Ingénieur DevSecOps / Administrateur Kubernetes 

FICHE DE POSTE 

Ingénieur DevSecOps — Infrastructure Kubernetes & MCO 

Environnement régulé · HDS · ISO 27001 

Intitulé du poste 

Ingénieur DevSecOps / Administrateur Kubernetes 

Rattachement 

Direction des Systèmes d'Information / Équipe Infrastructure 

Localisation 

France / Télétravail partiel 

Expérience requise 

5 ans minimum 

Environnement 

VMware Tanzu · GitLab · Vault · Commvault · SVM · HDS 

1. Contexte du poste 

Le titulaire du poste intègre une équipe infrastructure en charge du déploiement et du maintien en condition opérationnelle (MCO) d'une plateforme Kubernetes dédiée à l'hébergement de données sensibles, soumise aux exigences de certification HDS v2.0 et ISO 27001:2023. 

La plateforme repose sur une architecture à double cluster Kubernetes isolés (périmètre HDS et NON-HDS) hébergeant une chaîne CI/CD complète : GitLab, SonarQube, Nexus Repository, HashiCorp Vault et des runners éphémères, avec une stratégie PRA Backup/Restore via Commvault et Object Store S3. 

2. Missions principales 

2.1 Mise en place de l'infrastructure 

• Déploiement et configuration des clusters Kubernetes sur VMware Tanzu (vSphere Namespaces, TanzuKubernetesCluster) 

• Mise en place des namespaces applicatifs selon le pattern core/data (gitlab, sonarqube, nexus, vault, runners) 

• Configuration de FluxCD pour la gestion GitOps des clusters 

• Déploiement de Harbor comme registry d'images conteneurs 

• Mise en place des NetworkPolicy : isolation stricte egress entre périmètres HDS et NON-HDS 

• Intégration Vault pour l'injection de secrets via vault-agent-injector (mTLS) 

• Configuration du framework d'automatisation des opérations (justfile / JMP)  

2.2 Sécurité et conformité HDS 

• Application des exigences HDS v2.0 (EXI-01 à EXI-22) et ISO 27001:2023 sur l'infrastructure 

• Mise en place de l'isolation HDS/NON-HDS au niveau K8s (NetworkPolicy, RBAC, namespaces dédiés) 

• Configuration de la détection de secrets dans le code source (GitLeaks) 

• Intégration SonarQube comme quality gate bloquant dans les pipelines CI/CD 

• Gestion des certificats TLS et PKI (mTLS entre composants) 

• Contribution à la rédaction et mise à jour des politiques de sécurité et du DAT  

2.3 CI/CD et runners GitLab 

• Configuration des runners GitLab éphémères (Batch/Job K8s) sur le cluster HDS 

• Déploiement et configuration des runners NON-HDS (K8s executor) 

• Maintien des pipelines CI/CD : intégration SonarQube, Nexus, SAST/DAST 

• Configuration des groupes GitLab : isolation HDS/NON-HDS, RBAC, branches protégées 

2.4 PRA et Backup 

• Mise en place et supervision de la stratégie PRA Backup/Restore (Commvault + Object Store S3) 

• Configuration des sauvegardes Commvault : schedule, chiffrement AES-256, rétention 

• Gestion des volumes SVM : provisionnement PVC, snapshots, restauration 

• Tests PRA périodiques et documentation des procédures de restauration (RTO/RPO définis)  

2.5 MCO et exploitation 

• Surveillance de l'infrastructure : monitoring, alerting (Splunk / Prometheus / Grafana) 

• Gestion des mises à jour Kubernetes (TKR upgrades sur VMware Tanzu) 

• Gestion des incidents et astreintes liées à l'infrastructure 

• Mise à jour des composants : GitLab, SonarQube, Nexus, Vault, runners 

• Gestion de la capacité et optimisation des ressources (CPU, RAM, SVM) 

• Rédaction et mise à jour des runbooks et procédures d'exploitation  

3. Compétences requises 

3.1 Compétences techniques indispensables 

Domaine 

Technologies / Outils 

Orchestration Kubernetes 

VMware Tanzu · kubectl · Helm · FluxCD · GitOps 

CI/CD & DevSecOps 

GitLab CI/CD · GitLab Runner · SonarQube · Nexus Repository · GitLeaks 

Gestion des secrets 

HashiCorp Vault · vault-agent-injector · mTLS · PKI 

Infrastructure VMware 

vSphere · NSX-T · vDS · Tanzu Kubernetes Grid (TKG) 

Stockage 

NetApp SVM · iSCSI/NFS · PVC K8s · Commvault 

Sécurité K8s 

NetworkPolicy · RBAC · PodSecurityAdmission · TLS 

Scripting & Automatisation 

Bash · Python · justfile (JMP) · YAML · Ansible 

Observabilité 

Splunk · Prometheus · Grafana · journalisation centralisée 

PRA/PCA 

Commvault · S3 · stratégie Backup/Restore 

3.2 Compétences normatives 

• Certification HDS v2.0 (ANS 2024) — connaissance des 22 exigences EXI-01 à EXI-22 

• ISO 27001:2023 — maîtrise des contrôles Annexe A applicables à l'infrastructure 

• RGPD — sensibilisation à la protection des données sensibles 

• Connaissance des Activités HDS R.1111-9 (Activité 5 — admin SI · Activité 6 — backup externalisé) 

3. Compétences requises 

3.1 Compétences techniques indispensables 

Domaine 

Technologies / Outils 

Orchestration Kubernetes 

VMware Tanzu · kubectl · Helm · FluxCD · GitOps 

CI/CD & DevSecOps 

GitLab CI/CD · GitLab Runner · SonarQube · Nexus Repository · GitLeaks 

Gestion des secrets 

HashiCorp Vault · vault-agent-injector · mTLS · PKI 

Infrastructure VMware 

vSphere · NSX-T · vDS · Tanzu Kubernetes Grid (TKG) 

Stockage 

NetApp SVM · iSCSI/NFS · PVC K8s · Commvault 

Sécurité K8s 

NetworkPolicy · RBAC · PodSecurityAdmission · TLS 

Scripting & Automatisation 

Bash · Python · justfile (JMP) · YAML · Ansible 

Observabilité 

Splunk · Prometheus · Grafana · journalisation centralisée 

PRA/PCA 

Commvault · S3 · stratégie Backup/Restore 

3.2 Compétences normatives 

• Certification HDS v2.0 (ANS 2024) — connaissance des 22 exigences EXI-01 à EXI-22 

• ISO 27001:2023 — maîtrise des contrôles Annexe A applicables à l'infrastructure 

• RGPD — sensibilisation à la protection des données sensibles 

• Connaissance des Activités HDS R.1111-9 (Activité 5 — admin SI · Activité 6 — backup externalisé)