Spécialiste Principal en Sécurité DevSecOps

Montreal, Quebec, Canada (Hybrid)

Relevant du Directeur principal exploitation TI, vous serez responsable de :

• Concevoir, implanter et maintenir les pipelines de sécurité automatisés : SAST, DAST, SCA, analyse de conteneurs, et scanning IaC
• Intégrer les outils de sécurité dans les chaînes CI/CD existantes (BitBucket Pipelines, Azure DevOps) sans créer de friction excessive
• Implanter et gérer un inventaire SBOM
• Automatiser le scanning de vulnérabilités des images de conteneurs et des dépendances tierces
• Définir et appliquer les politiques de sécurité « as code » : gates de qualité, seuils de vulnérabilité, conformité des configurations
• Établir les guardrails de sécurité pour les agents IA utilisés dans le développement (GitHub Copilot, outils de code génératif)
• Collaborer avec les équipes de développement pour la remédiation rapide des vulnérabilités détectées en pipeline
• Contribuer au durcissement des environnements Kubernetes et cloud (Azure)
• Documenter les standards de sécurité DevSecOps et former les équipes de développement
• Participer aux analyses d’impact de sécurité pour les demandes de changement

• Avoir un baccalauréat en informatique, génie logiciel, cybersécurité ou domaine connexe
• Avoir cumulé un minimum de 3 à 5 ans d’expérience DevOps avec une forte composante sécurité, ou en sécurité applicative
• Avoir une expérience concrète avec des pipelines CI/CD (BitBucket Pipelines, Jenkins, Azure DevOps, GitHub Actions)
• Avoir une expérience pratique avec Kubernetes, Docker et les environnements cloud Azure
• Avoir de l’expérience avec des outils de sécurité applicative : SonarQube, Snyk, Trivy, Checkov ou équivalents
• Maîtriser l’infrastructure as code (Terraform, Ansible) et des pratiques GitOps
• Avoir une connaissance approfondie des plateformes d’orchestration Kubernetes et de la sécurité des conteneurs
• Maîtriser les langages Python, Bash, Go ou similaire pour l’automatisation
• Avoir des connaissances des standards OWASP Top 10, CIS Benchmarks, NIST 800-53
• Comprendre les concepts SBOM (CycloneDX, SPDX) et de la sécurité de la supply chain logicielle
• Être capable de vulgariser les enjeux de sécurité auprès des équipes de développement
• Maîtriser le français et l’anglais, tant à l’oral qu’à l’écrit. Un niveau de connaissance fonctionnel de l’anglais est nécessaire afin de participer à des projets collaboratifs destinés à une clientèle pancanadienne (ou mondiale

• Travail hybride adapté aux exigences du poste avec présences planifiées au bureau
• Vacances dès la première année
• Possibilité d’avancement à l’interne
• Boni annuelRégime d’assurance collective (soins dentaires, vue et assurance voyage)
• Régime de retraite à prestations déterminées
• Bien être des employés : compte mieux-être de 400 $, programme d’aide aux employés et à leurs familles et service de télémédecine