Senior Cloud Security Engineer

Description Du Poste
leboncoin, est le 1er site généraliste de vente entre particuliers en France, leader sur les marchés de l'immobilier et l'automobile, acteur clé sur l'emploi et la location de vacances. Chaque mois leboncoin est plébiscité par 28 millions de Français qui apprécient la richesse de son offre et la facilité des échanges qu'il permet au quotidien.

En tant qu'Ingénieur·e DevSecOps, vous serez responsable de la mise en place et du maintien de fondations sécurisées à travers :

• Notre cloud (IaaS AWS et différentes solutions SaaS modernes)
• Notre infrastructure (services standards AWS : EC2, S3, EKS, IAM, ainsi que Datadome et AWS WAF)
• Nos chaînes de développement (Gerrit, GitHub, Concourse)
• Nos outils de sécurité et leurs intégrations

Vous interviendrez à la fois comme ingénieur·e opérationnel·le et comme conseiller·ère sécurité auprès de nos équipes IT, produit et ingénierie, afin de garantir que les bonnes pratiques de sécurité soient intégrées dans la conception, la construction et l'exploitation de tous les systèmes du groupe Leboncoin.

Ce poste est une opportunité exceptionnelle de renforcer la sécurité globale du Système d'Information et des applications de Leboncoin. Vous couvrirez les domaines de la sécurité du cloud et de l'infrastructure, de la gestion des identités et des accès (IAM), ainsi que la sécurité des pipelines CI/CD.

Exigences du poste

• Minimum 5 ans d'expérience en sécurité cloud, sécurité d'infrastructure ou DevSecOps
• Solide connaissance d'AWS, Kubernetes et des suites d'outils CI/CD
• Expérience pratique avec l'Infrastructure-as-Code (Terraform, Ansible, etc.), le scripting (au moins un langage) et l'automatisation
• Bonne compréhension des concepts IAM, des protocoles d'authentification (SAML, OAuth2, OIDC) et de la gestion des accès privilégiés
• Bonne connaissance de la sécurité applicative et des vulnérabilités courantes (OWASP Top 10, SANS Top 25)
• Expérience d'intégration d'outils de sécurité dans les pipelines
• Expérience en développement et déploiement de scripts et de plugins
• Excellentes compétences en communication et en négociation pour conseiller efficacement les équipes d'ingénierie
• Maîtrise du français et anglais professionnel

Atouts supplémentaires

• Expérience préalable en développement
• Expérience dans un environnement marketplace, e-commerce ou plateforme web à fort trafic
• Connaissance des réglementations européennes (NIS2, RGPD)

Responsabilités liées au poste
Sécurité Cloud & Infrastructure

• Définir et faire appliquer les standards d'architecture de sécurité pour le cloud (AWS)
• Auditer le code d'infrastructure (IaC) pour détecter les erreurs de configuration et les vulnérabilités, et promouvoir les meilleures pratiques de sécurité
• Collaborer avec les équipes infrastructure pour implémenter des guides de durcissement et concevoir des réseaux sécurisés

DevSecOps & Sécurité des pipelines

• Intégrer des outils et contrôles de sécurité dans l'infrastructure, les pipelines CI/CD (SAST, SCA, détection de secrets, sécurité des conteneurs) et les services IT de Leboncoin
• Automatiser les tests de sécurité et les vérifications de conformité dans les workflows de développement
• Travailler avec les développeurs pour concevoir des modèles de code sécurisé et des modèles de menace
• Gestion des identités et des accès (IAM)
• Définir, recommander et appliquer des processus IAM robustes à l'échelle de Leboncoin (cycle de vie des collaborateurs, accès privilégiés, MFA, séparation des rôles)
• Mettre en place une gouvernance IAM et des contrôles techniques solides (moindre privilège, RBAC/ABAC, accès temporaire "just-in-time")

Outils de sécurité & Intégration

• Participer à l'intégration ou au développement d'outils de sécurité au sein de l'infrastructure IT et cloud de Leboncoin (intégration SIEM/SOAR, scanners de vulnérabilités, gestionnaires de secrets, outils IAM)
• Garantir la maintenance, la supervision et la montée en charge de ces outils

Conseil en sécurité

• Agir en tant que conseiller·ère sécurité auprès des équipes produit, infrastructure et métier
• Revoir les conceptions et architectures
• Formuler des recommandations concrètes et arbitrer les compromis
• Rédiger et diffuser des guides de sécurité
• Bonnes pratiques et modèles réutilisables

Gestion des incidents & des risques

• Assister l'équipe de détection et de réponse aux incidents en apportant une expertise technique et architecturale, et contribuer aux post-mortems pour améliorer les processus
• Participer au service d'astreinte sécurité
• Fournir un appui à l'évaluation des risques pour les nouveaux projets ou les intégrations de prestataires externes

Avantages du poste

• Des conditions de travail agréables (locaux, télétravail…)
• Une rémunération attractive (rémunération fixe, variable et participation)
• Possibilités de développements professionnels rapides et sur mesure
• Une carte tickets restaurants
• Une couverture mutuelle et prévoyance efficace et compétitive