Description Nexpublica est un acteur historique de l’édition de logiciels pour le secteur public, parapublic, et privé. L’entreprise accompagne plus de 4 000 organismes publics et 1 200 entreprises privées. Nous concevons des logiciels performants, fluides et sécurisés, avec une mission : mettre l’innovation technologique au service du mieux-vivre ensemble. Tous nos postes sont ouverts aux personnes en situation de handicap Mission Rattaché au RSSI, votre mission consiste à définir et piloter la gouvernance de l’usine logicielle pour garantir la qualité, la fiabilité et la sécurité de nos produits. Vous êtes à la fois stratégique et opérationnel dans la mise en œuvre des processus, outillages et bonnes pratiques DevSecOps, en assurant leur alignement avec les référentiels de sécurité (OWASP, NIST, ISO). Vos responsabilités : Livrables Sécurité de la chaîne CI/CD & GitOps Pipelines GitLab CI modulaires, rapides, observables. Stratégies GitOps (ArgoCD) multi-environnements (public & privé), progressive delivery (canary, blue/green). Versioning produit (gestion des branches). SBOM, dependency checks etc Mise en conformité avec les référentiels sécurité (ISO 27001/27002, NIST, OWASP) sur la chaîne CI/CD. Contrôles d’intégrité et signatures d’artefacts automatisés. Sécurité Applicative & Supply Chain Intégration scans SAST (SonarQube), SCA, DAST, IaC, container. Quality/Security Gates (vulnérabilités, coverage, dette). SBOM (CycloneDX/SPDX). Priorisation remédiation (CVSS exploitability reachability). Secrets & KMS : Vault, External Secrets, Sealed Secrets. Validation sécurité du code et dépendances dès la phase de développement (Shift Left Security). Vérification de conformité continue avec les politiques internes et les exigences ISO 27001. Observabilité & Fiabilité Standard logs, métriques, traces (OpenTelemetry, Prometheus, Grafana, Loki/ELK). SLO/SLI alerting (burn rate). Tests résilience (chaos engineering ciblé). Mise en place de tableaux de bord sécurité et fiabilité (auditabilité, conformité, suivi des indicateurs ISO/SOC2). Accompagnement & Culture Formations internes et documentation. Accompagnement des équipes de développement sur les pratiques DevSecOps et sécurité du code. Diffusion de la culture sécurité et conformité (ISO, bonnes pratiques de développement sécurisé). Automatisation & Tooling Templates GitLab CI réutilisables. Signature artefacts, SBOM, attestations automatisées. Bots : merge automation, dependency updates, security notifications. Automatisation des contrôles de sécurité opérationnelle et génération de preuves d’audit ISO 27001 / SOC2. Profile 5 ans DevOps / Platform / Security Engineering Formation ou expérience en développement logiciel (Java, Python, Go, etc.) avec une bonne compréhension du cycle de vie applicatif et des pratiques de développement sécurisé Maîtrise de GitLab CI/CD (pipelines, composants, jobs etc.) SCM (maîtrise de git) Expertise avancée Kubernetes, avec un plus pour GKE Maîtrise de Terraform Expérience déploiements cloud privé / on-prem GitOps production (ArgoCD, canary, blue/green etc.) Supply chain security (SBOM, signatures etc.) SAST / SCA / DAST intégrés pipelines Observabilité (OpenTelemetry, SLO/SLI) & pratiques SRE Connaissances cryptographie appliquée (TLS, certificats) Solide bagage en sécurité opérationnelle (gestion des incidents, durcissement, secrets management, conformité) Bonne compréhension des référentiels OWASP, NIST, et CIS Benchmarks Participation à la mise en place ou au maintien d’un SMSI (Système de Management de la Sécurité de l’Information) Communication pédagogique, leadership technique, capacité à fédérer une culture DevSecOps Niveau d’anglais suffisant pour faire une veille proactive auprès des meilleures sources d'information
En cliquant sur "JE DÉPOSE MON CV", vous acceptez nos CGU et déclarez avoir pris connaissance de la politique de protection des données du site jobijoba.com.