Contexte et objectifs

• Concevoir et implémenter un pipeline de sécurité automatisé intégré au flux CI/CD en adoptant la posture « shift-left » pour détecter les vulnérabilités dès les premières phases du développement.
• Intégrer et orchestrer plusieurs types d’analyses : SAST (analyse statique), DAST (analyse dynamique), SCA (vérification des dépendances), analyse des images de conteneurs et analyse de la sécurité des IaC.
• Mettre en œuvre la policy-as-code pour valider automatiquement les configurations de sécurité et empêcher les violations de politique avant le déploiement.

Responsabilités et tâches techniques

• Intégration d’outils d’analyse SAST/DAST/SCA et de scanners d’images (exemples : SonarQube, OWASP ZAP/Burp, Trivy/Clair, Snyk ou équivalents) dans des pipelines CI (GitLab CI, GitHub Actions, Jenkins, etc.).
• Automatisation des contrôles de sécurité à chaque étape du pipeline : build, test, image scanning, release; mise en place de gates/policies pour bloquer les artefacts non conformes.
• Implémentation de policy-as-code (ex : Open Policy Agent) pour la validation des configurations, de règles IaC (Terraform, CloudFormation) et des règles de déploiement.

Surveillance continue et reporting

• Développement d’un tableau de bord centralisé affichant vulnérabilités en temps réel, indicateurs de posture (MTTR, nombre de vulnérabilités par sévérité), état de conformité (OWASP Top 10, CIS Benchmarks).
• Intégration avec les systèmes de ticketing (ex : Jira) pour le suivi et l’automatisation de la prise en charge des incidents de sécurité et le suivi des corrections.
• Mise en place d’alerting et de pipelines de remédiation (workflows automatiques ou semi-automatiques) et suivi de la traçabilité des corrections.

Gestion des secrets et sécurité des artefacts

• Détection et gestion automatisée des secrets (scanners de secrets, gestion des rotations) pour prévenir les fuites d’identifiants et assurer une gestion sécurisée des informations sensibles.
• Durcissement du stockage des artefacts et contrôle d’accès aux registres de conteneurs et aux dépôts (scanning des images, signatures, politiques d’admission).

Livrables attendus

• Pipeline CI/CD sécurisé et automatisé intégrant SAST, DAST, SCA, scanning d’images et vérification IaC.
• Policy-as-code opérationnelle avec règles documentées et intégrées au pipeline.
• Tableau de bord de sécurité centralisé avec rapports conformes à OWASP Top 10 et CIS Benchmarks, intégration ticketing et playbooks de remédiation.
• Documentation technique et guide d’intégration pour les équipes de développement et d’exploitation.

Compétences et technologies recommandées

• Connaissances en sécurité applicative (AppSec), DevOps et outils CI/CD (GitLab CI, Jenkins, GitHub Actions).
• Expérience avec des outils SAST/DAST/SCA, scanners d’images de conteneurs et outils d’analyse IaC ; familiarité avec Open Policy Agent (OPA) et policy-as-code.
• Maîtrise des concepts cloud/containerisation (Docker, Kubernetes), scripting (Bash, Python) et intégration avec systèmes de ticketing (Jira) et solutions d’alerting.

Candidature

• Pour postuler, envoyer votre CV et une lettre de motivation à stages@sfmtechnologies.com en utilisant pour objet : "Candidature SUJET 12 – Pipeline de sécurité automatisé avec surveillance continue de la conformité pour les environnements CI/CD".