Architecte Sécurité AWS
Ref : 260630M003-
Date de débutASAP
-
Localisation
92120 MONTROUGE
-
Durée36 mois
-
Profil
Consultant cybersécurité, Consultant Cloud, Architecte solution
/!\ Mission basée 100% à Montrouge sans télétravail possible /!\
Architecte Sécurité Cloud AWS
Nous recherchons un Architecte Sécurité Cloud AWS pour piloter la sécurité de bout en bout d’une AWS Landing Zone.
Ce profil est le pendant direct du Cloud Architect : il s’assure que chaque décision d’infrastructure respecte un principe de sécurité, de gouvernance et de conformité.
Mission :
- Concevoir et mettre en œuvre la stratégie SCP par couches, avec des garde-fous adaptés aux environnements Root, Production et Sandbox, dans une logique policy-as-code via Terraform.
- Architecturer le déploiement d’IAM Identity Center avec fédération au travers de SAML 2.0 / OIDC, gestion des permission sets, enforcement du MFA et politiques de durée de session.
- Définir un modèle de zero standing privilege avec des workflows d’accès JIT, des permission boundaries et IRSA pour les workloads Kubernetes.
- Concevoir la stratégie KMS / CMK, avec un CMK par compte et par catégorie de service, la rédaction des key policies et les contrôles d’accès inter-comptes.
Mettre en place le socle de détection avec :
- GuardDuty
- Security Hub agrégé, avec standards FSBP et CIS
- Macie
- Inspector v2
- IAM Access Analyzer
- Le tout piloté via Organizations.
Sécurité et conformité :
- Rédiger la configuration CloudTrail avec management events, data events, archivage immuable des logs via S3 Object Lock et politiques de rétention.
- Concevoir des playbooks de réponse automatisée avec EventBridge, Lambda et des procédures de quarantaine de comptes.
Assurer le mapping des contrôles d’architecture avec les exigences :
- DORA Art. 9
- NIS2 Art. 21
- NIST SP 800-207
- attentes CSSF
Produire le dossier de preuves nécessaire aux audits et conduire les threat models sur la Landing Zone ainsi que sur chaque pattern de workload via STRIDE.
Profil recherché :
Nous recherchons un profil avec au moins 5 ans d’expérience en cloud security, sur AWS comme plateforme principale.
Une expérience concrète en authoring SCP, en sécurité au niveau Organizations / delegated admin et sur GuardDuty / Security Hub est attendue.
Le poste requiert également :
- une forte expertise IAM,
- une vraie culture incident response cloud,
- une expérience dans des environnements réglementés, idéalement financiers,
- la capacité à relire et écrire des policies complexes sans documentation de référence.
- La capacité à dialoguer avec un CISO, à traduire les sujets techniques en langage risque et à travailler en binôme avec un Cloud Architect est essentielle.
Certifications requises :
- AWS Security
- AWS Solutions Architect Professional
Compétences clés :
- AWS IAM & Identity : roles, policies, permission boundaries, resource-based policies, trust relationships, IRSA, fédération OIDC.
- IAM Identity Center : SSO via SAML/OIDC, permission sets, ABAC, MFA.
- AWS SCP Design : condition keys, deny-list / allow-list, policies d’organisation.
- AWS Security Services : GuardDuty, Security Hub, Macie, Inspector v2, Detective, IAM Access Analyzer, AWS Config.
- AWS KMS : CMK, key policies, grants, encryption context, rotation, CloudHSM.
- Zero Trust : application des 7 piliers du NIST SP 800-207 à AWS.
- Threat Modeling : STRIDE, MITRE ATT&CK for Cloud.
- Compliance : DORA, NIST CSF 2.0, CIS Controls v8, ISO 27001:2022, NIS2, CSSF.
- Terraform / IaC Security : Checkov, OPA/Rego, tfsec, policy-as-code.
- Incident Response Cloud : forensics CloudTrail, triage GuardDuty, VPC Flow Logs, Detective.
/!\ Mission basée 100% à Montrouge sans télétravail possible