Stage -integrating In-toto Attestations Into Secure Development and Delivery Pipelines - (H/F)

**Organisation**:
NAVAL GROUP
Nous sommes un acteur international dans l'industrie navale de défense depuis plus de 400 ans, repoussant continuellement les limites pour construire l'avenir. Nous recrutons des talents pour concevoir, réaliser et entretenir des produits exceptionnels tels que des sous-marins, des porte-avions et des frégates dont la composante digitale est essentielle.

UN ENVIRONNEMENT DE TRAVAIL POSITIF
Implantés sur 10 sites en France et dans 18 pays, nous valorisons un environnement de travail agréable, favorisant la diversité des profils, l'esprit d'équipe et le bien-être. Cela se concrétise par une mixité sociale, des accords pour la qualité de vie au travail, un engagement dans le développement professionnel via la formation continue et l'implication des collaborateurs et collaboratrices dans la mise en œuvre collective de notre stratégie de responsabilité sociétale de l'entreprise (RSE).

NOS CHIFFRES CLEFS
17 000 collaborateurs et collaboratrices
4,3 milliards d'euros de chiffre d'affaires

**Description du poste**:
Spécialisation/Emploi:
Digital - DevSecOps

Détail de l'emploi:
Stage -Integrating In-Toto Attestations into Secure Development and Delivery Pipelines - H/F

Basé à Ollioules
Cette plateforme repose sur des chaînes de développement et de déploiement (CI/CD) complexes, impliquant de nombreux outils, acteurs et étapes d’automatisation.
Dans un contexte de sécurité renforcée et de confiance dans la supply chain logicielle, il devient essentiel de garantir la traçabilité et l’intégrité de chaque étape du cycle de vie logiciel, depuis la construction jusqu’au déploiement.
La technologie In-Toto, un cadre open-source développé par la Linux Foundation, propose une approche normalisée pour attester et vérifier la provenance et l’intégrité des artefacts logiciels.
Ce stage s’inscrit dans cette démarche d’amélioration continue de la sécurité des chaînes CI/CD de la plateforme Seanergy.

Objectif du stage
L’objectif est d’intégrer les attestations In-Toto au sein des pipelines de développement et de livraison sécurisés de Seanergy, afin de:
Garantir la provenance vérifiable des composants logiciels construits sur la plateforme.
Renforcer la chaîne de confiance entre les différentes étapes (build, test, déploiement).
Faciliter la détection d’anomalies ou d’altérations non autorisées dans le flux CI/CD.

Travaux à réaliser
Le ou la stagiaire participera aux étapes suivantes:
1. Analyse du besoin et de l’existant
Étude des pipelines CI/CD en place sur Seanergy (GitLab).
Compréhension des processus de build, test, signature et déploiement.
2. État de l’art
Exploration des standards de sécurité logicielle : In-Toto, SLSA, Sigstore, SBOM.
Étude des mécanismes d’attestation et de vérification de provenance logicielle.
3. Conception et prototypage
Définition du modèle d’attestations adapté à Seanergy.
Intégration d’In-Toto dans les pipelines CI/CD.
Mise en place de la vérification automatique des attestations avant déploiement.
4. Validation et documentation
Démonstration du fonctionnement complet sur un cas d’usage concret.
Rédaction d’une documentation technique et de recommandations pour l’industrialisation.

Environnement technique
Langages : Python, Go, Rust, éventuellement TypeScript/JavaScript pour intégration front
Outils CI/CD : GitLab CI, Harbor, Kubernetes, Helm
Frameworks : LangChain, Hugging Face Transformers, vLLM
Outils : GitLab, IBM Jazz, Seanergy Platform
Sécurité logicielle : In-Toto, SLSA Framework, Cosign / Sigstore, SBOM (CycloneDX, SPDX)
Méthodologie : Agile / DevOps

**Profil**:
Étudiant(e) en formation Bac+4 ou Bac+5 (école d’ingénieurs, université ou école spécialisée) avec une spécialisation en informatique, cybersécurité, génie logiciel ou DevOps.

Compétences techniques attendues
Bonnes connaissances en programmation : Python, Go ou Rust ; des notions de TypeScript/JavaScript sont un plus.
Expérience ou intérêt pour les pipelines CI/CD et les outils de déploiement (GitLab, Kubernetes, Helm, Harbor).
Connaissance des concepts de sécurité logicielle et de la supply chain logicielle (In-Toto, SLSA, Sigstore, SBOM).
Compréhension des frameworks d’IA et d’automatisation (LangChain, Hugging Face Transformers, vLLM) est un plus.
Qualités personnelles
Rigueur et sens de l’organisation pour travailler sur des chaînes de développement complexes.
Curiosité et esprit d’initiative pour explorer de nouvelles technologies et standards.
Capacité à travailler en équipe dans un environnement technique et exigeant.
Intérêt pour l’innovation et la sécurisation des processus logiciels industriels.

Vous vous reconnaissez dans ce profil ? Alors n’hésitez plus, en un clic postulez, ce stage est fait pour vous
Cette expérience vous permettra d'exprimer votre potentiel dans un environnement de très haute technologie sur des projets exceptionnels et innovants qui contribuent à la souveraineté des marines du monde.

Rejoignez nos équipes et construisez le naval de demain Chez Naval Gro