Intégrateur d'applications DevSecOps – environnements classifiés H/F
Référence : 2026-2300055
- Fonction publique : Fonction publique de l'État
-
Employeur :
Opérateur des systèmes d'information interministériels classifiés (OSIIC)
Placé au cœur de l'exécutif, le SGDSN assiste le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale. - Localisation : Hôtel national des Invalides (Paris 7ème arrondissement)
Partager la page
Veuillez pour partager sur Facebook, Twitter et LinkedIn.
- Nature de l’emploi Emploi ouvert aux titulaires et aux contractuels
- Expérience souhaitée Confirmé
-
Rémunération Fourchette indicative pour les contractuels Non renseignée Fourchette indicative pour les fonctionnaires Non renseignée
- Catégorie Catégorie A (cadre)
- Management Non
- Télétravail possible Oui
Vos missions en quelques mots
Intégration en environnement classifié :
• R – Assembler et intégrer les composants applicatifs dans des environnements cloisonnés (DR, Secret, air-gap)
• R – Sélectionner et valider les composants conformes aux exigences ANSSI : qualifiés CSPN, Critères Communs, ou ayant fait l’objet d’une analyse de risques documentée
• R – Garantir le cloisonnement des flux inter-applications selon les niveaux de classification et les règles IGI 1300/2100/II901
• R – Concevoir et mettre en œuvre les interfaces inter-domaines classifiés (passerelles, diodes, flux contrôlés)
• C – Contribuer aux dossiers d’homologation ANSSI : volet intégration, architecture assemblée, justification des choix techniques
DevSecOps et pipelines sécurisés :
• R – Concevoir et opérer des pipelines CI/CD adaptés aux environnements classifiés : isolation des environnements de build, signature des artefacts, contrôle d’intégrité
• R – Intégrer des contrôles de sécurité automatisés dans les pipelines : analyse statique (SAST), analyse de composition logicielle (SCA), scan de vulnérabilités
• R – Gérer les dépendances logicielles dans un contexte classifié : miroirs internes des dépôts, contrôle des versions, interdiction des composants non qualifiés
• C – Contribuer à la définition de la politique de durcissement des images et des conteneurs déployés
• R – Mettre en œuvre les procédures de contrôle des changements pour maintenir l’intégrité du système en production classifiée
Tests de sécurité et qualification :
• R – Concevoir et exécuter les tests de sécurité applicatifs : tests d’intrusion, fuzzing, vérification des contrôles d’accès
• R – Organiser les campagnes de tests en environnement classifié (bacs à sable isolés, environnements de qualification)
• C – Participer aux audits PASSI et aux revues de sécurité avec la CSSIP et l’ANSSI
• R – Consigner les résultats, anomalies de sécurité et mesures correctives dans le dossier de sécurité du système
Maintien en condition de sécurité (MCS) :
• R – Assurer la veille sur les vulnérabilités affectant les composants intégrés (CERT-FR, NVD, bulletins ANSSI)
• R – Planifier et réaliser les mises à jour de sécurité dans les environnements classifiés selon les procédures de gestion des changements
• C – Contribuer à la réponse aux incidents de sécurité applicatifs en lien avec la CSSIP et la DIVEXP
• R – Tenir à jour le tableau de bord des vulnérabilités et des correctifs appliqués
Quatre niveaux : (1) notion, (2) application, (3) maîtrise, (4) expertise – alignés sur la norme NF EN 16234-1-FR (CIGREF 3.4 / 3.6)
Profil recherché
Formation : Bac+5 ingénieur (cybersécurité, informatique) ou équivalent
Expérience : 5 ans minimum en intégration applicative dont 2 ans en contexte DevSecOps ou SSI
Expertise technique exigée :
· Intégration applicative en environnements cloisonnés/classifiés [4]
· Pipelines CI/CD sécurisés : GitLab CI, Jenkins, Nexus, Artifactory [4]
· Outils SAST/SCA/DAST : SonarQube, Dependency-Check, OWASP ZAP [3]
· Composants qualifiés ANSSI (CSPN, Critères Communs) [3]
· IGI 1300, IGI 2100 (OTAN/UE), II901 (DR) [3]
· Conteneurisation en environnement classifié (Podman, Docker durci, Kubernetes isolé) [3]
· Tests de sécurité applicatifs (OWASP Top 10, pentests) [3]
Certifications souhaitées : CISA, OSCP, certifications ANSSI (SecNumAcadémie), DevSecOps Foun-dation.
Niveau d'études minimum requis
- Niveau Niveau 7 Master/diplômes équivalents
Compétences attendues
Connaissances
• Intégration en environnement
Classifié [4]
• IGI 1300/2100 (OTAN/UE), II901 (DR) [3]
• Pipelines CI/CD sécurisés (GitLab, Nexus) [4]
• SAST/SCA/DAST (SonarQube, OWASP) [3]
• Composants qualifiés ANSSI [3]
• Tests sécurité applicatifs (OWASP Top 10) [3]
• B.4. Déploiement classifié [3]
• MCS – veille vulnérabilités (CERT-FR) [3]
• Conteneurisation durcissée (Docker, K8s) [3]
• E.3. Gestion des risques SSI [3]
• B.5. Documentation classifiée [2]
• Réponse à incident applicatif [2]
Savoir-faire
Assembler composants en contexte Air-gap [4]
Garantir conformité réglementaire des intégrations [4]
Concevoir pipelines CI/CD isolés classifiés [4]
Intégrer contrôle sécu automatisée aux pipelines [4]
Valider conformité composants intégrés [4]
Conduire campagnes tests sécu en env. classifié [3]
Déployer en environnements cloisonnés [4]
Piloter correctifs sécurité en production classifiée [4]
Configurer conteneurs conformes aux politiques SSI [3]
Identifier et mitiger risques sécurité intégration [4]
Rédiger docs techniques conformes IGI 1300 [3]
Contribuer réponse incidents sécu en lien CSSIP [3]
Savoir-être
Sens des responsabilités [4] Rigueur opérationnelle [4]
Anticipation [4]
Conformité réglementaire [4]
Sang-froid opérationnel [4]
Fiabilité critique [4]
Réactivité [4]
Adaptabilité [3]
Esprit d'analyse [4] Esprit d'équipe [4]
Quatre niveaux : (1) notion, (2) application, (3) maîtrise, (4) expertise – alignés sur la
Localisation
Éléments de candidature
Documents à transmettre
Qui sommes-nous ?
L’Opérateur des systèmes d’information interministériels classifiés (OSIIC) a été créé par décret le 1er juillet 2020. L’OSIIC est un service à compétence nationale, issu du rapprochement du Centre de transmissions gouvernemental (CTG) et de la sous-direction du numérique (SDN) de l’ANSSI.
Assurant les communications des plus hautes autorités de l’État, ainsi que les échanges numériques classifiés interministériels, la mission de l’OSIIC est de répondre à deux enjeux stratégiques :
- Développer et mettre en œuvre les moyens de communication sécurisés
- Développer les systèmes d’information classifiés pour l’interministériel
L’opérateur assure ainsi un service concourant à la continuité de l’État et à l’action gouvernementale dont les missions sont définies par le décret n°2020-455 du 21 avril 2020.
Il assure également la fonction de direction des systèmes d’information pour l’ensemble des entités composant le secrétariat général de la défense et de la sécurité nationale (SGDSN).
Descriptif du service
La division ingénierie numérique et innovation (DivIIN) assure le recueil et l'analyse des besoins des bénéficiaires des services de l'OSIIC, la conception de produits et de solutions répondant à ces besoins et aux enjeux de sécurité, et la conduite des projets de réalisation de ces solutions jusqu'à leur mise en service. Elle conçoit et met en œuvre les évolutions majeures des services opérés par l'OSIIC, et définit les standards et politiques techniques permettant d'assurer la cohérence de ces services. Elle apporte son expertise technique à la division exploitation pour analyser et résoudre les incidents majeurs liés au fonctionnement de ces services.
Au sein de la Division Ingénierie et Innovation Numérique, le bureau applicatifs (BAP) est l’un des 3 bureaux d’expertise de la division. Sa mission est d’assurer la conception, le développement et l’intégration des applicatifs dont l’OSIIC a la charge. Il travaille en mode produit. Il assure également le support ITIL niveau 3
L’intégrateur d’applications DevSecOps assemble et qualifie les composants applicatifs dans des environnements classifiés (DR/Secret), en garantissant que la sécurité est intégrée à chaque étape du cycle d’intégration (security by design). Il/elle conçoit et opère les pipelines CI/CD adaptés aux contraintes de classification, coordonne les activités de qualification SSI avec la CSSIP et l’ANSSI, et assure la conformité des systèmes aux instructions réglementaires (IGI 1300/2100, II901).
À propos de l'offre
-
Contraintes et difficultés
- Conciliation vélocité DevSecOps et contraintes d’homologation ANSSI
- Gestion des pipelines CI/CD en environnements isolés (air-gap) : pas d’accès aux dépôts publics Multiplicité des réglementations : IGI 1300, IGI 2100, II901, RGS, recommandations ANSSI Disponibilité limitée des composants qualifiés : contraintes sur les choix techniques
- Réactivité exigée pour la gestion des vulnérabilités critiques
- Nécessité d’habilitation de sécurité pour l’accès aux environnements classifiés
Obtention de l’habilitation : le titulaire fera l’objet d’une procédure d’habilitation, conformément aux dispositions des articles R.2311-1 et suivants du Code de la défense et de l’IGI 1300 SGDSN/PSE du 9 août 2021.
Savoir faire preuve de retenue sur le poste occupé notamment sur les réseaux sociaux.
-
emploi ouvert aux fonctionnaires et/contractuels : contrat de droit public (un à trois ans) en vertu des articles 4/6/6 quater/6 quinquies de la loi n°84-16, renouvelable à l'issue de la période initiale
-
Vacant à partir du 04/06/2026
-
Intégratrice / Intégrateur logiciel
