Product Security Incident Response Manager

26WD95374, Product Security Incident Response Manager

French translation to follow!/Traduction française à suivre!
 

Security @ Autodesk  

Our team of security experts helps Autodesk design, build, deploy and maintain secure products. We are embedding security in the full spectrum of how we build our products from inception, design, development, testing to how we are running them in the cloud as well as how we are responding to any existing or emerging threats to our products or the building blocks of our products and services. Our job is to be one step ahead of the bad guys and use expertise, technology and other resources to thwart their efforts to compromise our products and the environment in which they operate. Our team keeps a single-minded focus on protecting our customer’s data and their investment in our products by strengthening our applications, underlying services and network.  

As part of this team, you will help strengthen Autodesk’s products by leading and scaling our external security assessments program. You will work closely with product, platform, and Trust partners to proactively identify security weaknesses through penetration testing, coordinate responsible vulnerability disclosure and security advisories, and operate a bug bounty program. In this role, you will balance hands-on technical work with people leadership, helping grow both our security engineers and Autodesk’s overall security posture while staying ahead of emerging threats. 

Responsibilities  

• Lead and evolve Autodesk’s external security assessments program, including penetration testing, vulnerability disclosure, security advisories, and the bug bounty program

• Manage and mentor a team of application security engineers, setting clear goals, providing technical guidance, and supporting career growth

• Plan, execute, and oversee penetration testing activities across Autodesk products and services, including scoping, execution, reporting, and remediation tracking

• Act as a hands-on contributor by performing penetration tests, vulnerability validation, and technical reviews as needed

• Own Autodesk’s vulnerability disclosure process, including intake, triage, coordination with product teams, and publication of security advisories

• Partner closely with PSIRT, Legal, Trust, and Product teams to ensure vulnerabilities are handled consistently and responsibly

• Manage and continuously improve the bug bounty program, including researcher engagement, triage workflows, reward strategy, and signal-to-noise optimization

• Develop metrics and reporting that communicate risk, trends, and program effectiveness to engineering leadership and senior stakeholders

• Drive improvements in tooling, automation, and processes to scale penetration testing and vulnerability management across the organization

• Serve as a trusted advisor to product teams by providing guidance on secure design, remediation strategies, and risk-based decision making

Minimum Qualifications 

• Strong experience in application security, offensive security, or vulnerability management

• Hands-on experience conducting penetration tests for web applications, APIs, or cloud services

• Experience managing or significantly contributing to a vulnerability disclosure program and/or bug bounty platform

• Prior experience leading, mentoring, or managing engineers in a technical security role

• Ability and willingness to perform individual contributor work alongside management responsibilities

• Solid understanding of common vulnerability classes and exploitation techniques (e.g., OWASP Top 10)

• Strong communication skills and comfort working with customers, engineers, product managers, and executive stakeholders

• Demonstrates high levels of ownership, sound judgment, and accountability

Preferred Qualifications 

• Experience operating a public bug bounty program (e.g., HackerOne, Bugcrowd), including researcher interaction and reward strategy

• Experience authoring or reviewing security advisories and coordinating external disclosure

• Familiarity with CI/CD pipelines, cloud-native architectures, and modern development practices

• Experience automating security workflows, testing, or reporting using scripting languages such as Python

• Exposure to regulatory, compliance, or trust-driven security requirements

• Proven ability to balance strategic program leadership with deep technical execution

26WD95374, Responsable de la réponse aux incidents liés à la sécurité des produits

Sécurité chez Autodesk

Notre équipe d'experts en sécurité aide Autodesk à concevoir, créer, déployer et maintenir des produits sécurisés. Nous intégrons la sécurité dans toutes les étapes de la création de nos produits, de leur conception à leur développement, en passant par les tests et leur exécution dans le cloud, ainsi que dans notre réponse aux menaces existantes ou émergentes qui pèsent sur nos produits ou les composants de nos produits et services. Notre travail consiste à garder une longueur d'avance sur les personnes malintentionnées et à utiliser notre expertise, notre technologie et d'autres ressources pour contrecarrer leurs efforts visant à compromettre nos produits et l'environnement dans lequel ils fonctionnent. Notre équipe se concentre exclusivement sur la protection des données de nos clients et de leur investissement dans nos produits en renforçant nos applications, nos services sous-jacents et notre réseau.

En tant que membre de cette équipe, vous contribuerez à renforcer les produits Autodesk en dirigeant et en développant notre programme d'évaluation de la sécurité externe. Vous travaillerez en étroite collaboration avec les partenaires produits, plateformes et Trust afin d'identifier de manière proactive les failles de sécurité grâce à des tests de pénétration, de coordonner la divulgation responsable des vulnérabilités et les avis de sécurité, et de gérer un programme de prime aux bogues. À ce poste, vous conciliez le travail technique pratique et le leadership, en contribuant à la formation de nos ingénieurs en sécurité et à l'amélioration de la sécurité globale d'Autodesk, tout en gardant une longueur d'avance sur les menaces émergentes.

Responsabilités

• Diriger et faire évoluer le programme d'évaluation de la sécurité externe d'Autodesk, y compris les tests de pénétration, la divulgation des vulnérabilités, les avis de sécurité et le programme de prime aux bogues

• Gérer et encadrer une équipe d'ingénieurs en sécurité des applications, en fixant des objectifs clairs, en fournissant des conseils techniques et en soutenant l'évolution de carrière

• Planifier, exécuter et superviser les activités de tests d'intrusion sur l'ensemble des produits et services Autodesk, y compris la définition du périmètre, l'exécution, la création de rapports et le suivi des corrections

• Contribuer de manière pratique en effectuant des tests d'intrusion, des validations de vulnérabilités et des examens techniques selon les besoins

• Gérer le processus de divulgation des vulnérabilités d'Autodesk, y compris la réception, le triage, la coordination avec les équipes produit et la publication d'avis de sécurité

• Travailler en étroite collaboration avec les équipes PSIRT, juridique, confiance et produit afin de garantir une gestion cohérente et responsable des vulnérabilités

• Gérer et améliorer en permanence le programme de prime aux bogues, notamment l'engagement des chercheurs, les workflows de triage, la stratégie de récompense et l'optimisation du rapport signal/bruit

• Développer des indicateurs et des rapports qui communiquent les risques, les tendances et l'efficacité du programme aux responsables de l'ingénierie et aux parties prenantes de haut niveau

• Promouvoir l'amélioration des outils, de l'automatisation et des processus afin d'étendre les tests de pénétration et la gestion des vulnérabilités à l'ensemble de l'organisation

• Servir de conseiller de confiance auprès des équipes produit en fournissant des conseils sur la conception sécurisée, les stratégies de remédiation et la prise de décision basée sur les risques

Qualifications minimales

• Solide expérience en sécurité des applications, sécurité offensive ou gestion des vulnérabilités

• Expérience pratique dans la réalisation de tests de pénétration pour les applications web, les API ou les services cloud

• Expérience dans la gestion ou la contribution significative à un programme de divulgation des vulnérabilités et/ou à une plateforme de prime aux bogues

• Expérience préalable dans la direction, le mentorat ou la gestion d'ingénieurs dans un rôle technique lié à la sécurité

• Capacité et volonté d'effectuer un travail individuel en plus des responsabilités de gestion

• Solide compréhension des classes de vulnérabilités courantes et des techniques d'exploitation (par exemple, OWASP Top 10)

• Solides compétences en communication et aisance dans les relations avec les clients, les ingénieurs, les chefs de produit et les dirigeants

• Fait preuve d'un haut niveau de responsabilité, de bon sens et de sens des responsabilités

Qualifications souhaitées

• Expérience dans la gestion d'un programme public de prime aux bogues (par exemple, HackerOne, Bugcrowd), y compris l'interaction avec les chercheurs et la stratégie de récompense

• Expérience dans la rédaction ou la révision d'avis de sécurité et la coordination de la divulgation externe

• Connaissance des pipelines CI/CD, des architectures cloud natives et des pratiques de développement modernes

• Expérience dans l'automatisation des workflows de sécurité, des tests ou des rapports à l'aide de langages de script tels que Python

• Connaissance des exigences réglementaires, de conformité ou de sécurité axées sur la confiance

• Capacité avérée à trouver un équilibre entre le leadership stratégique des programmes et l'exécution technique approfondie