Expert cryptographie & migration hsm - freelance

Description du poste

Taux journalier (TJM): 660

Expert Cryptographie & Migration HSM | 12 mois | Boulogne-Billancourt | Démarrage juin 2026

Dans le cadre d'un projet de sécurisation et de modernisation de son infrastructure cryptographique, un grand groupe industriel automobile recherche un expert senior en cryptographie et Hardware Security Module (HSM) pour piloter une migration critique de systèmes cryptographiques en production. Mission d'une durée d'un mois, hautement technique, exigeant une expertise rare et une capacité à intervenir sur des environnements sensibles sans interruption de service.

Le contexte

L'enjeu de cette mission est la migration complète d'une infrastructure HSM existante — composée de modules nCipher nShield et ProtectServer — vers des HSM Thales Luna S700, dans un environnement industriel multi-niveaux (DEV, UAT, PROD). Cette migration concerne des éléments cryptographiques critiques : 85 clés réparties sur plusieurs Security Worlds, une infrastructure PKI couvrant une dizaine de serveurs, ainsi qu'un Functionality Module spécifique à adapter pour compatibilité avec les nouveaux équipements. La continuité de service et la conformité aux exigences de sécurité les plus strictes sont des impératifs non négociables.

Les missions

La prestation s'articule autour de trois lots distincts. Le premier concerne la migration des clés issues des HSM nCipher vers les HSM Luna S700 : export sécurisé, import, validation et tests de non-régression sur l'ensemble des serveurs PKI concernés. Le deuxième lot porte sur la migration des clés hébergées sur les HSM ProtectServer — en production comme en préproduction — accessibles via console distante et SSH, avec analyse des slots existants et réimport sécurisé dans les nouveaux équipements. Le troisième lot, le plus technique, consiste à adapter un Functionality Module existant pour le rendre compatible avec les HSM Luna, ce qui inclut la modification du code source du FM, l'adaptation du code Java côté client, et la rédaction d'une documentation complète décrivant les procédures de recompilation et de déploiement.

Le profil technique attendu

Le candidat dispose de 7 à 20 ans d'expérience, avec une expertise confirmée en cryptographie appliquée et en gestion opérationnelle de HSM. Il maîtrise les produits Thales dans leur ensemble — Luna S700, nCipher nShield, ProtectServer — et connaît leurs spécificités en matière de partitionnement, gestion des rôles, sauvegarde, clustering et haute disponibilité. Il est capable de conduire des cérémonies de clés dans le respect strict des politiques de sécurité et des exigences d'audit, y compris les contrôles à quatre yeux.

Sur le plan PKI, il maîtrise la conception et l'exploitation d'infrastructures d'entreprise : AC racine et sub-CA, profils de certificats, CRL, OCSP, chaînes de confiance. Il gère le cycle de vie complet des clés — génération, wrapping, rotation, archivage, destruction — et sait planifier des migrations multi-environnements et multi-serveurs avec des jalons clairs et des tests de non-régression rigoureux.

Du côté développement, il est à l'aise avec Java dans un contexte sécurité : JCE, JSSE, PKCS#11, configuration de providers HSM, gestion de keystores distants. Il est capable d'adapter un Functionality Module existant et de le redéployer sur une nouvelle génération de HSM. Il maîtrise les environnements serveurs Linux et Windows, et dispose des notions réseau nécessaires à l'intégration HSM : connectivité, latence, firewall, haute disponibilité.

Il connaît les référentiels de conformité cryptographique applicables : FIPS 140-2/3, recommandations NIST, guidelines ANSSI, et applique les bonnes pratiques en matière de choix d'algorithmes, de tailles de clés et de durées de vie dans un contexte industriel à long cycle de vie.

Ce qui fera la différence

Le profil idéal a déjà conduit des migrations entre HSM hétérogènes — idéalement de nCipher ou ProtectServer vers Luna — et sait gérer les risques associés en environnement de production critique. Il est capable d'arbitrer rapidement des décisions à fort impact : rollback, gel de déploiement, modification de fenêtre de maintenance. Une expérience dans le secteur industriel automobile, avec ses contraintes spécifiques d'environnements embarqués, de cycles de vie produits longs et de déploiements multi-niveaux, sera un atout majeur. Il sait également communiquer des enjeux cryptographiques complexes à des interlocuteurs non spécialistes et aligner des équipes pluridisciplinaires — PKI, infrastructure, sécurité, métiers — autour d'un plan de migration commun.

La rigueur, la discrétion et le respect scrupuleux des procédures de sécurité sont des qualités indispensables pour intervenir sur des briques cryptographiques aussi centrales.

Informations pratiques

Démarrage juin 2026. Mission d'un mois, basée à Boulogne-Billancourt (92), avec 3 jours de télétravail par semaine. Date limite de candidature : 30 juin 2026. Profil senior attendu : 7 à 20 ans d'expérience.

Mots-clés

Expert cryptographie · HSM · Hardware Security Module · Thales Luna S700 · nCipher nShield · ProtectServer · migration de clés · Security World · PKI · infrastructure PKI · AC racine · sub-CA · CRL · OCSP · certificats · PKCS#11 · JCE · Java · Functionality Module · cérémonie de clés · wrapping · key ceremony · FIPS 140-2 · FIPS 140-3 · NIST · ANSSI · Linux · Windows · SSH · multi-environnements · DEV · UAT · PROD · tests de non-régression · industrie automobile · contraintes embarquées · cycle de vie long · documentation technique · conformité · audit · sécurité · cybersécurité · 7 à 20 ans d'expérience · Boulogne-Billancourt · 92 · mission 1 mois · démarrage juin 2026


Profil recherché

Expert Cryptographie & Migration HSM | 12 mois | Boulogne-Billancourt | Démarrage juin 2026

Dans le cadre d'un projet de sécurisation et de modernisation de son infrastructure cryptographique, un grand groupe industriel automobile recherche un expert senior en cryptographie et Hardware Security Module (HSM) pour piloter une migration critique de systèmes cryptographiques en production. Mission d'une durée d'un mois, hautement technique, exigeant une expertise rare et une capacité à intervenir sur des environnements sensibles sans interruption de service.

Le contexte

L'enjeu de cette mission est la migration complète d'une infrastructure HSM existante — composée de modules nCipher nShield et ProtectServer — vers des HSM Thales Luna S700, dans un environnement industriel multi-niveaux (DEV, UAT, PROD). Cette migration concerne des éléments cryptographiques critiques : 85 clés réparties sur plusieurs Security Worlds, une infrastructure PKI couvrant une dizaine de serveurs, ainsi qu'un Functionality Module spécifique à adapter pour compatibilité avec les nouveaux équipements. La continuité de service et la conformité aux exigences de sécurité les plus strictes sont des impératifs non négociables.

Les missions

La prestation s'articule autour de trois lots distincts. Le premier concerne la migration des clés issues des HSM nCipher vers les HSM Luna S700 : export sécurisé, import, validation et tests de non-régression sur l'ensemble des serveurs PKI concernés. Le deuxième lot porte sur la migration des clés hébergées sur les HSM ProtectServer — en production comme en préproduction — accessibles via console distante et SSH, avec analyse des slots existants et réimport sécurisé dans les nouveaux équipements. Le troisième lot, le plus technique, consiste à adapter un Functionality Module existant pour le rendre compatible avec les HSM Luna, ce qui inclut la modification du code source du FM, l'adaptation du code Java côté client, et la rédaction d'une documentation complète décrivant les procédures de recompilation et de déploiement.

Le profil technique attendu

Le candidat dispose de 7 à 20 ans d'expérience, avec une expertise confirmée en cryptographie appliquée et en gestion opérationnelle de HSM. Il maîtrise les produits Thales dans leur ensemble — Luna S700, nCipher nShield, ProtectServer — et connaît leurs spécificités en matière de partitionnement, gestion des rôles, sauvegarde, clustering et haute disponibilité. Il est capable de conduire des cérémonies de clés dans le respect strict des politiques de sécurité et des exigences d'audit, y compris les contrôles à quatre yeux.

Sur le plan PKI, il maîtrise la conception et l'exploitation d'infrastructures d'entreprise : AC racine et sub-CA, profils de certificats, CRL, OCSP, chaînes de confiance. Il gère le cycle de vie complet des clés — génération, wrapping, rotation, archivage, destruction — et sait planifier des migrations multi-environnements et multi-serveurs avec des jalons clairs et des tests de non-régression rigoureux.

Du côté développement, il est à l'aise avec Java dans un contexte sécurité : JCE, JSSE, PKCS#11, configuration de providers HSM, gestion de keystores distants. Il est capable d'adapter un Functionality Module existant et de le redéployer sur une nouvelle génération de HSM. Il maîtrise les environnements serveurs Linux et Windows, et dispose des notions réseau nécessaires à l'intégration HSM : connectivité, latence, firewall, haute disponibilité.

Il connaît les référentiels de conformité cryptographique applicables : FIPS 140-2/3, recommandations NIST, guidelines ANSSI, et applique les bonnes pratiques en matière de choix d'algorithmes, de tailles de clés et de durées de vie dans un contexte industriel à long cycle de vie.

Ce qui fera la différence

Le profil idéal a déjà conduit des migrations entre HSM hétérogènes — idéalement de nCipher ou ProtectServer vers Luna — et sait gérer les risques associés en environnement de production critique. Il est capable d'arbitrer rapidement des décisions à fort impact : rollback, gel de déploiement, modification de fenêtre de maintenance. Une expérience dans le secteur industriel automobile, avec ses contraintes spécifiques d'environnements embarqués, de cycles de vie produits longs et de déploiements multi-niveaux, sera un atout majeur. Il sait également communiquer des enjeux cryptographiques complexes à des interlocuteurs non spécialistes et aligner des équipes pluridisciplinaires — PKI, infrastructure, sécurité, métiers — autour d'un plan de migration commun.

La rigueur, la discrétion et le respect scrupuleux des procédures de sécurité sont des qualités indispensables pour intervenir sur des briques cryptographiques aussi centrales.

Informations pratiques

Démarrage juin 2026. Mission d'un mois, basée à Boulogne-Billancourt (92), avec 3 jours de télétravail par semaine. Date limite de candidature : 30 juin 2026. Profil senior attendu : 7 à 20 ans d'expérience.

Mots-clés

Expert cryptographie · HSM · Hardware Security Module · Thales Luna S700 · nCipher nShield · ProtectServer · migration de clés · Security World · PKI · infrastructure PKI · AC racine · sub-CA · CRL · OCSP · certificats · PKCS#11 · JCE · Java · Functionality Module · cérémonie de clés · wrapping · key ceremony · FIPS 140-2 · FIPS 140-3 · NIST · ANSSI · Linux · Windows · SSH · multi-environnements · DEV · UAT · PROD · tests de non-régression · industrie automobile · contraintes embarquées · cycle de vie long · documentation technique · conformité · audit · sécurité · cybersécurité · 7 à 20 ans d'expérience · Boulogne-Billancourt · 92 · mission 1 mois · démarrage juin 2026