Integrating in-toto attestations into secure development and delivery pipelines - h/f

Organisation NAVAL GROUP Nous sommes un acteur international dans l'industrie navale de défense depuis plus de 400 ans, repoussant continuellement les limites pour construire l'avenir. Nous recrutons des talents pour concevoir, réaliser et entretenir des produits exceptionnels tels que des sous-marins, des porte-avions et des frégates dont la composante digitale est essentielle. UN ENVIRONNEMENT DE TRAVAIL POSITIF Implantés sur 10 sites en France et dans 18 pays, nous valorisons un environnement de travail agréable, favorisant la diversité des profils, l'esprit d'équipe et le bien-être. Cela se concrétise par une mixité sociale, des accords pour la qualité de vie au travail, un engagement dans le développement professionnel via la formation continue et l'implication des collaborateurs et collaboratrices dans la mise en œuvre collective de notre stratégie de responsabilité sociétale de l'entreprise (RSE). NOS CHIFFRES CLEFS 17 000 collaborateurs et collaboratrices 4,3 milliards d'euros de chiffre d'affaires Description du poste Spécialisation/Emploi : Digital - DevSecOps Détail de l'emploi : Stage -Integrating In-Toto Attestations into Secure Development and Delivery Pipelines - H/F Basé à Ollioules Naval Group développe et opère Seanergy, une plateforme Cloud privée qui héberge et distribue des applications et services destinés au développement logiciel. Cette plateforme repose sur des chaînes de développement et de déploiement (CI/CD) complexes, impliquant de nombreux outils, acteurs et étapes d’automatisation. Dans un contexte de sécurité renforcée et de confiance dans la supply chain logicielle, il devient essentiel de garantir la traçabilité et l’intégrité de chaque étape du cycle de vie logiciel, depuis la construction jusqu’au déploiement. La technologie In-Toto, un cadre open-source développé par la Linux Foundation, propose une approche normalisée pour attester et vérifier la provenance et l’intégrité des artefacts logiciels. Ce stage s’inscrit dans cette démarche d’amélioration continue de la sécurité des chaînes CI/CD de la plateforme Seanergy. Objectif du stage L’objectif est d’intégrer les attestations In-Toto au sein des pipelines de développement et de livraison sécurisés de Seanergy, afin de : Garantir la provenance vérifiable des composants logiciels construits sur la plateforme. Renforcer la chaîne de confiance entre les différentes étapes (build, test, déploiement). Faciliter la détection d’anomalies ou d’altérations non autorisées dans le flux CI/CD. Travaux à réaliser Le ou la stagiaire participera aux étapes suivantes : 1. Analyse du besoin et de l’existant Étude des pipelines CI/CD en place sur Seanergy (GitLab). Compréhension des processus de build, test, signature et déploiement. 2. État de l’art Exploration des standards de sécurité logicielle : In-Toto, SLSA, Sigstore, SBOM. Étude des mécanismes d’attestation et de vérification de provenance logicielle. 3. Conception et prototypage Définition du modèle d’attestations adapté à Seanergy. Intégration d’In-Toto dans les pipelines CI/CD. Mise en place de la vérification automatique des attestations avant déploiement. 4. Validation et documentation Démonstration du fonctionnement complet sur un cas d’usage concret. Rédaction d’une documentation technique et de recommandations pour l’industrialisation. Environnement technique Langages : Python, Go, Rust, éventuellement TypeScript/JavaScript pour intégration front Outils CI/CD : GitLab CI, Harbor, Kubernetes, Helm Frameworks : LangChain, Hugging Face Transformers, vLLM Outils : GitLab, IBM Jazz, Seanergy Platform Sécurité logicielle : In-Toto, SLSA Framework, Cosign / Sigstore, SBOM (CycloneDX, SPDX) Méthodologie : Agile / DevOps Profil Étudiant(e) en formation Bac4 ou Bac5 (école d’ingénieurs, université ou école spécialisée) avec une spécialisation en informatique, cybersécurité, génie logiciel ou DevOps. Compétences techniques attendues Bonnes connaissances en programmation : Python, Go ou Rust ; des notions de TypeScript/JavaScript sont un plus. Expérience ou intérêt pour les pipelines CI/CD et les outils de déploiement (GitLab, Kubernetes, Helm, Harbor). Connaissance des concepts de sécurité logicielle et de la supply chain logicielle (In-Toto, SLSA, Sigstore, SBOM). Compréhension des frameworks d’IA et d’automatisation (LangChain, Hugging Face Transformers, vLLM) est un plus. Qualités personnelles Rigueur et sens de l’organisation pour travailler sur des chaînes de développement complexes. Curiosité et esprit d’initiative pour explorer de nouvelles technologies et standards. Capacité à travailler en équipe dans un environnement technique et exigeant. Intérêt pour l’innovation et la sécurisation des processus logiciels industriels. Vous vous reconnaissez dans ce profil ? Alors n’hésitez plus, en un clic postulez, ce stage est fait pour vous ! Cette expérience vous permettra d'exprimer votre potentiel dans un environnement de très haute technologie sur des projets exceptionnels et innovants qui contribuent à la souveraineté des marines du monde. Rejoignez nos équipes et construisez le naval de demain ! Chez Naval Group vous serez accompagné(e) de tuteurs/trices certifié(es) et, à leurs côtés, vous plongerez au cœur d'une aventure industrielle enrichissante hors du commun où vous bénéficierez d'une expérience à la fois formatrice et responsabilisante. LES AVANTAGES NAVAL GROUP : Une gratification est prévue selon le niveau et le diplôme préparé. Un comité social et économique (CSE) dynamique proposant des activités sociales et culturelles. Un environnement de travail agréable et un accès au restaurant d'entreprise avec participation employeur. Une prise en charge des frais de transport (50% du titre de transport en commun) NOTRE PROCESSUS DE RECRUTEMENT : Après réception de votre CV, si votre profil retient notre attention, l'un de nos recruteurs vous contactera pour un entretien téléphonique. A l'issue de ce premier échange, vous pourrez être contacté(e) pour passer un entretien (physique ou visioconférence) avec le manager du service concerné et/ou notre HR Business Partner. Enfin, dès que nous aurons fait notre choix final, vous serez informé(e) dans les plus brefs délais. Notre site est soumis à une enquête administrative de sécurité. Expérience : 5 ans et plus Niveau d'éducation : Bac5 / Ingénieur ou équivalent Domaines d'études : Informatique / Système Information /Télécommunication Langues : francais Bilingue / langue maternelle