Lead Gouvernance Devsecops H/F

Nexpublica

Rattaché au RSSI, vous prenez la responsabilité de la gouvernance globale de l'usine logicielle et jouez un rôle clé dans la maîtrise de la qualité, de la fiabilité et de la sécurité de nos produits. Vous structurez, pilotez et faites évoluer les processus, standards et outillages DevSecOps, en assurant leur alignement avec les référentiels de sécurité (OWASP, NIST, ISO) et les enjeux de conformité. Votre leadership technique et votre capacité à fédérer les équipes vous permettent d'ancrer durablement une culture d'ingénierie responsable et sécurisée.

Vos responsabilités clés
1. Gouvernance & Pilotage

Définir la stratégie de l'usine logicielle et en assurer la cohérence transverse (Dev, Ops, Sec, Cloud, Qualité).

Établir les standards, politiques et processus DevSecOps, et garantir leur application.

Piloter la conformité continue aux référentiels (ISO 27001/27002, NIST, OWASP).

Mettre en place les tableaux de bord de pilotage (qualité, sécurité, fiabilité, auditabilité).

Assurer la gestion des risques liés à la supply chain logicielle et aux pipelines CI/CD.

Conduire les arbitrages techniques et organisationnels nécessaires à la performance de l'usine logicielle.

2. Sécurité de la chaîne CI/CD & GitOps

Concevoir et maintenir des pipelines GitLab CI modulaires, rapides, observables et sécurisés.

Définir les stratégies GitOps multi-environnements (ArgoCD), incluant progressive delivery (canary, blue/green).

Encadrer le versioning produit et la gestion des branches.

Mettre en oeuvre SBOM, dependency checks, signatures d'artefacts et contrôles d'intégrité.

Garantir la conformité de la chaîne CI/CD aux référentiels sécurité.

3. Sécurité Applicative & Supply Chain

Intégrer et gouverner les scans SAST, SCA, DAST, IaC, container.

Définir les Quality/Security Gates (vulnérabilités, coverage, dette).

Superviser la production et l'exploitation des SBOM (CycloneDX/SPDX).

Prioriser la remédiation via une approche risque (CVSS + exploitability + reachability).

Piloter la gestion des secrets et KMS (Vault, External Secrets, Sealed Secrets).

Garantir la conformité continue du code et des dépendances (Shift Left Security).

4. Observabilité & Fiabilité

Définir les standards logs/métriques/traces (OpenTelemetry, Prometheus, Grafana, Loki/ELK).

Piloter les SLO/SLI, l'alerting et les mécanismes de fiabilité (burn rate).

Encadrer les tests de résilience (chaos engineering).

Mettre en place les tableaux de bord sécurité/fiabilité et les indicateurs ISO/SOC2.

5. Accompagnement, Leadership & Culture

Former, coacher et accompagner les équipes de développement sur les pratiques DevSecOps.

Porter la culture sécurité, conformité et excellence technique au sein de l'organisation.

Produire et maintenir la documentation stratégique et opérationnelle.

Fédérer les équipes autour d'une vision commune de l'ingénierie sécurisée.

6. Automatisation & Tooling

Développer et maintenir des templates GitLab CI réutilisables.

Automatiser signatures, SBOM, attestations et contrôles de sécurité.

Déployer des bots (merge automation, dependency updates, security notifications).

Automatiser la génération de preuves d'audit ISO 27001 / SOC2.

Profil
5+ ans d'expérience en DevOps / Platform / Security Engineering.

Solide expérience en développement logiciel (Java, Python, Go.) et compréhension du SDLC.

Maîtrise avancée GitLab CI/CD et Git.

Expertise Kubernetes (GKE apprécié).

Maîtrise Terraform.

Expérience cloud privé / on-prem.

Pratique GitOps (ArgoCD, canary, blue/green).

Maîtrise supply chain security (SBOM, signatures.).

Intégration SAST / SCA / DAST dans les pipelines.

Observabilité (OpenTelemetry, SLO/SLI) & pratiques SRE.

Connaissances cryptographie appliquée (TLS, certificats).

Solide culture sécurité opérationnelle (incidents, durcissement, secrets, conformité).

Connaissance OWASP, NIST, CIS Benchmarks.

Participation à un SM