Mission freelance Architecte sécurité des chaines CICD et du code applicative sur Meudon

Objectifs de la mission
Le consultant interviendra en tant qu’expert sécurité applicative pour accompagner notre client dans :
L’étude de l’existant et l’analyse des besoins en matière de sécurité du code et des pipelines CI/CD ;
La recommandation, la sélection et la préparation de l’intégration des solutions de sécurité applicative (SAST, DAST, SCA, ADR/RASP) ;
La préparation du cahier des charges en vue d’un appel d’offres pour l’acquisition ou l’évolution des outils ;
(Optionnellement) L’accompagnement à la mise en œuvre et au transfert de compétences auprès des équipes internes.

Livrables attendus
Rapport d’analyse du contexte et des chaînes CI/CD existantes
Veille technologique et benchmark des solutions du marché
Recommandations stratégiques et techniques pour le choix et l’intégration (SAST, DAST, SCA, ADR/RASP)
Architecture cible et plan d’intégration détaillé
Cahier des charges pour appel d’offres, scénario de POC et cahier de test
Documentation des processus de traitement des vulnérabilités
Ateliers de formation et documentation associée

Compétence Niveau attendu
GitLab CI/CD Confirmé
Sécurité en exécution (RASP/ADR) Avancé
CNAPP (Cloud-Native Application Protection Platform) Avancé
Analyse de vulnérabilités applicatives Confirmé
Outils SAST / DAST Confirmé
Rédaction de documentation technique Confirmé
Intégration continue / Livraison continue (CI/CD) Confirmé

Périmètre d’intervention
1. Analyse et Recommandations Stratégiques
Réaliser un état de l’art des solutions de sécurité applicative (SAST, DAST, SCA, ADR/RASP) et recueillir les retours d’expérience du marché.
Évaluer la pertinence de ces solutions dans le contexte (technologies, maturité DevSecOps, priorités sécurité).
Étudier l’opportunité d’utiliser une plateforme spécialisée ou d’intégrer les fonctionnalités à des outils existants (CNAPP, scanners de vulnérabilités, etc.).
Définir une stratégie d’intégration cohérente avec l’écosystème et les contraintes opérationnelles de l’entreprise.

2. Analyse des Chaînes CI/CD et Préconisations Techniques
Auditer les pipelines CI/CD existants (GitLab, intégrations, automatisations).
Identifier les points d’ancrage optimaux pour l’insertion des contrôles de sécurité.
Proposer une approche technique et organisationnelle équilibrée : sécurité renforcée, faible impact sur la productivité.

3. Préparation du Cahier des Charges
Rédiger un cahier des charges complet à destination des éditeurs et intégrateurs.
Définir les critères de sélection, les exigences fonctionnelles et techniques, ainsi que le cadre d’un POC.
(Optionnel) Volet d’Implémentation

4. Conception et Configuration des Outils
Concevoir les architectures HLD/LLD et accompagner la mise en œuvre technique.
Paramétrer les outils pour réduire les faux positifs et prioriser les vulnérabilités critiques.

5. Processus de Traitement et Suivi
Définir les workflows de traitement des vulnérabilités : détection, qualification, priorisation et correction.
Mettre en place des indicateurs de suivi de la remédiation et du niveau de risque applicatif.

6. Transfert de Compétences
Organiser des ateliers de formation et un transfert de compétences auprès des architectes, ingénieurs gouvernance et exploitants sécurité.