AWS Architecte IAM Senior - Forfait

Contexte

Notre client est un acteur financier de type hedge fund, opérant dans un environnement fortement régulé et sensible aux enjeux de sécurité, de traçabilité et de résilience. Son écosystème applicatif est hybride (on premise / cloud) et s’appuie aujourd’hui sur Atlassian Crowd en tant que fournisseur d’identité centralisé on premise. La fin de vie du produit, l’absence de support natif des standards modernes (OAuth 2.0 / OpenID Connect) et des pratiques perfectibles autour des identités non humaines créent un risque opérationnel et sécuritaire.

Dans ce contexte, notre client lance une mission de conseil structurée visant à cadrer, concevoir et planifier le décommissionnement de Crowd au profit d’une architecture IAM moderne basée sur les standards du marché.

La mission s’inscrit dans un programme de modernisation de l’architecture IAM afin de réduire les risques liés à l’obsolescence de l’IdP historique, standardiser les intégrations SSO et renforcer la gouvernance des identités (humaines et non humaines). L’objectif est de produire, au terme d’une démarche en trois phases, une vision cible robuste et pragmatique, ainsi qu’un plan de migration réaliste permettant de remplacer Atlassian Crowd sans perte de fonctionnalité.

Missions

• Établir une cartographie factuelle des usages Crowd (applications, flux, dépendances, mécanismes d’authentification/autorisation) et des écarts vis-à-vis des bonnes pratiques.
• Définir une architecture cible IAM basée sur OAuth 2.0 et OpenID Connect, compatible avec un SI hybride, et intégrant la gestion complète des identités non humaines (workloads, services, jobs, intégrations inter-applicatives), y compris les scénarios de délégation « on behalf of ».
• Proposer des standards d’intégration et des accélérateurs d’adoption (références d’implémentation, outillage, MVP de bibliothèque commune) afin de sécuriser et industrialiser l’adoption par les équipes de développement.
• Formaliser des politiques de sécurité et garde-fous (moindre privilège, non-partage des secrets, rotation, audit/journalisation), puis construire un plan de migration séquencé (waves), tenant compte des contraintes de delivery, des dépendances et des risques.
• Conduire les entretiens avec les équipes applicatives, sécurité et exploitation pour qualifier les usages, irritants, contraintes et trajectoires applicatives.
• Réaliser la revue de configuration Atlassian Crowd (répertoires, applications, groupes, attributs, mécanismes d’intégration, patterns SSO).
• Analyser les logs d’authentification afin d’objectiver les flux réels (fréquences, applications consommatrices, types de clients, exceptions).
• Produire une cartographie normalisée : applications, types d’identités, flux d’authentification/autorisation, dépendances, criticité, exposition, et dette technique associée.
• Identifier les écarts vs. standards (OAuth2/OIDC), risques (EoL, sécurité, auditabilité) et quick wins de rationalisation.
• Animer des ateliers de conception avec les architectes, RSSI/équipes sécurité applicative, équipes plateforme et représentants des domaines applicatifs.
• Définir les principes d’architecture : séparation des responsabilités (IdP/AS), patterns d’intégration, gestion des sessions, gestion des claims, stratégie de fédération, et compatibilité hybride (on premise / AWS).
• Concevoir le modèle cible pour identités non humaines : identité applicative unique par application/service, provisioning via registre d’applications, gestion du cycle de vie, stratégie de secrets/clefs/certificats, et suppression des comptes « bots d’équipe » partagés.
• Définir les scénarios de délégation « on behalf of » (traçabilité, propagation d’identité, tokens, scopes, audience, contraintes d’audit).
• Benchmarker et comparer les solutions du marché (IdP/Authorization Server, API Gateway/Service Mesh, secret management, observability) selon des critères adaptés au secteur financier : sécurité, auditabilité, HA/DR, intégration SI, coût, exploitabilité.
• Définir les flux d’authentification cibles (humains et non humains) et les standards d’intégration associés (OIDC/OAuth2, mTLS si pertinent, JWT validation, introspection, token exchange le cas échéant).
• Produire des livrables d’architecture : target architecture, HLD/LLD niveau attendu, décisions d’architecture (ADR), exigences non fonctionnelles (NFR), et modèle de gouvernance IAM.
• Proposer des reference implementations pour backends courants : émission de credentials, rotation automatique, journalisation, gestion d’erreurs, et contrôle d’accès.
• Définir un MVP de bibliothèque commune pour accélérer l’adoption par les équipes dev, avec exigences de compatibilité on premise et AWS (interfaces, packaging, documentation, exemples).
• Définir les garde-fous : interdiction de partage de secrets, rotation obligatoire, exigences d’audit/journalisation, moindre privilège, séparation des environnements, gestion des exceptions et processus de dérogation.
• Clarifier les exigences de traçabilité (qui/quoi/pour le compte de), conservation des logs et intégration SIEM si applicable (au niveau design).
• Construire un plan de migration séquencé (waves) : priorisation par criticité/complexité, prérequis, dépendances, trajectoires applicatives, stratégie de coexistence temporaire.
• Définir la stratégie de bascule et de rollback, ainsi que les critères d’acceptation par vague (fonctionnel, sécurité, exploitation).
• Établir un plan de conduite du changement technique : standards d’intégration, kit de démarrage, guidelines, et modèle de support aux équipes applicatives.
• Produire une roadmap consolidée (jalons, charges, risques, arbitrages) et un dossier de décision pour validation des instances (sécurité/architecture).
• Mettre en place et animer les rituels : points hebdomadaires, COPIL bimensuel, suivi des risques et décisions.
• Assurer la qualité des livrables (rédaction en anglais, versioning, relectures, validation formelle) et la préparation des supports exécutifs.

Hors scope explicite

• Implémentation technique (développement/configuration/déploiement) de la solution IAM cible.
• Migration effective des applications (réalisation).
• Achat de licences, pentests/audits de sécurité complets, formation utilisateurs finaux.

Outils & Environnement

• Standards OAuth 2.0 et OpenID Connect (OIDC)
• Atlassian Crowd (état actuel)
• Environnement hybride on premise / cloud (AWS)
• Méthodologies de cadrage et pilotage de projet en mode forfait
• Livrables d’architecture (HLD, LLD, ADR, NFR)
• Références d’implémentation et outillage pour intégration IAM
• Gestion des identités non humaines (workloads, services, jobs)
• Sécurité applicative : moindre privilège, gestion des secrets, rotation, audit/journalisation

Conditions de travail

• Date de démarrage : Avril 2026
• Durée : Avril à Juillet 2026 (3 phases) – à préciser lors du cadrage
• Localisation : À définir (mission hybride, présence sur site requise pour ateliers/entretiens clés)
• Télétravail : Hybride (présentiel pour ateliers et points clés, télétravail possible pour analyse et rédaction)
• Tarif journalier moyen (TJM) : Selon profil

1. Architecture IAM/IdP/Authorization Server en environnement entreprise
2. Standards OAuth 2.0 et OpenID Connect (OIDC) : flows, scopes/claims, token lifecycle, audience, refresh, session management
3. Patterns d’authentification inter-applicative et identités non humaines (workload identity, service accounts, machine-to-machine)
4. Conception de mécanismes « on behalf of » / délégation (propagation d’identité, traçabilité, token exchange si pertinent)
5. Sécurité applicative : moindre privilège, secrets management, rotation, cryptographie appliquée (JWT/JWS/JWE notions), mTLS (selon contexte)
6. Architecture hybride on premise / cloud (AWS) et contraintes d’exploitabilité (HA/DR, monitoring, logging)
7. Capacité à produire des livrables d’architecture (HLD, principes, ADR, NFR, standards d’intégration) en anglais
8. Cadrage et structuration de programme de transformation IAM (diagnostic, cible, trajectoire, gouvernance)
9. Gestion de la migration/décommissionnement d’un IdP legacy (coexistence, waves, risques, dépendances applicatives)
10. Animation d’ateliers multi-parties prenantes (sécurité, architecture, dev, ops) et facilitation de décisions
11. Connaissance des exigences de traçabilité/audit en environnement financier (approche, contrôles, evidencing)
12. Culture delivery en contexte forfait : pilotage par jalons, gestion des risques, qualité des livrables
13. Leadership et crédibilité technique (capacité à challenger et à converger)
14. Excellent niveau de communication écrite et orale en anglais (livrables et ateliers)
15. Rigueur, sens de la synthèse et orientation « recommandations actionnables »
16. Autonomie, sens des responsabilités et capacité à travailler sous pilotage associé ECARIS
17. Pragmatisme et sens du service (adaptation à une culture hedge fund, exigences élevées, confidentialité)