Architecte Devsecops Hds Kubernetes H/F

collectivite

Information importante

Type de contrat: CDI

Salaire : Salaire selon profil

Localisation : Paris, France

Date de démarrage :

Urgent

Mode de travail : Hybride

Publié le : 22 juin 2026

Le besoin

FICHE DE POSTE

Architecte DevSecOps HDS Kubernetes - Infrastructure & MCO

Environnement régulé · HDS v2.0 · ISO 27001:2023

Intitulé du poste

Architecte DevSecOps HDS / Référent Infrastructure Kubernetes

Rattachement

Direction des Systèmes d'Information / Équipe Infrastructure

Localisation

France / Télétravail partiel

Expérience requise

7 ans minimum

Environnement technique

VMware Tanzu · GitLab · HashiCorp Vault · Commvault · NetApp (SVM/Trident) · HDS

Les indispensables :

• Isolation HDS/NON-HDS : Maîtrise stricte des NetworkPolicies, NSX-T, RBAC, et de la segmentation par Namespaces.

• PRA / RTO-RPO : Conception et validation de stratégies de continuité d'activité, maîtrise de Commvault et des architectures de sauvegarde/restauration.

• Livrables HDS & Architecture : Capacité à rédiger une documentation technique exigeante (Dossier d'Architecture Technique - DAT, runbooks, politiques de sécurité).

• Excellente communication en français (écrit et oral).

• Profil expert DevSecOps & Kubernetes obligatoire.

• Maîtrise des environnements de virtualisation (VMware vSphere).

1. Contexte du poste

Le titulaire du poste intègre une équipe infrastructure en charge de la conception, du déploiement et du maintien en condition opérationnelle (MCO) d'une plateforme Kubernetes dédiée à l'hébergement de données de santé sensibles. Cette plateforme est soumise aux exigences strictes de la certification HDS v2.0 et de la norme ISO 27001:2023.

L'architecture repose sur un modèle à double cluster Kubernetes isolés (périmètre HDS et NON-HDS) hébergeant une chaîne CI/CD complète : GitLab, SonarQube, Nexus Repository, HashiCorp Vault et des runners éphémères. La stratégie de résilience s'appuie sur un plan de reprise d'activité (PRA) basé sur une solution Backup/Restore via Commvault et Object Store S3.

2. Missions principales

2.1 Architecture et déploiement de l'infrastructure

• Piloter le déploiement et la configuration des clusters Kubernetes sur l'écosystème VMware Tanzu (vSphere Namespaces, Tanzu Kubernetes Grid).

• Définir et implémenter la structure des namespaces applicatifs selon le pattern core/data (GitLab, SonarQube, Nexus, Vault, runners).

• Standardiser la gestion GitOps des clusters via FluxCD.

• Déployer et durcir la registry d'images conteneurs Harbor.

• Configurer les NetworkPolicies pour garantir une isolation Egress/Ingress étanche entre les périmètres HDS et NON-HDS.

• Intégrer HashiCorp Vault pour l'injection sécurisée de secrets via vault-agent-injector (mTLS).

• Concevoir et maintenir le framework d'automatisation des opérations (justfile, Ansible, scripts).

2.2 Sécurité et conformité HDS / ISO 27001

• Garantir l'application opérationnelle des exigences HDS v2.0 (points EXI-01 à EXI-22) et ISO 27001:2023 sur tout le périmètre Kubernetes.

• Assurer l'étanchéité HDS/NON-HDS au niveau cluster, réseau (NSX-T) et applicatif (RBAC, ségrégation des accès).

• Automatiser la détection de secrets dans les dépôts de code (GitLeaks).

• Configurer SonarQube en tant que Quality Gate bloquant au sein des pipelines CI/CD.

• Gérer le cycle de vie des certificats TLS et de la PKI (généralisation du mTLS).

• Rédiger et mettre à jour les livrables de conformité : Dossier d'Architecture Technique (DAT), analyses de risques et politiques de sécurité.

2.3 Ingénierie CI/CD et environnements GitLab

• Configurer et optimiser les runners GitLab éphémères (mode Batch/Job K8s) au sein du cluster HDS.

• Déployer les runners dédiés au périmètre NON-HDS (Kubernetes executor).

• Maintenir et faire évoluer les pipelines CI/CD d'entreprise (intégration SonarQube, Nexus, modules SAST/DAST).

• Structurer l'organisation des groupes GitLab (isolation, RBAC, branches protégées).

2.4 Résilience et stratégie de sauvegarde (PRA)

• Définir, implémenter et superviser la stratégie globale de PRA Backup/Restore (Commvault + Object Store S3).

• Configurer les politiques de sauvegarde Commvault : planification, chiffrement AES-256, gestion de la rétention.

• Piloter le stockage persistant NetApp (SVM) : provisionnement des PVC via le driver CSI (Trident), gestion des snapshots et cycles de restauration.

• Organiser les tests de PRA périodiques et valider le respect des objectifs de RTO/RPO.

2.5 MCO, observabilité et amélioration continue

• Superviseur l'état de santé de la plateforme : définition des métriques, alertes et tableaux de bord (Splunk, Prometheus, Grafana).

• Planifier et exécuter les montées de version de Kubernetes (TKR upgrades sur VMware Tanzu) et des outils tiers (GitLab, Vault, etc.).

• Participer activement à la gestion des incidents complexes et assurer le support de niveau 3 (participation aux astreintes infrastructure).

• Assurer la gestion de la capacité (Capacity Planning) et optimiser la consommation des ressources (CPU, RAM, Stockage NetApp).

• Rédiger et maintenir à jour les runbooks et procédures d'exploitation pour l'équipe.

3. Compétences requises

3.1 Compétences techniques indispensables

Domaine

Technologies / Outils

Orchestration K8s

VMware Tanzu (TKG), kubectl, Helm, FluxCD, GitOps

CI/CD & DevSecOps

GitLab CI/CD, GitLab Runner, SonarQube, Nexus, GitLeaks, SAST/DAST

Gestion des secrets

HashiCorp Vault, vault-agent-injector, mTLS, PKI

Infra VMware

vSphere, NSX-T, vDS, Tanzu Kubernetes Grid

Stockage & Persistance

NetApp (SVM, driver CSI Trident), iSCSI/NFS, PVC Kubernetes

Sécurité K8s

NetworkPolicy, RBAC, PodSecurityAdmission, TLS, durcissement CIS

Automatisation

Bash, Python, Ansible, justfile, YAML

Observabilité

Splunk, Prometheus, Grafana, centralisation des logs

Continuité d'activité

Commvault, Object Store S3, stratégies de réplication et sauvegarde

3.2 Compétences réglementaires et normatives

• Certification HDS v2.0 (Référentiel ANS) : Maîtrise des 22 exigences spécifiques (EXI-01 à EXI-22).

• ISO 27001:2023 : Maîtrise des mesures de sécurité de l'Annexe A applicables aux infrastructures cloud et réseaux.

• RGPD : Sensibilisation stricte aux principes de protection des données dès la conception (Privacy by Design).

• Connaissance des Activités HDS : Focus spécifique sur l'Activité 5 (Administration et exploitation du système d'information) et l'Activité 6 (Sauvegarde des données de santé).

Profil recherché

Architecte DevSecOps HDS Kubernetes - Infrastructure & MCO

Technologies / Outils

Orchestration K8s

VMware Tanzu (TKG), kubectl, Helm, FluxCD, GitOps

CI/CD & DevSecOps

GitLab CI/CD, GitLab Runner, SonarQube, Nexus, GitLeaks, SAST/DAST

Gestion des secrets

HashiCorp Vault, vault-agent-injector, mTLS, PKI

Infra VMware

vSphere, NSX-T, vDS, Tanzu Kubernetes Grid

Stockage & Persistance

NetApp (SVM, driver CSI Trident), iSCSI/NFS, PVC Kubernetes

Sécurité K8s

NetworkPolicy, RBAC, PodSecurityAdmission, TLS, durcissement CIS

Automatisation

Bash, Python, Ansible, justfile, YAML

Observabilité

Splunk, Prometheus, Grafana, centralisation des logs

Continuité d'activité

Commvault, Object Store S3, stratégies de réplication et sauvegarde

3.2 Compétences réglementaires et normatives

• Certification HDS v2.0 (Référentiel ANS) : Maîtrise des 22 exigences spécifiques (EXI-01 à EXI-22).

• ISO 27001:2023 : Maîtrise des mesures de sécurité de l'Annexe A applicables aux infrastructures cloud et réseaux.

• RGPD : Sensibilisation stricte aux principes de protection des données dès la conception (Privacy by Design).

• Connaissance des Activités HDS : Focus spécifique sur l'Activité 5 (Administration et exploitation du système d'information) et l'Activité 6 (Sauvegarde des données de santé).