Ingénieur devsecops / administrateur kubernetes - cdi

Description du poste Salaire: 65 000 euros FICHE DE POSTE Ingénieur DevSecOps — Infrastructure Kubernetes & MCO Environnement régulé · HDS · ISO 27001 Intitulé du poste Ingénieur DevSecOps / Administrateur Kubernetes Rattachement Direction des Systèmes d'Information / Équipe Infrastructure Localisation France / Télétravail partiel Expérience requise 5 ans minimum Environnement VMware Tanzu · GitLab · Vault · Commvault · SVM · HDS 1. Contexte du poste Le titulaire du poste intègre une équipe infrastructure en charge du déploiement et du maintien en condition opérationnelle (MCO) d'une plateforme Kubernetes dédiée à l'hébergement de données sensibles, soumise aux exigences de certification HDS v2.0 et ISO 27001:2023. La plateforme repose sur une architecture à double cluster Kubernetes isolés (périmètre HDS et NON-HDS) hébergeant une chaîne CI/CD complète : GitLab, SonarQube, Nexus Repository, HashiCorp Vault et des runners éphémères, avec une stratégie PRA Backup/Restore via Commvault et Object Store S3. 2. Missions principales 2.1 Mise en place de l'infrastructure Déploiement et configuration des clusters Kubernetes sur VMware Tanzu (vSphere Namespaces, TanzuKubernetesCluster) Mise en place des namespaces applicatifs selon le pattern core/data (gitlab, sonarqube, nexus, vault, runners) Configuration de FluxCD pour la gestion GitOps des clusters Déploiement de Harbor comme registry d'images conteneurs Mise en place des NetworkPolicy : isolation stricte egress entre périmètres HDS et NON-HDS Intégration Vault pour l'injection de secrets via vault-agent-injector (mTLS) Configuration du framework d'automatisation des opérations (justfile / JMP) 2.2 Sécurité et conformité HDS Application des exigences HDS v2.0 (EXI-01 à EXI-22) et ISO 27001:2023 sur l'infrastructure Mise en place de l'isolation HDS/NON-HDS au niveau K8s (NetworkPolicy, RBAC, namespaces dédiés) Configuration de la détection de secrets dans le code source (GitLeaks) Intégration SonarQube comme quality gate bloquant dans les pipelines CI/CD Gestion des certificats TLS et PKI (mTLS entre composants) Contribution à la rédaction et mise à jour des politiques de sécurité et du DAT 2.3 CI/CD et runners GitLab Configuration des runners GitLab éphémères (Batch/Job K8s) sur le cluster HDS Déploiement et configuration des runners NON-HDS (K8s executor) Maintien des pipelines CI/CD : intégration SonarQube, Nexus, SAST/DAST Configuration des groupes GitLab : isolation HDS/NON-HDS, RBAC, branches protégées 2.4 PRA et Backup Mise en place et supervision de la stratégie PRA Backup/Restore (Commvault Object Store S3) Configuration des sauvegardes Commvault : schedule, chiffrement AES-256, rétention Gestion des volumes SVM : provisionnement PVC, snapshots, restauration Tests PRA périodiques et documentation des procédures de restauration (RTO/RPO définis) 2.5 MCO et exploitation Surveillance de l'infrastructure : monitoring, alerting (Splunk / Prometheus / Grafana) Gestion des mises à jour Kubernetes (TKR upgrades sur VMware Tanzu) Gestion des incidents et astreintes liées à l'infrastructure Mise à jour des composants : GitLab, SonarQube, Nexus, Vault, runners Gestion de la capacité et optimisation des ressources (CPU, RAM, SVM) Rédaction et mise à jour des runbooks et procédures d'exploitation 3. Compétences requises 3.1 Compétences techniques indispensables Domaine Technologies / Outils Orchestration Kubernetes VMware Tanzu · kubectl · Helm · FluxCD · GitOps CI/CD & DevSecOps GitLab CI/CD · GitLab Runner · SonarQube · Nexus Repository · GitLeaks Gestion des secrets HashiCorp Vault · vault-agent-injector · mTLS · PKI Infrastructure VMware vSphere · NSX-T · vDS · Tanzu Kubernetes Grid (TKG) Stockage NetApp SVM · iSCSI/NFS · PVC K8s · Commvault Sécurité K8s NetworkPolicy · RBAC · PodSecurityAdmission · TLS Scripting & Automatisation Bash · Python · justfile (JMP) · YAML · Ansible Observabilité Splunk · Prometheus · Grafana · journalisation centralisée PRA/PCA Commvault · S3 · stratégie Backup/Restore 3.2 Compétences normatives Certification HDS v2.0 (ANS 2024) — connaissance des 22 exigences EXI-01 à EXI-22 ISO 27001:2023 — maîtrise des contrôles Annexe A applicables à l'infrastructure RGPD — sensibilisation à la protection des données sensibles Connaissance des Activités HDS R.1111-9 (Activité 5 — admin SI · Activité 6 — backup externalisé) Profil recherché 3. Compétences requises 3.1 Compétences techniques indispensables Domaine Technologies / Outils Orchestration Kubernetes VMware Tanzu · kubectl · Helm · FluxCD · GitOps CI/CD & DevSecOps GitLab CI/CD · GitLab Runner · SonarQube · Nexus Repository · GitLeaks Gestion des secrets HashiCorp Vault · vault-agent-injector · mTLS · PKI Infrastructure VMware vSphere · NSX-T · vDS · Tanzu Kubernetes Grid (TKG) Stockage NetApp SVM · iSCSI/NFS · PVC K8s · Commvault Sécurité K8s NetworkPolicy · RBAC · PodSecurityAdmission · TLS Scripting & Automatisation Bash · Python · justfile (JMP) · YAML · Ansible Observabilité Splunk · Prometheus · Grafana · journalisation centralisée PRA/PCA Commvault · S3 · stratégie Backup/Restore 3.2 Compétences normatives Certification HDS v2.0 (ANS 2024) — connaissance des 22 exigences EXI-01 à EXI-22 ISO 27001:2023 — maîtrise des contrôles Annexe A applicables à l'infrastructure RGPD — sensibilisation à la protection des données sensibles Connaissance des Activités HDS R.1111-9 (Activité 5 — admin SI · Activité 6 — backup externalisé)