Trouvez votre prochaine offre d’emploi ou de mission freelance NIST

Description Le client est un acteur historique de l’édition de logiciels pour le secteur public, parapublic, et privé. L’entreprise accompagne plus de 4 000 organismes publics et 1 200 entreprises privées. Ils conçoivent des logiciels performants, fluides et sécurisés, avec une mission : mettre l’innovation technologique au service du mieux-vivre ensemble . Missions Rattaché au RSSI, vous prenez la responsabilité de la gouvernance globale de l’usine logicielle et jouez un rôle clé dans la maîtrise de la qualité, de la fiabilité et de la sécurité de nos produits. Vous structurez, pilotez et faites évoluer les processus, standards et outillages DevSecOps, en assurant leur alignement avec les référentiels de sécurité (OWASP, NIST, ISO) et les enjeux de conformité. Votre leadership technique et votre capacité à fédérer les équipes vous permettent d’ancrer durablement une culture d’ingénierie responsable et sécurisée. Vos responsabilités clés 1. Gouvernance & Pilotage Définir la stratégie de l’usine logicielle et en assurer la cohérence transverse (Dev, Ops, Sec, Cloud, Qualité). Établir les standards, politiques et processus DevSecOps, et garantir leur application. Piloter la conformité continue aux référentiels (ISO 27001/27002, NIST, OWASP). Mettre en place les tableaux de bord de pilotage (qualité, sécurité, fiabilité, auditabilité). Assurer la gestion des risques liés à la supply chain logicielle et aux pipelines CI/CD. Conduire les arbitrages techniques et organisationnels nécessaires à la performance de l’usine logicielle. 2. Sécurité de la chaîne CI/CD & GitOps Concevoir et maintenir des pipelines GitLab CI modulaires, rapides, observables et sécurisés. Définir les stratégies GitOps multi-environnements (ArgoCD), incluant progressive delivery (canary, blue/green). Encadrer le versioning produit et la gestion des branches. Mettre en œuvre SBOM, dependency checks, signatures d’artefacts et contrôles d’intégrité. Garantir la conformité de la chaîne CI/CD aux référentiels sécurité. 3. Sécurité Applicative & Supply Chain Intégrer et gouverner les scans SAST, SCA, DAST, IaC, container. Définir les Quality/Security Gates (vulnérabilités, coverage, dette). Superviser la production et l’exploitation des SBOM (CycloneDX/SPDX). Prioriser la remédiation via une approche risque (CVSS + exploitability + reachability). Piloter la gestion des secrets et KMS (Vault, External Secrets, Sealed Secrets). Garantir la conformité continue du code et des dépendances (Shift Left Security). 4. Observabilité & Fiabilité Définir les standards logs/métriques/traces (OpenTelemetry, Prometheus, Grafana, Loki/ELK). Piloter les SLO/SLI, l’alerting et les mécanismes de fiabilité (burn rate). Encadrer les tests de résilience (chaos engineering). Mettre en place les tableaux de bord sécurité/fiabilité et les indicateurs ISO/SOC2. 5. Accompagnement, Leadership & Culture Former, coacher et accompagner les équipes de développement sur les pratiques DevSecOps. Porter la culture sécurité, conformité et excellence technique au sein de l’organisation. Produire et maintenir la documentation stratégique et opérationnelle. Fédérer les équipes autour d’une vision commune de l’ingénierie sécurisée. 6. Automatisation & Tooling Développer et maintenir des templates GitLab CI réutilisables. Automatiser signatures, SBOM, attestations et contrôles de sécurité. Déployer des bots (merge automation, dependency updates, security notifications). Automatiser la génération de preuves d’audit ISO 27001 / SOC2. Profil 5+ ans d’expérience en DevOps / Platform / Security Engineering. Solide expérience en développement logiciel (Java, Python, Go…) et compréhension du SDLC. Maîtrise avancée GitLab CI/CD et Git. Expertise Kubernetes (GKE apprécié). Maîtrise Terraform. Expérience cloud privé / on-prem. Pratique GitOps (ArgoCD, canary, blue/green). Maîtrise supply chain security (SBOM, signatures…). Intégration SAST / SCA / DAST dans les pipelines. Observabilité (OpenTelemetry, SLO/SLI) & pratiques SRE. Connaissances cryptographie appliquée (TLS, certificats). Solide culture sécurité opérationnelle (incidents, durcissement, secrets, conformité). Connaissance OWASP, NIST, CIS Benchmarks. Participation à un SMSI (ISO 27001).

Contexte Au sein d’une équipe Cloud & Cybersécurité, l’Architecte Cyber Cloud intervient en tant que référent technique sur la construction, l’évolution et la sécurisation d’une plateforme AWS. Il accompagne les projets, challenge les choix techniques et garantit un haut niveau de sécurité, de maîtrise des coûts et de qualité d’architecture. Compétences techniques recherchées Soft skills • Rigueur, esprit critique et sens du détail. • Capacité à vulgariser des sujets techniques complexes. • Leadership technique et pédagogie. • Force de proposition et autonomie. • Esprit d’équipe, sens du service et capacité à challenger en bienveillance. Profil recherché • Expérience significative en architecture Cloud, idéalement AWS. • Solide culture cybersécurité. • Intervention dans des environnements exigeants (banque, assurance, industrie, services). • Anglais. Certifications appréciées AWS SA Pro, Security Specialty, Azure Fundamentals /Security. Missions principales Architecture & Sécurité Cloud • Concevoir, challenger et valider les architectures Cloud AWS (IaaS, PaaS, services managés). • S’assurer de l’application des bonnes pratiques de cybersécurité (CIS, NIST, Well-Architected Framework – Security Pillar). • Contribuer à la définition et à la mise en œuvre de l'infrastructure sécurisée sur AWS : Gestion des identités (IAM) Network security (VPC, segmentation, firewalling, NACL) Supervision, audit & logging (CloudTrail, Config, GuardDuty, Security Hub) Encryption & Key Management (KMS, HSM, Vault) Excellence AWS • Maîtrise d’un large spectre de services AWS : compute, storage, réseau, sécurité, data, serverless, observabilité. • Expérience concrète dans la construction d'une landing zone ou d’une plateforme Cloud sécurisée. • Environnements multi-comptes, gouvernance, tagging, compliance. Connaissances Azure Connaissance des concepts clés : IAM, Resource Groups, Policy, Azure Security, logging. Capacité à challenger des architectures hybrides ou multi-cloud. Cybersécurité Cloud • Standards de sécurité (CIS, ISO 27001, NIST, Zero Trust). • Gestion des identités & RBAC. • Sécurité réseau Cloud. • Outils de supervision & monitoring. Accompagnement des projets • Accompagner les équipes projets dans la définition des architectures cibles. • Porter une vision critique et constructive des designs proposés. • Recommander des architectures résilientes, sécurisées et optimisées. • Participer aux comités d’architecture et valider les patterns d’implémentation. FinOps & optimisation des coûts • Analyse de coûts. • Optimisation d’architectures. • Connaissance des modèles de facturation Cloud. Veille technologique • Maintenir un haut niveau d’expertise sur AWS et un éveil technique sur Azure. • Suivre les évolutions des services, fonctionnalités, bonnes pratiques de sécurité et de compliance. • Proposer des améliorations continues sur la plateforme Cloud.

🎯𝐓𝐨𝐧 𝐭𝐞𝐫𝐫𝐚𝐢𝐧 𝐝𝐞 𝐣𝐞𝐮 : - Encadrer et développer une équipe performante dédiée à la gouvernance, à la gestion des risques et à la conformité en cybersécurité. - Assister le CISO dans la définition et le pilotage de la stratégie de cybersécurité de l’organisation. - Définir et maintenir le cadre de sécurité (politiques, normes et procédures) aligné avec les standards du marché (ISO 27001, NIST CSF, etc.). - Piloter le programme de gestion des risques cyber : évaluations, suivi du registre des risques et priorisation des actions de mitigation. - Superviser la gestion des vulnérabilités et le suivi des plans de remédiation. - Assurer la conformité réglementaire et normative en matière de sécurité (ex : RGPD) et coordonner les contrôles associés. - Déployer des programmes de sensibilisation et de formation à la sécurité pour les collaborateurs et prestataires. - Contribuer à la gestion des incidents de sécurité, à l’analyse d’impact et aux décisions liées aux risques. - Piloter les projets cybersécurité associés (planification, budget, ressources). - Identifier les actifs critiques de l’organisation et définir les priorités de protection et de réponse en cas d’attaque.