein de l’entreprise et au sein de l’équipe technique
30 personnes au sein de l’entreprise dont 27 personnes purement techniques.
Les chiffres business
- Croissance à deux chiffres depuis le début de l’aventure.
- CA : 2,7 millions en 2021, 3,3 millions en 2022 et ils prévoient 3,8 millions cette année.
- 40 clients principalement en France (95% en france)
- Ils ont plusieurs modes de facturation.
Localisation
Ils déménagent à Paris 2eme, Rue Montmartre
Quelle organisation d’entreprise vas-tu rejoindre ?
La configuration des équipes
- Equipe diversifiée au niveau de l’âge : de 19 ans à 46 ans.
- Management horizontal.
- Beaucoup de backgrounds universitaires et écoles d’ingénieur.
- ⅔ du staff en régie, ⅓ au forfait.
| Culture de recrutement | Ils sont assez ouverts aux profils, d’où qu’ils viennent sur le plan scolaire et quel que soit leur background technique. Étant donné qu’il s’agit d’un profil plutôt peu courant sur le marché, ils ont conscience que cela se concrétisera à travers les échanges, discussions et envies. Ils visent tout de même une personne assez senior qui est capable d’avoir cette hauteur de vue grâce à son expérience. Ils attachent beaucoup d’importance aux aptitudes humaines. Au sein de l’équipe, il y a une très bonne ambiance de travail (sans élément toxique) et cherchent à la conserver cela en prenant du temps pour bien recruter. Pas de recrutement en volume. |
Culture de développement | Culture pragmatique avec la volonté de construire une stack technique au plus proche des besoins réels/utilisateurs. Stack fortement corrélée au monde de la data et de la sécurité. |
Culture managériale | Management horizontal, non directif. Davy se considère comme un coéquipier dans le collectif. Sa posture de dirigeant d’entreprise ne lui octroie pas d’extras pouvoirs sur les autres. Les décisions sont globalement collectives. Management de proximité avec des échanges réguliers, sans tabou. Les voyants sont au vert pour poser des questions, pour être dans une démarche d’entraide, pour demander des outils pour bien travailler au quotidien, pour aller à des conférences. Ils attachent de l’importance à installer une bonne sécurité psychologique au quotidien. Dès l’instant où les recrutements sont qualitatifs et bien pensés en amont (recrutement en douceur), il y a un cadre d’autonomie et de confiance très fort. Pas de pollution avec des réunions : une seule réunion hebdomadaire. |
La stack technique actuelle
Front | ElectronJS (Multi OS)React |
Back | PythonBientôt une bascule intégrale sur Rust |
| Mobile | iOS |
Architecture | Flask |
Infra | Infra physique |
Qualité infra | Owasp Création d’une bibliothèque de signature en suivant le standard (Stix) |
Le profil attendu ?
Les compétences opérationnelles
Ils recherchent une personne qui :
- A de bons fondamentaux techniques en développement backend et idéalement sur leur stack de prédilection (Python avec une bascule vers Rust).
- Une bonne compréhension et culture générale de l’environnement de sécurité afin de bien cerner, de façon globale, les enjeux techniques de la solution et pour anticiper les éventuelles contraintes/blocages.
- A, idéalement, des compétences en environnement mobile ou, du moins, a envie de découvrir cet environnement de niche (sécurité sur mobile) et n’est pas rebutée à travailler sur les technologies Apple.
- A idéalement, une bonne compréhension du fonctionnement système iOS : comment se passe un jailbreak.
- A cette capacité à comprendre/analyser les paramètres de sécurité iphone : VPN, sécurité réseau wifi, configuration des profils, etc.
- Apprécie tout particulièrement l’analyse inforensique (recherche d’indicateurs de compromission sur un système).
Les challenges techniques
- Intervention sur la construction d’une solution de A à Z.
Les soft skills attendues
Ils recherchent une personne qui :
- N’est pas dogmatique techniquement et qui est capable de challenger le client, de comprendre son existant/son besoin et de penser les solutions, les features qui en découlent sans partir immédiatement sur une solution sur l’étage non adaptée au besoin exprimé.
- A plutôt une bonne fibre entrepreneuriale, qui n’a pas peur de se relever les manches pour aller à la rencontre de ce marché de niche, explorer éventuellement de nouvelles idées d’opportunités business, qui a conscience qu’il y a un terrain à bâtir complètement nouveau.
- A plutôt un bon relationnel et un bon esprit d’équipe qui se traduit par une posture d’écoute client mais aussi d’écoute active auprès des autres équipes, notamment l’équipe R&D avec laquelle, elle va travailler en étroite collaboration au quotidien. La personne doit avoir conscience qu’elle fait partie pleinement d’un collectif, ce qui est nécessaire à la bonne réalisation/avancée/amélioration du produit à livrer.
- Est plutôt enthousiaste, et croit au produit qu’elle développe. C’est davantage un rôle moteur. Ce n’est pas un métier d’exécution. Ainsi, cela demande une certaine énergie, une vision positive des choses, une vision orientée problem solver. Cela se traduit aussi par des formules au quotidien non toxiques/lourdes/pesantes du style “c’est nul!”, “Ça ne marchera pas”. Il est bien évidemment question d’être lucide et pragmatique mais avoir toujours cette étincelle intérieure nécessaire pour aller de l’avant.
- Est curieuse. Cela se traduit par une certaine curiosité de son secteur, de l’actualité mobile et sécurité, des outils, technologies mais aussi une curiosité des individus : bien comprendre qui fait quoi dans l’équipe, s’intéresser au client, son problème, ses blocages.
- A bonne intelligence de situation : cela signifie que la personne a conscience que la construction produit n’est pas figée mais est en mouvement. Il y aura des pivots, des adaptations nécessaires, des remises en question certainement.
- A une bonne fibre pédagogique : cela signifie qu’il est attendu une certaine clarté dans le discours, dans les explications techniques données mais aussi une certaine bienveillance dans la volonté de bien faire comprendre son message à de multiples interlocuteurs : l’interlocuteur.trice peut être un.e développeur.se comme un.e Directeur.trice des Systèmes d’Information. Ainsi, cela nécessite inévitablement une bonne intelligence de situation et aussi une certaine patience.
- Une personne câblée #egoless : une personne qui n’a pas un ego surdimensionné, qui est humble et qui est capable d’entendre la critique, de reconnaître ses erreurs sans que cela soit une souffrance abominable.
Les choses qui ne passent pas sur ce poste :
Une personne qui :
- Manque cruellement d’humilité et qui aime plus parler qu’agir. Il faut un bon dosage entre les deux.
- Reste dans sa bulle, dans son coin. Pour ce type de poste, c’est clairement compliqué car les échanges sont multiples et réguliers.
- Fait preuve de manque de loyauté et raconte de fausses informations aux équipes, aux clients.
- Manque de courage pour dire les choses qui ne vont pas.
Les tâches au quotidien
- Développement Backend (70%)
- Réalisation de POC.
- Avant-vente et démos clients (10%)
Le processus de recrutement
- 1ere étape : un appel téléphonique de 20 min histoire de faire connaissance. Cet échange est réalisé avec Pierre Crolard.
- 2ème étape : entretien technique en mode autonome avec des questions techniques. Cela dure une heure. Cela permet d’identifier la gestion du temps, les qualités rédactionnelles, l’esprit de synthèse, etc. Les candidats reçoivent systématiquement un retour détaillé sur ce qui n’allait pas.
- 3ème étape : mise en situation technique, en présentiel ou en visio.
Sur la fin du processus de recrutement, il y a plutôt une rencontre informelle pour peaufiner la suite : remise de la promesse d’embauche, etc.
La rémunération, les classiques et les avantages
La rémunération cible
Target de rémunération : entre 70 et 90 K€
- Contrat cadre
- Forfait heure
- Base 39 heures.
Les classiques et les avantages
- Mutuelle prise en charge à 100% par l’entreprise + enfants pris en charge (options payantes pour conjoint.e).
- Primes de cooptation.
- Tickets restaurant.
- Prise en charge des certifications + primes pour certification.
- Dîner mensuel.
- Team building annuel (le dernier team building fin a eu lieu en sept dernier dans le sud de la France, près de Cannes. Ce fut un moment pas du tout dédié au travail).
- Cadeau de fin d’année.
- 8 jours de RTT par an
L’environnement de travail global
Les moyens, les outils de travail
- Ils fournissent un laptop et la personne installe ce qu’elle veut dessus.
- Les outils d’échange au quotidien sont teams, Mattermost (slack opensource).
- Ils financent l’écran + casque.
- Ils restent très ouverts aux demandes de nouveaux matériels demandés pour bien faire le travail au quotidien. Ils ont investi, par exemple, sur du matériel assez onéreux (hardware mobile).
La politique remote
- Full remote
- Sur site chaque mois : 2 jours environ.
- Les personnes peuvent venir dans les locaux au gré des envies et des besoins. Il n’y a pas de pression là-dessus.
- Les personnes en régie sont davantage en mode hybride : 3 jours de télétravail et 2 jours chez le client.
Espace veille et formation
- Les salariés sont incités à suivre des formations, à passer des certifications.
- Il y a une formation commune au sein des locaux : à chaque fois il s’agit d’un nouveau sujet avec un intervenant extérieur. C’est aussi une occasion de se retrouver tous ensemble. Début juillet, ça sera sur Azure AD.
- Les salariés peuvent aussi décider de suivre des formations par eux-mêmes.
- C’est totalement ok d’aller à des conférences : une à deux fois, voire plus par an. Ils remboursent, en plus du prix de la place, les frais de transports et d’hébergement.
Les plus/les moins du projet d’entreprise ?
Les moins
- Entreprise qui lance un produit sur une problématique de niche. Le pari est risqué.
- Il y a un manque de formalisme : pas de grille salariale, pas non plus de méthode d’évaluation en entretien très poussée.
Les plus
- Équipe de passionnés disponible et câblée entraide. Ce n’est pas toujours cette culture dans le monde de la sécurité.
- Bon dosage entre juniors et seniors avec des experts techniques de bon niveau pour progresser et apprendre.
- Management disponible, bienveillant qui laisse beaucoup d’autonomie. Le flicage c’est pas leur truc.
- Solution from scratch où il y a beaucoup de choses à construire : au niveau des features, au niveau des choix techniques.
- Solution qui a le potentiel d’un impact à plus grande échelle.
- Full remote et équilibre vie pro-perso bien respecté.
- Possibilité de travailler sur Rust, ce qui est assez rare je dois dire.
- Bonne ambiance de travail : pas de collègue ni de manager toxique et une bonne sécurité psychologique.
- Sur la partie régie, le management ne pousse pas à aller en mission si le consultant n’a pas envie car Davy a conscience que le succès d’une mission repose sur l’envie et l’enthousiasme qu’on a pour la faire.
- Entreprise qui montre des signaux de croissance assez sains.
You’re welcome !
