Architecte Sécurité Cloud Aws H/F
collectivite
- Montrouge - 92
- Freelance
- Télétravail partiel
- Bac +5
- Services aux Entreprises
- Exp. 5 ans min.
Les compétences pour ce job
- AWS
Détail du poste
Information importante
Type de contrat: Freelance
Taux journalier : Salaire selon profil
Localisation : 92120 Montrouge, France
Date de démarrage :
2 à 4 semaines
Mode de travail : Sur site
Publié le : 30 juin 2026
Le besoin
Contexte
Nous recherchons un Architecte Sécurité Cloud AWS pour piloter la sécurité de bout en bout d'une AWS Landing Zone. Ce profil est le pendant direct du Cloud Architect : il s'assure que chaque décision d'infrastructure respecte un principe de sécurité, de gouvernance et de conformité.
Missions
Concevoir et mettre en oeuvre la stratégie SCP par couches, avec des garde-fous adaptés aux environnements Root, Production et Sandbox, dans une logique policy-as-code via Terraform.
Architecturer le déploiement d'IAM Identity Center avec fédération au travers de SAML 2.0 / OIDC, gestion des permission sets, enforcement du MFA et politiques de durée de session.
Définir un modèle de zero standing privilege avec des workflows d'accès JIT, des permission boundaries et IRSA pour les workloads Kubernetes.
Concevoir la stratégie KMS / CMK, avec un CMK par compte et par catégorie de service, la rédaction des key policies et les contrôles d'accès inter-comptes.
Mettre en place le socle de détection avec :
GuardDuty
Security Hub agrégé, avec standards FSBP et CIS
Macie
Inspector v2
IAM Access Analyzer
Le tout piloté via Organizations.
Rédiger la configuration CloudTrail avec management events, data events, archivage immuable des logs via S3 Object Lock et politiques de rétention.
Concevoir des playbooks de réponse automatisée avec EventBridge, Lambda et des procédures de quarantaine de comptes.
Assurer le mapping des contrôles d'architecture avec les exigences :
DORA Art. 9
NIS2 Art. 21
NIST SP 800-207
attentes CSSF
Produire le dossier de preuves nécessaire aux audits et conduire les threat models sur la Landing Zone ainsi que sur chaque pattern de workload via STRIDE.
Outils & Environnement
AWS IAM & Identity : rôles, policies, permission boundaries, resource-based policies, trust relationships, IRSA, fédération OIDC.
IAM Identity Center : SSO via SAML/OIDC, permission sets, ABAC, MFA.
AWS SCP Design : condition keys, deny-list / allow-list, policies d'organisation.
AWS Security Services : GuardDuty, Security Hub, Macie, Inspector v2, Detective, IAM Access Analyzer, AWS Config.
AWS KMS : CMK, key policies, grants, encryption context, rotation, CloudHSM.
Zero Trust : application des 7 piliers du NIST SP 800-207 à AWS.
Threat Modeling : STRIDE, MITRE ATT&CK for Cloud.
Compliance : DORA, NIST CSF 2.0, CIS Controls v8, ISO 27001:2022, NIS2, CSSF.
Terraform / IaC Security : Checkov, OPA/Rego, tfsec, policy-as-code.
Incident Response Cloud : forensics CloudTrail, triage GuardDuty, VPC Flow Logs, Detective.
Conditions de travail
Mission basée 100% à Montrouge, sans télétravail possible.
Profil recherché
- 5 ans d'expérience en cloud security, principalement sur AWS
- Expérience concrète en authoring SCP, sécurité au niveau Organizations / delegated admin et sur GuardDuty / Security Hub
- Forte expertise en IAM
- Culture solide en incident response cloud
- Expérience dans des environnements réglementés, idéalement financiers
- Capacité à relire et écrire des policies complexes sans documentation de référence
- Capacité à dialoguer avec un CISO et à traduire les sujets techniques en langage risque
- Capacité à travailler en binôme avec un Cloud Architect
- Certifications requises : AWS Security, AWS Solutions Architect Professional
Infos complémentaires
La carte
4 Rue Edmond Champeaud
92120 Montrouge
Publiée le 30/06/2026 - Réf : 9e5510704e56837e22457f78fe7e54ed