Architecte DevSecOps HDS Kubernetes

FICHE DE POSTE 

Architecte DevSecOps HDS Kubernetes — Infrastructure & MCO 

Environnement régulé · HDS v2.0 · ISO 27001:2023 

Intitulé du poste 

Architecte DevSecOps HDS / Référent Infrastructure Kubernetes 

Rattachement 

Direction des Systèmes d'Information / Équipe Infrastructure 

Localisation 

France / Télétravail partiel 

Expérience requise 

7 ans minimum 

Environnement technique 

VMware Tanzu · GitLab · HashiCorp Vault · Commvault · NetApp (SVM/Trident) · HDS 

Les indispensables : 

• Isolation HDS/NON-HDS : Maîtrise stricte des NetworkPolicies, NSX-T, RBAC, et de la segmentation par Namespaces. 

• PRA / RTO-RPO : Conception et validation de stratégies de continuité d'activité, maîtrise de Commvault et des architectures de sauvegarde/restauration. 

• Livrables HDS & Architecture : Capacité à rédiger une documentation technique exigeante (Dossier d'Architecture Technique - DAT, runbooks, politiques de sécurité). 

• Excellente communication en français (écrit et oral). 

• Profil expert DevSecOps & Kubernetes obligatoire. 

• Maîtrise des environnements de virtualisation (VMware vSphere). 

1. Contexte du poste 

Le titulaire du poste intègre une équipe infrastructure en charge de la conception, du déploiement et du maintien en condition opérationnelle (MCO) d'une plateforme Kubernetes dédiée à l'hébergement de données de santé sensibles. Cette plateforme est soumise aux exigences strictes de la certification HDS v2.0 et de la norme ISO 27001:2023. 

L'architecture repose sur un modèle à double cluster Kubernetes isolés (périmètre HDS et NON-HDS) hébergeant une chaîne CI/CD complète : GitLab, SonarQube, Nexus Repository, HashiCorp Vault et des runners éphémères. La stratégie de résilience s'appuie sur un plan de reprise d'activité (PRA) basé sur une solution Backup/Restore via Commvault et Object Store S3. 

2. Missions principales 

2.1 Architecture et déploiement de l'infrastructure 

• Piloter le déploiement et la configuration des clusters Kubernetes sur l'écosystème VMware Tanzu (vSphere Namespaces, Tanzu Kubernetes Grid). 

• Définir et implémenter la structure des namespaces applicatifs selon le pattern core/data (GitLab, SonarQube, Nexus, Vault, runners). 

• Standardiser la gestion GitOps des clusters via FluxCD. 

• Déployer et durcir la registry d'images conteneurs Harbor. 

• Configurer les NetworkPolicies pour garantir une isolation Egress/Ingress étanche entre les périmètres HDS et NON-HDS. 

• Intégrer HashiCorp Vault pour l'injection sécurisée de secrets via vault-agent-injector (mTLS). 

• Concevoir et maintenir le framework d'automatisation des opérations (justfile, Ansible, scripts). 

2.2 Sécurité et conformité HDS / ISO 27001 

• Garantir l'application opérationnelle des exigences HDS v2.0 (points EXI-01 à EXI-22) et ISO 27001:2023 sur tout le périmètre Kubernetes. 

• Assurer l'étanchéité HDS/NON-HDS au niveau cluster, réseau (NSX-T) et applicatif (RBAC, ségrégation des accès). 

• Automatiser la détection de secrets dans les dépôts de code (GitLeaks). 

• Configurer SonarQube en tant que Quality Gate bloquant au sein des pipelines CI/CD. 

• Gérer le cycle de vie des certificats TLS et de la PKI (généralisation du mTLS). 

• Rédiger et mettre à jour les livrables de conformité : Dossier d'Architecture Technique (DAT), analyses de risques et politiques de sécurité. 

2.3 Ingénierie CI/CD et environnements GitLab 

• Configurer et optimiser les runners GitLab éphémères (mode Batch/Job K8s) au sein du cluster HDS. 

• Déployer les runners dédiés au périmètre NON-HDS (Kubernetes executor). 

• Maintenir et faire évoluer les pipelines CI/CD d'entreprise (intégration SonarQube, Nexus, modules SAST/DAST). 

• Structurer l'organisation des groupes GitLab (isolation, RBAC, branches protégées). 

2.4 Résilience et stratégie de sauvegarde (PRA) 

• Définir, implémenter et superviser la stratégie globale de PRA Backup/Restore (Commvault + Object Store S3). 

• Configurer les politiques de sauvegarde Commvault : planification, chiffrement AES-256, gestion de la rétention. 

• Piloter le stockage persistant NetApp (SVM) : provisionnement des PVC via le driver CSI (Trident), gestion des snapshots et cycles de restauration. 

• Organiser les tests de PRA périodiques et valider le respect des objectifs de RTO/RPO. 

2.5 MCO, observabilité et amélioration continue 

• Superviseur l'état de santé de la plateforme : définition des métriques, alertes et tableaux de bord (Splunk, Prometheus, Grafana). 

• Planifier et exécuter les montées de version de Kubernetes (TKR upgrades sur VMware Tanzu) et des outils tiers (GitLab, Vault, etc.). 

• Participer activement à la gestion des incidents complexes et assurer le support de niveau 3 (participation aux astreintes infrastructure). 

• Assurer la gestion de la capacité (Capacity Planning) et optimiser la consommation des ressources (CPU, RAM, Stockage NetApp). 

• Rédiger et maintenir à jour les runbooks et procédures d'exploitation pour l'équipe. 

3. Compétences requises 

3.1 Compétences techniques indispensables 

Domaine 

Technologies / Outils 

Orchestration K8s 

VMware Tanzu (TKG), kubectl, Helm, FluxCD, GitOps 

CI/CD & DevSecOps 

GitLab CI/CD, GitLab Runner, SonarQube, Nexus, GitLeaks, SAST/DAST 

Gestion des secrets 

HashiCorp Vault, vault-agent-injector, mTLS, PKI 

Infra VMware 

vSphere, NSX-T, vDS, Tanzu Kubernetes Grid 

Stockage & Persistance 

NetApp (SVM, driver CSI Trident), iSCSI/NFS, PVC Kubernetes 

Sécurité K8s 

NetworkPolicy, RBAC, PodSecurityAdmission, TLS, durcissement CIS 

Automatisation 

Bash, Python, Ansible, justfile, YAML 

Observabilité 

Splunk, Prometheus, Grafana, centralisation des logs 

Continuité d'activité 

Commvault, Object Store S3, stratégies de réplication et sauvegarde 

3.2 Compétences réglementaires et normatives 

• Certification HDS v2.0 (Référentiel ANS) : Maîtrise des 22 exigences spécifiques (EXI-01 à EXI-22). 

• ISO 27001:2023 : Maîtrise des mesures de sécurité de l'Annexe A applicables aux infrastructures cloud et réseaux. 

• RGPD : Sensibilisation stricte aux principes de protection des données dès la conception (Privacy by Design). 

• Connaissance des Activités HDS : Focus spécifique sur l'Activité 5 (Administration et exploitation du système d'information) et l'Activité 6 (Sauvegarde des données de santé). 

Architecte DevSecOps HDS Kubernetes — Infrastructure & MCO 

Technologies / Outils 

Orchestration K8s 

VMware Tanzu (TKG), kubectl, Helm, FluxCD, GitOps 

CI/CD & DevSecOps 

GitLab CI/CD, GitLab Runner, SonarQube, Nexus, GitLeaks, SAST/DAST 

Gestion des secrets 

HashiCorp Vault, vault-agent-injector, mTLS, PKI 

Infra VMware 

vSphere, NSX-T, vDS, Tanzu Kubernetes Grid 

Stockage & Persistance 

NetApp (SVM, driver CSI Trident), iSCSI/NFS, PVC Kubernetes 

Sécurité K8s 

NetworkPolicy, RBAC, PodSecurityAdmission, TLS, durcissement CIS 

Automatisation 

Bash, Python, Ansible, justfile, YAML 

Observabilité 

Splunk, Prometheus, Grafana, centralisation des logs 

Continuité d'activité 

Commvault, Object Store S3, stratégies de réplication et sauvegarde 

3.2 Compétences réglementaires et normatives 

• Certification HDS v2.0 (Référentiel ANS) : Maîtrise des 22 exigences spécifiques (EXI-01 à EXI-22). 

• ISO 27001:2023 : Maîtrise des mesures de sécurité de l'Annexe A applicables aux infrastructures cloud et réseaux. 

• RGPD : Sensibilisation stricte aux principes de protection des données dès la conception (Privacy by Design). 

• Connaissance des Activités HDS : Focus spécifique sur l'Activité 5 (Administration et exploitation du système d'information) et l'Activité 6 (Sauvegarde des données de santé).