Ingénieur Devsecops - Administrateur Kubernetes H/F - collectivite
- CDI
- collectivite
Les missions du poste
Information importante
Type de contrat: CDI
Salaire : 65 000 euros
Localisation : Paris, France
Date de démarrage :
2 à 4 semaines
Mode de travail : Hybride
Publié le : 3 juin 2026
Le besoin
FICHE DE POSTE
Ingénieur DevSecOps - Infrastructure Kubernetes & MCO
Environnement régulé · HDS · ISO 27001
Intitulé du poste
Ingénieur DevSecOps / Administrateur Kubernetes
Rattachement
Direction des Systèmes d'Information / Équipe Infrastructure
Localisation
France / Télétravail partiel
Expérience requise
5 ans minimum
Environnement
VMware Tanzu · GitLab · Vault · Commvault · SVM · HDS
1. Contexte du poste
Le titulaire du poste intègre une équipe infrastructure en charge du déploiement et du maintien en condition opérationnelle (MCO) d'une plateforme Kubernetes dédiée à l'hébergement de données sensibles, soumise aux exigences de certification HDS v2.0 et ISO 27001:2023.
La plateforme repose sur une architecture à double cluster Kubernetes isolés (périmètre HDS et NON-HDS) hébergeant une chaîne CI/CD complète : GitLab, SonarQube, Nexus Repository, HashiCorp Vault et des runners éphémères, avec une stratégie PRA Backup/Restore via Commvault et Object Store S3.
2. Missions principales
2.1 Mise en place de l'infrastructure
- Déploiement et configuration des clusters Kubernetes sur VMware Tanzu (vSphere Namespaces, TanzuKubernetesCluster)
- Mise en place des namespaces applicatifs selon le pattern core/data (gitlab, sonarqube, nexus, vault, runners)
- Configuration de FluxCD pour la gestion GitOps des clusters
- Déploiement de Harbor comme registry d'images conteneurs
- Mise en place des NetworkPolicy : isolation stricte egress entre périmètres HDS et NON-HDS
- Intégration Vault pour l'injection de secrets via vault-agent-injector (mTLS)
- Configuration du framework d'automatisation des opérations (justfile / JMP)
2.2 Sécurité et conformité HDS
- Application des exigences HDS v2.0 (EXI-01 à EXI-22) et ISO 27001:2023 sur l'infrastructure
- Mise en place de l'isolation HDS/NON-HDS au niveau K8s (NetworkPolicy, RBAC, namespaces dédiés)
- Configuration de la détection de secrets dans le code source (GitLeaks)
- Intégration SonarQube comme quality gate bloquant dans les pipelines CI/CD
- Gestion des certificats TLS et PKI (mTLS entre composants)
- Contribution à la rédaction et mise à jour des politiques de sécurité et du DAT
2.3 CI/CD et runners GitLab
- Configuration des runners GitLab éphémères (Batch/Job K8s) sur le cluster HDS
- Déploiement et configuration des runners NON-HDS (K8s executor)
- Maintien des pipelines CI/CD : intégration SonarQube, Nexus, SAST/DAST
- Configuration des groupes GitLab : isolation HDS/NON-HDS, RBAC, branches protégées
2.4 PRA et Backup
- Mise en place et supervision de la stratégie PRA Backup/Restore (Commvault + Object Store S3)
- Configuration des sauvegardes Commvault : schedule, chiffrement AES-256, rétention
- Gestion des volumes SVM : provisionnement PVC, snapshots, restauration
- Tests PRA périodiques et documentation des procédures de restauration (RTO/RPO définis)
2.5 MCO et exploitation
- Surveillance de l'infrastructure : monitoring, alerting (Splunk / Prometheus / Grafana)
- Gestion des mises à jour Kubernetes (TKR upgrades sur VMware Tanzu)
- Gestion des incidents et astreintes liées à l'infrastructure
- Mise à jour des composants : GitLab, SonarQube, Nexus, Vault, runners
- Gestion de la capacité et optimisation des ressources (CPU, RAM, SVM)
- Rédaction et mise à jour des runbooks et procédures d'exploitation
3. Compétences requises
3.1 Compétences techniques indispensables
Domaine
Technologies / Outils
Orchestration Kubernetes
VMware Tanzu · kubectl · Helm · FluxCD · GitOps
CI/CD & DevSecOps
GitLab CI/CD · GitLab Runner · SonarQube · Nexus Repository · GitLeaks
Gestion des secrets
HashiCorp Vault · vault-agent-injector · mTLS · PKI
Infrastructure VMware
vSphere · NSX-T · vDS · Tanzu Kubernetes Grid (TKG)
Stockage
NetApp SVM · iSCSI/NFS · PVC K8s · Commvault
Sécurité K8s
NetworkPolicy · RBAC · PodSecurityAdmission · TLS
Scripting & Automatisation
Bash · Python · justfile (JMP) · YAML · Ansible
Observabilité
Splunk · Prometheus · Grafana · journalisation centralisée
PRA/PCA
Commvault · S3 · stratégie Backup/Restore
3.2 Compétences normatives
- Certification HDS v2.0 (ANS 2024) - connaissance des 22 exigences EXI-01 à EXI-22
- ISO 27001:2023 - maîtrise des contrôles Annexe A applicables à l'infrastructure
- RGPD - sensibilisation à la protection des données sensibles
- Connaissance des Activités HDS R.1111-9 (Activité 5 - admin SI · Activité 6 - backup externalisé)
Profil recherché
3. Compétences requises
3.1 Compétences techniques indispensables
Domaine
Technologies / Outils
Orchestration Kubernetes
VMware Tanzu · kubectl · Helm · FluxCD · GitOps
CI/CD & DevSecOps
GitLab CI/CD · GitLab Runner · SonarQube · Nexus Repository · GitLeaks
Gestion des secrets
HashiCorp Vault · vault-agent-injector · mTLS · PKI
Infrastructure VMware
vSphere · NSX-T · vDS · Tanzu Kubernetes Grid (TKG)
Stockage
NetApp SVM · iSCSI/NFS · PVC K8s · Commvault
Sécurité K8s
NetworkPolicy · RBAC · PodSecurityAdmission · TLS
Scripting & Automatisation
Bash · Python · justfile (JMP) · YAML · Ansible
Observabilité
Splunk · Prometheus · Grafana · journalisation centralisée
PRA/PCA
Commvault · S3 · stratégie Backup/Restore
3.2 Compétences normatives
- Certification HDS v2.0 (ANS 2024) - connaissance des 22 exigences EXI-01 à EXI-22
- ISO 27001:2023 - maîtrise des contrôles Annexe A applicables à l'infrastructure
- RGPD - sensibilisation à la protection des données sensibles
- Connaissance des Activités HDS R.1111-9 (Activité 5 - admin SI · Activité 6 - backup externalisé)
Compétences requises
- Bash
- RGPD
- VMWare
- YAML
- Python
- JMP
- Elaboration d'un plan de reprise d'activité
- NFS
- Kubernetes
- TLS
- ISO 27001
- Git
- Ansible
- Sauvegarde des données
- Grafana
- Isolation
- Nexus
- SonarQube
- Prometheus