Fiche de poste : Ops Sécurité et intégration continue
1. Contexte et finalité du poste
Edu-Kit est une plateforme de virtualisation à vocation pédagogique destinée aux établissements d’enseignement supérieur et technique. Le poste s’intègre au pôle Ops (4 personnes au total) et porte trois périmètres complémentaires : la sécurité applicative et système (authentification, autorisation, détection d’intrusion), l’intégration continue applicative (pipelines K3S et déploiements continus via ArgoCD), et l’automatisation des déploiements.
La finalité du poste est de garantir la confidentialité, l’intégrité et la disponibilité de la plateforme et des accès, tout en assurant la fluidité du flux de livraison entre le code et les environnements d’exécution.
Le titulaire travaille en polyvalence avec les trois autres Ops (Plateforme et IaC, Architecte Réseau, Plateforme et supervision), au sein d’une équipe agile fonctionnant en sprints Scrum de 3 semaines.
2. Missions principales
- Concevoir, déployer et maintenir le système d’authentification et d’autorisation centralisé (Keycloak) : SSO, fédération d’identité, contrôle d’accès basé sur les rôles (RBAC).
- Opérer Wazuh comme outil de détection d’intrusion (règles, tri des alertes, réponse à incident). Le déploiement industrialisé des agents Wazuh est porté par l’Ops Plateforme et IaC via Ansible.
- Mettre en place et opérer le cluster d’intégration continue Kubernetes basé sur K3S pour les workloads applicatifs.
- Concevoir et opérer les pipelines de déploiement continu via ArgoCD (approche GitOps) pour les environnements d’intégration, de recette et de production.
- Conduire les actions de durcissement Linux sur les machines virtuelles et les nœuds du cluster.
3. Responsabilités détaillées
- Responsable final de la stratégie d’authentification et d’autorisation (Keycloak) et de la détection d’intrusion (Wazuh : règles, tri des alertes, réponse à incident).
- Responsable final des pipelines CI/CD applicatifs (K3S, ArgoCD) et de l’automatisation des déploiements.
- Co-responsable, avec le développeur back et l’Ops Plateforme et IaC, des choix de conception ayant un impact sécurité ou continuité de livraison.
- Contributeur sur les revues d’architecture : tout choix structurant fait l’objet d’une lecture sécurité.
- Garant de la conformité réglementaire (RGPD, recommandations CNIL) sur les traitements de données utilisateur.
4. Compétences techniques requises
| Compétence | Niveau attendu |
|---|---|
| Keycloak (SSO, RBAC, fédération, brokers d’identité) | Avancé |
| Wazuh (règles, tri des alertes, réponse à incident système) | Confirmé |
| K3S et Kubernetes (cluster léger, opération, intégration) | Avancé |
| ArgoCD et approche GitOps (manifestes, synchronisation, retour arrière) | Avancé |
| Pipelines Azure DevOps (CI applicatif) | Confirmé |
| Durcissement Linux (CIS Benchmarks, gestion fine des droits) | Confirmé |
| Cryptographie appliquée (TLS, chiffrement au repos, gestion de PKI) | Confirmé |
| RGPD et réglementations sur les données personnelles | Confirmé |
5. Compétences non techniques attendues
- Capacité à vulgariser les sujets de sécurité et de CI/CD auprès des autres membres de l’équipe.
- Posture de collaboration constructive : la sécurité doit être un facilitateur, pas un frein. Le titulaire sait proposer des solutions plutôt que d’interdire.
- Capacité d’alerte : savoir remonter une vulnérabilité ou un mauvais usage avec la bonne urgence et au bon niveau.
- Rigueur dans la documentation : tout dispositif sécurité ou pipeline est documenté, versionné, auditable.
- Communication écrite et orale en français et en anglais (équivalent niveau B2).
6. Livrables types
- Architecture d’authentification documentée (Keycloak : royaumes, clients, rôles, fédération).
- Configurations Keycloak versionnées dans le repo, déployables de façon reproductible.
- Manifestes ArgoCD et configurations K3S versionnés, déployables en GitOps.
- Procédures d’exploitation pour les gestes récurrents (ajout de rôle, révocation d’accès, déploiement d’une nouvelle version, retour arrière).
- Rapports de durcissement Linux conformes à un référentiel reconnu (CIS Benchmarks).
7. Indicateurs de réussite
| Indicateur | Cible |
|---|---|
| Couverture du référentiel CIS Benchmarks sur les machines de production | ≥ 80 % des recommandations niveau 1 |
| Délai moyen de réponse à une vulnérabilité critique (CVSS ≥ 9) | < 5 jours ouvrés |
| Temps moyen de déploiement du code en intégration | < 30 minutes |
| Taux de réussite des déploiements via ArgoCD | ≥ 95 % |
| Taux d’adoption du SSO sur l’ensemble des services internes | 100 % |
8. Interactions principales
- Développeur back et architecte : intégration Keycloak côté API, conception des flux d’authentification, contrats de déploiement (manifestes, pipelines).
- Ops Plateforme et IaC : intégration des manifestes ArgoCD avec l’IaC, gestion partagée des secrets via Vaultwarden, partage des signaux Wazuh.
- Ops Architecte Réseau et accès distants : segmentation réseau, intégration des règles de pare-feu avec les flux applicatifs.
- Ops Plateforme et supervision : intégration des signaux de sécurité applicative dans l’observabilité globale, alertes croisées.
- Référents pédagogiques DIIAGE : compréhension des contraintes pédagogiques susceptibles d’impacter la sécurité (publics jeunes, données scolaires).
- Product Owner du sprint : arbitrages sécurité versus rapidité de livraison.