Appsec/DevSecOps

Contexte

Le poste s'inscrit dans un projet au sein de BPCE IT, centré sur la sécurité opérationnelle dans un environnement conteneurs. L'expert interviendra pour cadrer et sécuriser les architectures et offres de services liées aux conteneurs, en garantissant le respect des règles de sécurité de l'entreprise.

Missions

• Cadrer le projet sur les aspects sécurité opérationnelle dans un environnement conteneurs.
• S'assurer du respect des règles de sécurité de BPCE IT dès le design de l'architecture et des offres de services.
• Proposer, tester et intégrer des solutions de sécurité adaptées au contexte du projet et de l'entreprise (sécurité des conteneurs, DevSecOps, gestion de vulnérabilités, traçabilité, etc.).
• Mettre en place et automatiser des processus de sécurité dans les chaînes CI/CD (gestion des vulnérabilités, gestion des certificats, protection des secrets, etc.).
• Mettre en place et automatiser des contrôles de sécurité, le monitoring et la remontée des indicateurs sécurité.
• Accompagner les utilisateurs à l’usage des outils de sécurité mis à disposition par le projet.
• Assister, conseiller, former les développeurs aux pratiques de développement sécurisé afin de limiter les risques d'introduction de vulnérabilités dans le code mis en production.
• Participer à la veille en vulnérabilités et à la maintenance des outils en place.
• Auditer le code produit par les développeurs, manuellement et/ou à l’aide d’outils.
• Assister les développeurs dans les travaux de remédiation des vulnérabilités.
• Participer à la maintenance des outils de SAST, SCA, RASP, DAST ainsi qu’aux agrégateurs de vulnérabilités.

Outils & Environnement

• Sécurité des conteneurs
• Openshift et Kubernetes (cloud et/ou on premise)
• DevSecOps
• Gestion des vulnérabilités
• Automatisation et Infrastructure as Code (Terraform, Ansible, ArgoCD, Jenkins, XLD, etc.)
• Développement (Python, Java, NodeJS, etc.)
• Outils de scan d’images et de conteneurs (Prisma Cloud – Twistlock, Sysdig, Fortify, etc.)
• Outils de SAST, SCA, RASP, DAST et agrégateurs de vulnérabilités

Conditions de travail

• Code profil : S012 - Appsec/DevSecOps - IDF - N4
• Langue : Anglais professionnel (impératif)

1. Posséder une expérience opérationnelle significative des conteneurs (+ 5 ans)
2. Posséder une expérience opérationnelle significative des environnements OpenShift et Kubernetes cloud et/ou on premise (+ 3 ans)
3. Avoir une solide connaissance des solutions de sécurité pour les environnements de containerisation cloud et/ou on premise (Kubernetes, GKS, AKS, EKS, Openshift, Podman, Docker, etc.)
4. Une expérience avec des outils de scan d’images et de conteneurs serait un plus (Prisma Cloud – Twistlock, Sysdig, Fortify etc.)
5. Être capable de travailler en équipe et de communiquer efficacement avec les différentes parties prenantes
6. Démontrer une capacité à résoudre des problèmes de manière autonome
7. Avoir des connaissances approfondies des principes de sécurité IaC (Infrastructure as Code)
8. Avoir une expérience dans le développement (Python, Java, NodeJS, etc.)
9. Avoir une expérience dans l'automatisation et l’IaC (Terraform, Ansible, ArgoCD, Jenkins, XLD, etc.)
10. Avoir des compétences en reporting et en restitution des travaux