Ingenieur Devsecops

Nexpublica est un acteur historique de l'édition de logiciels pour le secteur public, parapublic, et privé. L'entreprise accompagne plus de 4 000 organismes publics et 1 200 entreprises privées.

Nous concevons des logiciels performants, fluides et sécurisés, avec une mission : mettre l'innovation technologique au service du mieux-vivre ensemble.

Tous nos postes sont ouverts aux personnes en situation de handicap

Rattaché au RSSI, votre mission consiste à définir et piloter la gouvernance de l'usine logicielle pour garantir la qualité, la fiabilité et la sécurité de nos produits. Vous êtes à la fois stratégique et opérationnel dans la mise en œuvre des processus, outillages et bonnes pratiques DevSecOps, en assurant leur alignement avec les référentiels de sécurité (OWASP, NIST, ISO).

Vos responsabilités :

Livrables

Sécurité de la chaîne CI/CD & GitOps

• Pipelines GitLab CI modulaires, rapides, observables.

• Stratégies GitOps (ArgoCD) multi-environnements (public & privé), progressive delivery (canary, blue/green).

• Versioning produit (gestion des branches).

• SBOM, dependency checks etc...

• Mise en conformité avec les référentiels sécurité (ISO 27001/27002, NIST, OWASP) sur la chaîne CI/CD.

• Contrôles d'intégrité et signatures d'artefacts automatisés.

Sécurité Applicative & Supply Chain

• Intégration scans SAST (SonarQube), SCA, DAST, IaC, container.

• Quality/Security Gates (vulnérabilités, coverage, dette).

• SBOM (CycloneDX/SPDX).

• Priorisation remédiation (CVSS + exploitability + reachability).

• Secrets & KMS : Vault, External Secrets, Sealed Secrets.

• Validation sécurité du code et dépendances dès la phase de développement (Shift Left Security).

• Vérification de conformité continue avec les politiques internes et les exigences ISO 27001.

Observabilité & Fiabilité

• Standard logs, métriques, traces (OpenTelemetry, Prometheus, Grafana, Loki/ELK).

• SLO/SLI + alerting (burn rate).

• Tests résilience (chaos engineering ciblé).

• Mise en place de tableaux de bord sécurité et fiabilité (auditabilité, conformité, suivi des indicateurs ISO/SOC2).

Accompagnement & Culture

• Formations internes et documentation.

• Accompagnement des équipes de développement sur les pratiques DevSecOps et sécurité du code.

• Diffusion de la culture sécurité et conformité (ISO, bonnes pratiques de développement sécurisé).

Automatisation & Tooling

• Templates GitLab CI réutilisables.

• Signature artefacts, SBOM, attestations automatisées.

• Bots : merge automation, dependency updates, security notifications.

• Automatisation des contrôles de sécurité opérationnelle et génération de preuves d'audit ISO 27001 / SOC2.

• 5+ ans DevOps / Platform / Security Engineering

• Formation ou expérience en développement logiciel (Java, Python, Go, etc.) avec une bonne compréhension du cycle de vie applicatif et des pratiques de développement sécurisé

• Maîtrise de GitLab CI/CD (pipelines, composants, jobs etc.) + SCM (maîtrise de git)

• Expertise avancée Kubernetes, avec un plus pour GKE

• Maîtrise de Terraform

• Expérience déploiements cloud privé / on-prem

• GitOps production (ArgoCD, canary, blue/green etc.)

• Supply chain security (SBOM, signatures etc.)

• SAST / SCA / DAST intégrés pipelines

• Observabilité (OpenTelemetry, SLO/SLI) & pratiques SRE

• Connaissances cryptographie appliquée (TLS, certificats)

• Solide bagage en sécurité opérationnelle (gestion des incidents, durcissement, secrets management, conformité)

• Bonne compréhension des référentiels OWASP, NIST, et CIS Benchmarks

• Participation à la mise en place ou au maintien d'un SMSI (Système de Management de la Sécurité de l'Information)

• Communication pédagogique, leadership technique, capacité à fédérer une culture DevSecOps

Niveau d'anglais suffisant pour faire une veille proactive auprès des meilleures sources d'information