Expert sécurité (Secops) AWS

Contexte

EDF lance une consultation pour renforcer la sécurité de sa Landing Zone AWS Groupe.
La Landing Zone AWS constitue le socle Cloud Public mis à disposition de l'ensemble des métiers du
Groupe EDF. Elle permet aux directions métiers de faire atterrir leurs applications dans un environnement
Cloud garanti en termes de stabilité, de fonctionnalités et de sécurité.
La prestation s'inscrit dans un dispositif structurant : la résorption d'un Plan d'Action issu d'une analyse de
risques EBIOS RM menée sur le socle AWS. Le consultant contribuera directement à l'amélioration
continue du niveau de sécurité de la plateforme, en lien étroit avec le Centre d'Excellence Cybersécurité
Groupe (CCoE).
Le consultant intégrera l'équipe AWS du groupe Cloud & CaaS, sous la supervision de la Product Owner
AWS et du responsable cybersécurité du CCoE EDF. Il travaillera en mode Agile SAFe, avec une
comitologie structurée autour des Program Increments (PI) de 3 mois.

Missions

Le consultant contribuera au suivi, à l'évolution et au maintien de la sécurité de la Landing Zone AWS
EDF à travers les activités suivantes :

Études et design de solutions de cybersécurité Cloud
• Conception de solutions de sécurisation sur services managés AWS
• Rédaction de guides de sécurisation (hardening) à destination des équipes métiers
• Validation en comité sécurité interne du CCoE EDF

Implémentation en Infrastructure as Code
• Développement et maintien de modules Terraform réutilisables et versionnés
• Scripts d'automatisation (Python, PowerShell) lorsque Terraform n'est pas adapté
• Mise en oeuvre et maintien de pipelines CI/CD GitLab pour l'industrialisation de la Landing Zone
• Déploiement progressif d'une roadmap Data Perimeter via Resource Control Policies (RCP)

Analyse cybersécurité des services AWS
• Audit de conformité des services AWS au regard du standard CIS
• Mise en oeuvre de surveillance complémentaire (management account, services critiques)
• Participation à la résorption du Plan d'Action issu de l'analyse EBIOS RM

Run et MCS (Maintien en Condition de Sécurité)
• Traitement ponctuel d'incidents de cybersécurité
• Traitement quotidien des tickets dans le cadre ITIL

Documentation et transfert de compétences
• Documentation exhaustive sur Confluence de chaque livrable (validée par un interne EDF)
• Guide d'exploitation de la Landing Zone (version initiale + mises à jour continues)
• Sessions de formation trimestrielles pour les équipes internes (objectif ≥ 4/5 satisfaction)
• FAQ et procédures d'incident opérationnelles

Pilotage Agile et comitologie
• Participation aux cérémonies Agile SAFe (PI Planning, revues, rétrospectives)
• Tenue à jour du backlog Jira
• Participation à la comitologie AWS et cybersécurité du groupe Cloud & CaaS (≈ ½ journée/semaine)
Volumétrie engagée : 3 livrables par PI (3 mois), soit ≈ 1 livrable par mois.

Environnement technique et fonctionnel

Stack technique AWS (cybersécurité)
• Identity Center, Organizations
• Security Hub, GuardDuty, Config, Inspector
• Service Control Policies (SCP), Resource Control Policies (RCP)
• CloudTrail, WAFv2
• Direct Connect, AWS Network Manager
• CloudHSM

Outils et méthodologie
• IaC : Terraform (majoritaire), scripts Python / PowerShell
• CI/CD : GitLab
• Pilotage : JIRA, Confluence
• Collaboration : Microsoft 365 (Teams, SharePoint, OneDrive, Outlook)
• Méthodologies : SAFe, ITIL, DevSecOps, EBIOS RM

Profil recherché

Expert confirmé en sécurité Cloud AWS, avec une solide expérience opérationnelle sur des
environnements Landing Zone en grande entreprise. Capacité d'arbitrage et de prise de décision
autonome, aptitude à vulgariser des problématiques complexes et à collaborer efficacement en mode Agile SAFe.

Compétences techniques requises
Compétence Niveau Digcomp
Connaissance du mode de fonctionnement des services AWS Sénior (8)
Maîtrise des services de cybersécurité AWS (Security Hub, GuardDuty,
Config, CloudTrail, WAFv2, Inspector, CloudHSM…) Sénior (7)
Expérience en mise en place et exploitation de SCP et/ou RCP Expérimenté (6)
Maîtrise de Terraform (déploiement d'infrastructures IaC) Expérimenté (6)
Maîtrise de la CI/CD sur outils GIT (GitLab en particulier) Expérimenté (6)
Connaissance du SI : IAM, supervision, logs Expérimenté (6)
Maîtrise des langages Python et PowerShell Expérimenté (5)
Connaissance des exigences du standard CIS Expérimenté (5)
Expérience CNAPP sur SI grande entreprise (souhaité) Expérimenté (5)
Connaissance des exigences SecNumCloud 3.2 (souhaité) Expérimenté (5)

Compétences transverses
• Capacité à synthétiser et vulgariser des problématiques complexes (Sénior 8)
• Capacité d'arbitrage et de prise de décision, ou d'escalade selon la criticité (Sénior 8)
• Capacité à organiser une réversibilité transparente pour le client (Sénior 8)
• Aisance en présentation et démonstration de réalisations
• Rigueur documentaire (Confluence, User Stories Jira)

Certifications

AWS Certified Security – Specialty (ou ≥ 3 ans d'expérience sécurité AWS) Obligatoire
HashiCorp Certified : Terraform Associate / Professional Obligatoire

AWS Certified DevOps Engineer – Professional Appréciée
AWS Certified Solutions Architect – Associate Appréciée

Profil recherché

Expert confirmé en sécurité Cloud AWS, avec une solide expérience opérationnelle sur des
environnements Landing Zone en grande entreprise. Capacité d'arbitrage et de prise de décision autonome, aptitude à vulgariser des problématiques complexes et à collaborer efficacement en mode Agile SAFe.

Compétences techniques requises
Connaissance du mode de fonctionnement des services AWS Sénior (8)
Maîtrise des services de cybersécurité AWS (Security Hub, GuardDuty,
Config, CloudTrail, WAFv2, Inspector, CloudHSM…) Sénior (7)
Expérience en mise en place et exploitation de SCP et/ou RCP Expérimenté (6)
Maîtrise de Terraform (déploiement d'infrastructures IaC) Expérimenté (6)
Maîtrise de la CI/CD sur outils GIT (GitLab en particulier) Expérimenté (6)
Connaissance du SI : IAM, supervision, logs Expérimenté (6)
Maîtrise des langages Python et PowerShell Expérimenté (5)
Connaissance des exigences du standard CIS Expérimenté (5)
Expérience CNAPP sur SI grande entreprise (souhaité) Expérimenté (5)
Connaissance des exigences SecNumCloud 3.2 (souhaité) Expérimenté (5)

Compétences transverses
• Capacité à synthétiser et vulgariser des problématiques complexes (Sénior 8)
• Capacité d'arbitrage et de prise de décision, ou d'escalade selon la criticité (Sénior 8)
• Capacité à organiser une réversibilité transparente pour le client (Sénior 8)
• Aisance en présentation et démonstration de réalisations
• Rigueur documentaire (Confluence, User Stories Jira)

Certifications
AWS Certified Security – Specialty (ou ≥ 3 ans d'expérience sécurité AWS) Obligatoire
HashiCorp Certified : Terraform Associate / Professional Obligatoire

AWS Certified DevOps Engineer – Professional Appréciée
AWS Certified Solutions Architect – Associate Appréciée