Expert sénior DevSecOps

Croix Bleue du Québec•Montreal, QC

7d•Hybrid

About The Position

Relevant du Directeur principal exploitation TI, vous serez responsable de : Concevoir, implanter et maintenir les pipelines de sécurité automatisés : SAST, DAST, SCA, analyse de conteneurs, et scanning IaC. Intégrer les outils de sécurité dans les chaînes CI/CD existantes (BitBucket Pipelines, Azure DevOps) sans créer de friction excessive. Implanter et gérer un inventaire SBOM. Automatiser le scanning de vulnérabilités des images de conteneurs et des dépendances tierces. Définir et appliquer les politiques de sécurité « as code » : gates de qualité, seuils de vulnérabilité, conformité des configurations. Établir les guardrails de sécurité pour les agents IA utilisés dans le développement (GitHub Copilot, outils de code génératif). Collaborer avec les équipes de développement pour la remédiation rapide des vulnérabilités détectées en pipeline. Contribuer au durcissement des environnements Kubernetes et cloud (Azure). Documenter les standards de sécurité DevSecOps et former les équipes de développement. Participer aux analyses d’impact de sécurité pour les demandes de changement.

Requirements

Avoir un baccalauréat en informatique, génie logiciel, cybersécurité ou domaine connexe
Avoir cumulé un minimum de 3 à 5 ans d’expérience DevOps avec une forte composante sécurité, ou en sécurité applicative
Avoir une expérience concrète avec des pipelines CI/CD (BitBucket Pipelines, Jenkins, Azure DevOps, GitHub Actions)
Avoir une expérience pratique avec Kubernetes, Docker et les environnements cloud Azure
Avoir de l’expérience avec des outils de sécurité applicative : SonarQube, Snyk, Trivy, Checkov ou équivalents
Maîtriser l’infrastructure as code (Terraform, Ansible) et des pratiques GitOps
Avoir une connaissance approfondie des plateformes d’orchestration Kubernetes et de la sécurité des conteneurs
Maîtriser les langages Python, Bash, Go ou similaire pour l’automatisation
Avoir des connaissances des standards OWASP Top 10, CIS Benchmarks, NIST 800-53
Comprendre les concepts SBOM (CycloneDX, SPDX) et de la sécurité de la supply chain logicielle
Être capable de vulgariser les enjeux de sécurité auprès des équipes de développement
Maîtriser le français et l’anglais, tant à l’oral qu’à l’écrit. Un niveau de connaissance fonctionnel de l’anglais est nécessaire afin de participer à des projets collaboratifs destinés à une clientèle pancanadienne (ou mondiale)

Responsibilities

Concevoir, implanter et maintenir les pipelines de sécurité automatisés : SAST, DAST, SCA, analyse de conteneurs, et scanning IaC
Intégrer les outils de sécurité dans les chaînes CI/CD existantes (BitBucket Pipelines, Azure DevOps) sans créer de friction excessive
Implanter et gérer un inventaire SBOM
Automatiser le scanning de vulnérabilités des images de conteneurs et des dépendances tierces
Définir et appliquer les politiques de sécurité « as code » : gates de qualité, seuils de vulnérabilité, conformité des configurations
Établir les guardrails de sécurité pour les agents IA utilisés dans le développement (GitHub Copilot, outils de code génératif)
Collaborer avec les équipes de développement pour la remédiation rapide des vulnérabilités détectées en pipeline
Contribuer au durcissement des environnements Kubernetes et cloud (Azure)
Documenter les standards de sécurité DevSecOps et former les équipes de développement
Participer aux analyses d’impact de sécurité pour les demandes de changement

Benefits

Travail hybride adapté aux exigences du poste avec présences planifiées au bureau
Vacances dès la première année
Possibilité d’avancement à l’interne
Boni annuel
Régime d’assurance collective (soins dentaires, vue et assurance voyage)
Régime de retraite à prestations déterminées
Bien être des employés : compte mieux-être de 400 $, programme d’aide aux employés et à leurs familles et service de télémédecine

Stand Out From the Crowd

Upload your resume and get instant feedback on how well it matches this job.

Upload and Match Resume