Intégrateur d'Applications Devsecops - Environnements Classifiés H/F - Opérateur des systèmes d'information interministériels classifiés (OSIIC)

La division ingénierie numérique et innovation (DivIIN) assure le recueil et l'analyse des besoins des bénéficiaires des services de l'OSIIC, la conception de produits et de solutions répondant à ces besoins et aux enjeux de sécurité, et la conduite des projets de réalisation de ces solutions jusqu'à leur mise en service. Elle conçoit et met en oeuvre les évolutions majeures des services opérés par l'OSIIC, et définit les standards et politiques techniques permettant d'assurer la cohérence de ces services. Elle apporte son expertise technique à la division exploitation pour analyser et résoudre les incidents majeurs liés au fonctionnement de ces services.

Au sein de la Division Ingénierie et Innovation Numérique, le bureau applicatifs (BAP) est l'un des 3 bureaux d'expertise de la division. Sa mission est d'assurer la conception, le développement et l'intégration des applicatifs dont l'OSIIC a la charge. Il travaille en mode produit. Il assure également le support ITIL niveau 3

L'intégrateur d'applications DevSecOps assemble et qualifie les composants applicatifs dans des environnements classifiés (DR/Secret), en garantissant que la sécurité est intégrée à chaque étape du cycle d'intégration (security by design). Il/elle conçoit et opère les pipelines CI/CD adaptés aux contraintes de classification, coordonne les activités de qualification SSI avec la CSSIP et l'ANSSI, et assure la conformité des systèmes aux instructions réglementaires (IGI 1300/2100, II901).

Intégration en environnement classifié :

- R - Assembler et intégrer les composants applicatifs dans des environnements cloisonnés (DR, Secret, air-gap)
- R - Sélectionner et valider les composants conformes aux exigences ANSSI : qualifiés CSPN, Critères Communs, ou ayant fait l'objet d'une analyse de risques documentée
- R - Garantir le cloisonnement des flux inter-applications selon les niveaux de classification et les règles IGI 1300/2100/II901
- R - Concevoir et mettre en oeuvre les interfaces inter-domaines classifiés (passerelles, diodes, flux contrôlés)
- C - Contribuer aux dossiers d'homologation ANSSI : volet intégration, architecture assemblée, justification des choix techniques

DevSecOps et pipelines sécurisés :

- R - Concevoir et opérer des pipelines CI/CD adaptés aux environnements classifiés : isolation des environnements de build, signature des artefacts, contrôle d'intégrité
- R - Intégrer des contrôles de sécurité automatisés dans les pipelines : analyse statique (SAST), analyse de composition logicielle (SCA), scan de vulnérabilités
- R - Gérer les dépendances logicielles dans un contexte classifié : miroirs internes des dépôts, contrôle des versions, interdiction des composants non qualifiés
- C - Contribuer à la définition de la politique de durcissement des images et des conteneurs déployés
- R - Mettre en oeuvre les procédures de contrôle des changements pour maintenir l'intégrité du système en production classifiée

Tests de sécurité et qualification :

- R - Concevoir et exécuter les tests de sécurité applicatifs : tests d'intrusion, fuzzing, vérification des contrôles d'accès
- R - Organiser les campagnes de tests en environnement classifié (bacs à sable isolés, environnements de qualification)
- C - Participer aux audits PASSI et aux revues de sécurité avec la CSSIP et l'ANSSI
- R - Consigner les résultats, anomalies de sécurité et mesures correctives dans le dossier de sécurité du système
Maintien en condition de sécurité (MCS) :
- R - Assurer la veille sur les vulnérabilités affectant les composants intégrés (CERT-FR, NVD, bulletins ANSSI)
- R - Planifier et réaliser les mises à jour de sécurité dans les environnements classifiés selon les procédures de gestion des changements
- C - Contribuer à la réponse aux incidents de sécurité applicatifs en lien avec la CSSIP et la DIVEXP
- R - Tenir à jour le tableau de bord des vulnérabilités et des correctifs appliqués

Quatre niveaux : (1) notion, (2) application, (3) maîtrise, (4) expertise - alignés sur la norme NF EN 16234-1-FR (CIGREF 3.4 / 3.6)

Formation : Bac +5 ingénieur (cybersécurité, informatique) ou équivalent

Expérience : 5 ans minimum en intégration applicative dont 2 ans en contexte DevSecOps ou SSI

Expertise technique exigée :
· Intégration applicative en environnements cloisonnés/classifiés [4]

· Pipelines CI/CD sécurisés : GitLab CI, Jenkins, Nexus, Artifactory [4]

· Outils SAST/SCA/DAST : SonarQube, Dependency-Check, OWASP ZAP [3]

· Composants qualifiés ANSSI (CSPN, Critères Communs) [3]

· IGI 1300, IGI 2100 (OTAN/UE), II901 (DR) [3]

· Conteneurisation en environnement classifié (Podman, Docker durci, Kubernetes isolé) [3]

· Tests de sécurité applicatifs (OWASP Top 10, pentests) [3]

Certifications souhaitées : CISA, OSCP, certifications ANSSI (SecNumAcadémie), DevSecOps Foun-dation.