Ingénieur devsecops / administrateur kubernetes - cdi

Description du poste

Salaire: 65 000 euros

FICHE DE POSTE

Ingénieur DevSecOps — Infrastructure Kubernetes & MCO

Environnement régulé · HDS · ISO 27001

Intitulé du poste

Ingénieur DevSecOps / Administrateur Kubernetes

Rattachement

Direction des Systèmes d'Information / Équipe Infrastructure

Localisation

France / Télétravail partiel

Expérience requise

5 ans minimum

Environnement

VMware Tanzu · GitLab · Vault · Commvault · SVM · HDS

1. Contexte du poste

Le titulaire du poste intègre une équipe infrastructure en charge du déploiement et du maintien en condition opérationnelle (MCO) d'une plateforme Kubernetes dédiée à l'hébergement de données sensibles, soumise aux exigences de certification HDS v2.0 et ISO 27001:2023.

La plateforme repose sur une architecture à double cluster Kubernetes isolés (périmètre HDS et NON-HDS) hébergeant une chaîne CI/CD complète : GitLab, SonarQube, Nexus Repository, HashiCorp Vault et des runners éphémères, avec une stratégie PRA Backup/Restore via Commvault et Object Store S3.

2. Missions principales

2.1 Mise en place de l'infrastructure

* Déploiement et configuration des clusters Kubernetes sur VMware Tanzu (vSphere Namespaces, TanzuKubernetesCluster)

* Mise en place des namespaces applicatifs selon le pattern core/data (gitlab, sonarqube, nexus, vault, runners)

* Configuration de FluxCD pour la gestion GitOps des clusters

* Déploiement de Harbor comme registry d'images conteneurs

* Mise en place des NetworkPolicy : isolation stricte egress entre périmètres HDS et NON-HDS

* Intégration Vault pour l'injection de secrets via vault-agent-injector (mTLS)

* Configuration du framework d'automatisation des opérations (justfile / JMP)

2.2 Sécurité et conformité HDS

* Application des exigences HDS v2.0 (EXI-01 à EXI-22) et ISO 27001:2023 sur l'infrastructure

* Mise en place de l'isolation HDS/NON-HDS au niveau K8s (NetworkPolicy, RBAC, namespaces dédiés)

* Configuration de la détection de secrets dans le code source (GitLeaks)

* Intégration SonarQube comme quality gate bloquant dans les pipelines CI/CD

* Gestion des certificats TLS et PKI (mTLS entre composants)

* Contribution à la rédaction et mise à jour des politiques de sécurité et du DAT

2.3 CI/CD et runners GitLab

* Configuration des runners GitLab éphémères (Batch/Job K8s) sur le cluster HDS

* Déploiement et configuration des runners NON-HDS (K8s executor)

* Maintien des pipelines CI/CD : intégration SonarQube, Nexus, SAST/DAST

* Configuration des groupes GitLab : isolation HDS/NON-HDS, RBAC, branches protégées

2.4 PRA et Backup

* Mise en place et supervision de la stratégie PRA Backup/Restore (Commvault + Object Store S3)

* Configuration des sauvegardes Commvault : schedule, chiffrement AES-256, rétention

* Gestion des volumes SVM : provisionnement PVC, snapshots, restauration

* Tests PRA périodiques et documentation des procédures de restauration (RTO/RPO définis)

2.5 MCO et exploitation

* Surveillance de l'infrastructure : monitoring, alerting (Splunk / Prometheus / Grafana)

* Gestion des mises à jour Kubernetes (TKR upgrades sur VMware Tanzu)

* Gestion des incidents et astreintes liées à l'infrastructure

* Mise à jour des composants : GitLab, SonarQube, Nexus, Vault, runners

* Gestion de la capacité et optimisation des ressources (CPU, RAM, SVM)

* Rédaction et mise à jour des runbooks et procédures d'exploitation

3. Compétences requises

3.1 Compétences techniques indispensables

Domaine

Technologies / Outils

Orchestration Kubernetes

VMware Tanzu · kubectl · Helm · FluxCD · GitOps

CI/CD & DevSecOps

GitLab CI/CD · GitLab Runner · SonarQube · Nexus Repository · GitLeaks

Gestion des secrets

HashiCorp Vault · vault-agent-injector · mTLS · PKI

Infrastructure VMware

vSphere · NSX-T · vDS · Tanzu Kubernetes Grid (TKG)

Stockage

NetApp SVM · iSCSI/NFS · PVC K8s · Commvault

Sécurité K8s

NetworkPolicy · RBAC · PodSecurityAdmission · TLS

Scripting & Automatisation

Bash · Python · justfile (JMP) · YAML · Ansible

Observabilité

Splunk · Prometheus · Grafana · journalisation centralisée

PRA/PCA

Commvault · S3 · stratégie Backup/Restore



3.2 Compétences normatives

* Certification HDS v2.0 (ANS 2024) — connaissance des 22 exigences EXI-01 à EXI-22

* ISO 27001:2023 — maîtrise des contrôles Annexe A applicables à l'infrastructure

* RGPD — sensibilisation à la protection des données sensibles

* Connaissance des Activités HDS R.1111-9 (Activité 5 — admin SI · Activité 6 — backup externalisé)


Profil recherché

3. Compétences requises

3.1 Compétences techniques indispensables

Domaine

Technologies / Outils

Orchestration Kubernetes

VMware Tanzu · kubectl · Helm · FluxCD · GitOps

CI/CD & DevSecOps

GitLab CI/CD · GitLab Runner · SonarQube · Nexus Repository · GitLeaks

Gestion des secrets

HashiCorp Vault · vault-agent-injector · mTLS · PKI

Infrastructure VMware

vSphere · NSX-T · vDS · Tanzu Kubernetes Grid (TKG)

Stockage

NetApp SVM · iSCSI/NFS · PVC K8s · Commvault

Sécurité K8s

NetworkPolicy · RBAC · PodSecurityAdmission · TLS

Scripting & Automatisation

Bash · Python · justfile (JMP) · YAML · Ansible

Observabilité

Splunk · Prometheus · Grafana · journalisation centralisée

PRA/PCA

Commvault · S3 · stratégie Backup/Restore

3.2 Compétences normatives

* Certification HDS v2.0 (ANS 2024) — connaissance des 22 exigences EXI-01 à EXI-22

* ISO 27001:2023 — maîtrise des contrôles Annexe A applicables à l'infrastructure

* RGPD — sensibilisation à la protection des données sensibles

* Connaissance des Activités HDS R.1111-9 (Activité 5 — admin SI · Activité 6 — backup externalisé)