Back to search
OSIIC - Opérateur des Systèmes d’Information Interministériels Classifiés Linkedin · Posted 11d ago

Intégrateur d'applications DevSecOps – environnements classifiés H/F

France

Linkedin
Continue to application Add your email once, then Caio opens the original posting.

Indexed description

Envie de relever un nouveau challenge, vous souhaitez valoriser vos compétences et connaissances techniques ? Rejoignez-nous !


L'OSIIC - L’Opérateur des Systèmes d’Information Interministériels Classifiés est un service à compétence nationale rattaché au Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), autorité chargée d'assister le Premier ministre dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale.


L’OSIIC a pour missions de concevoir, réaliser et mettre en œuvre les moyens de communication du Président de la République et du Gouvernement, ainsi que les systèmes d’information classifiés au profit des ministères. Parmi l’ensemble de ses missions, l’OSIIC assure également la charge de direction des systèmes d’information pour répondre aux besoins internes du SGDSN.


Dans le cadre de la montée en puissance de l’opérateur nous sommes à la recherche d'un

Intégrateur d'applications DevSecOps – environnements classifiés H/F :


Au sein de la Division Ingénierie et Innovation Numérique, le bureau applicatifs (BAP) est l’un des 3 bureaux d’expertise de la division. Sa mission est d’assurer la conception, le développement et l’intégration des applicatifs dont l’OSIIC a la charge. Il travaille en mode produit. Il assure également le support ITIL niveau 3.


Au sein de la Division Ingénierie et Innovation Numérique, le bureau applicatifs (BAP) est l’un des 3 bureaux d’expertise de la division. Sa mission est d’assurer la conception, le développement et l’intégration des applicatifs dont l’OSIIC a la charge. Il travaille en mode produit. Il assure également le support ITIL niveau 3


L’intégrateur d’applications DevSecOps assemble et qualifie les composants applicatifs dans des environnements classifiés (DR/Secret), en garantissant que la sécurité est intégrée à chaque étape du cycle d’intégration (security by design). Il/elle conçoit et opère les pipelines CI/CD adaptés aux contraintes de classification, coordonne les activités de qualification SSI avec la CSSIP et l’ANSSI, et assure la conformité des systèmes aux instructions réglementaires (IGI 1300/2100, II901).


Missions et activités :


Intégration en environnement classifié :

• R – Assembler et intégrer les composants applicatifs dans des environnements cloisonnés (DR, Secret, air-gap)

• R – Sélectionner et valider les composants conformes aux exigences ANSSI : qualifiés CSPN, Critères Communs, ou ayant fait l’objet d’une analyse de risques documentée

• R – Garantir le cloisonnement des flux inter-applications selon les niveaux de classification et les règles IGI 1300/2100/II901

• R – Concevoir et mettre en œuvre les interfaces inter-domaines classifiés (passerelles, diodes, flux contrôlés)

• C – Contribuer aux dossiers d’homologation ANSSI : volet intégration, architecture assemblée, justification des choix techniques




DevSecOps et pipelines sécurisés :

• R – Concevoir et opérer des pipelines CI/CD adaptés aux environnements classifiés : isolation des environnements de build, signature des artefacts, contrôle d’intégrité

• R – Intégrer des contrôles de sécurité automatisés dans les pipelines : analyse statique (SAST), analyse de composition logicielle (SCA), scan de vulnérabilités

• R – Gérer les dépendances logicielles dans un contexte classifié : miroirs internes des dépôts, contrôle des versions, interdiction des composants non qualifiés

• C – Contribuer à la définition de la politique de durcissement des images et des conteneurs déployés

• R – Mettre en œuvre les procédures de contrôle des changements pour maintenir l’intégrité du système en production classifiée




Tests de sécurité et qualification :

• R – Concevoir et exécuter les tests de sécurité applicatifs : tests d’intrusion, fuzzing, vérification des contrôles d’accès

• R – Organiser les campagnes de tests en environnement classifié (bacs à sable isolés, environnements de qualification)

• C – Participer aux audits PASSI et aux revues de sécurité avec la CSSIP et l’ANSSI

• R – Consigner les résultats, anomalies de sécurité et mesures correctives dans le dossier de sécurité du système

Maintien en condition de sécurité (MCS) :

• R – Assurer la veille sur les vulnérabilités affectant les composants intégrés (CERT-FR, NVD, bulletins ANSSI)

• R – Planifier et réaliser les mises à jour de sécurité dans les environnements classifiés selon les procédures de gestion des changements

• C – Contribuer à la réponse aux incidents de sécurité applicatifs en lien avec la CSSIP et la DIVEXP

• R – Tenir à jour le tableau de bord des vulnérabilités et des correctifs appliqués


Quatre niveaux : (1) notion, (2) application, (3) maîtrise, (4) expertise – alignés sur la norme NF EN 16234-1-FR (CIGREF 3.4 / 3.6)



Contraintes et difficultés

  • Conciliation vélocité DevSecOps et contraintes d’homologation ANSSI
  • Gestion des pipelines CI/CD en environnements isolés (air-gap) : pas d’accès aux dépôts publics Multiplicité des réglementations : IGI 1300, IGI 2100, II901, RGS, recommandations ANSSI Disponibilité limitée des composants qualifiés : contraintes sur les choix techniques
  • Réactivité exigée pour la gestion des vulnérabilités critiques
  • Nécessité d’habilitation de sécurité pour l’accès aux environnements classifiés



Conditions particulières d'exercice :

HABILITATION : Le poste nécessitant d'accéder à des informations relevant du secret de la défense nationale, la personne retenue fera l'objet d'une procédure d’habilitation, conformément aux dispositions des articles R.2311-1 et suivants du Code de la défense et de l’IGI 1300 SGDSN/PSE du 09 août 2021.


Savoir preuve de retenue sur le poste occupé notamment sur les réseaux sociaux.



Descriptif du profil recherché :

Formation : Bac+5 ingénieur (cybersécurité, informatique) ou équivalent

Expérience : 5 ans minimum en intégration applicative dont 2 ans en contexte DevSecOps ou SSI

Expertise technique exigée :

· Intégration applicative en environnements cloisonnés/classifiés [4]

· Pipelines CI/CD sécurisés : GitLab CI, Jenkins, Nexus, Artifactory [4]

· Outils SAST/SCA/DAST : SonarQube, Dependency-Check, OWASP ZAP [3]

· Composants qualifiés ANSSI (CSPN, Critères Communs) [3]

· IGI 1300, IGI 2100 (OTAN/UE), II901 (DR) [3]

· Conteneurisation en environnement classifié (Podman, Docker durci, Kubernetes isolé) [3]

· Tests de sécurité applicatifs (OWASP Top 10, pentests) [3]


Certifications souhaitées : CISA, OSCP, certifications ANSSI (SecNumAcadémie), DevSecOps Foun-dation.




Conditions de travail & AVANTAGES :

  • Lieux de travail : Hôtel national des Invalides (Paris 7ème arrondissement), 51, boulevard de La Tour Maubourg 75700 Paris 07 SP.
  • Type de contrat : Contrat à durée déterminée (CDD) de 3 ans renouvelable, affectation ou détachement pour les fonctionnaires.
  • Congés : RTT (17jours) + congés payés.
  • Transport : Prise en charge des frais de transport à hauteur de 75%.
  • Restauration : Restaurant collectif, cafétéria.


Informations supplémentaires :

  • En savoir + sur les services du Premier ministre :

https://www.gouvernement.fr/les-services-du-premier-ministre

  • En savoir + sur le Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN) : http://www.sgdsn.gouv.fr/
  • En savoir + sur l’OSIIC :

http://www.sgdsn.gouv.fr/le-sgdsn/fonctionnement/operateur-des-si-interministeriels-classifies/

Free. 20 seconds. No password. See every match in this search.

Create a free Caio profile to unlock more results and save your role and location preferences.

Unlock free search
Want help applying to roles like this? Search Caio for free. If CV tailoring and application tracking get heavy, Full Caio Agent adds a human specialist.
View Full Agent