Devsecops - Kolecto H/F
Role details
Job location
Tech stack
Job description
La puissance de notre mission : nous trouvons beaucoup de sens à servir le maximum de TPE-PME françaises, et notamment celles qui sont traditionnellement le plus à la marge des dernières vagues de digitalisation et modernisation du pays ;
-
Nos collègues doué·e·s, passionné·e·s, expérimenté·e·s et altruistes, qui évoluent dans une dynamique de croissance très positive.
-
Notre environnement de travail hybride unique, combinant le meilleur de l'environnement stimulant de la startup et la force de frappe d'un grand groupe bancaire leader.
-
Notre politique de télétravail flexible, qui permet jusqu'à 3 jours de télétravail par semaine en France.
-
Notre engagement pour l'égalité professionnelle, illustré par un Index égalité femmes-hommes de 99/100 en 2025, témoignant de notre vigilance constante sur l'équité des parcours et des rémunérations.
-
Nos événements internes fédérateurs : deux séminaires par an, talks inspirants, afterworks, etc.
Votre mission
Sécurisation de l'infrastructure as Code
- Auditer et sécuriser les scripts de déploiement (Terraform, CloudFormation ).
- Mettre en place des outils de "Policy as Code" (ex: Checkov, OPA, Terrascan) pour bloquer les configurations non conformes avant même le déploiement.
- Appliquer le principe du moindre privilège sur l'ensemble des ressources Cloud.
- Optimiser la gestion des secrets et des certificats
Opérationalisation et Optimisation des Outils de surveillance (Priorité Court Terme)
- Faire évoluer et maintenir la configuration du SIEM : centralisation et corrélation des logs (règles de détection) cloud pour détecter les comportements suspects ou les tentatives d'intrusion
- Mettre en place les indicateurs et tableaux de bord de sécurité des systèmes en production
- Analyse des alertes, coordination des investigations et réponses
- Auditer et affiner le paramétrage des outils de sécurité déjà en place (ex: Scanner de vulnérabilités, SAST/DAST, etc.).
- Intégrer ces outils de manière fluide dans nos pipelines CI/CD existants pour automatiser les contrôles
- Définir les seuils d'alertes pertinents pour réduire le "bruit" et se concentrer sur les risques critiques
- Monitorer les dérives de configuration (drift detection) entre l'état souhaité et le runtime.
Gestion des Vulnérabilités et Incidents
- Industrialiser le processus de détection & remédiation : de la détection d'une faille au déploiement des correctifs.
- Agir en tant qu'acteur clé lors de la réponse aux incidents (Incident Response) : investigation, confinement et analyse post-mortem.
- Prioriser le backlog de vulnérabilités en fonction de l'analyse de risque business
- Définir des playbooks d'automatisation pour isoler une ressource compromise (ex: isolation d'une instance EC2 ou d'un pod Kubernetes suspect)
Acculturation et Amélioration Continue
-
Accompagner l'équipe platform et les développeurs dans l'adoption des bonnes pratiques Security by design, DevSecOps
-
Rédiger la documentation technique et les procédures d'exploitation sécurité., Process de recrutement
-
Entretien RH (30 à 45 min) avec l'un·e de nos recruteurs·eusespour faire connaissance, comprendre vos aspirations et répondre à vos premières questions
-
Entretien métier (1h) avec votre futur·e manager
-
Étude de cas à réaliser chez soi puis restitution auprès de votre futur·e manager
-
Échange convivial au bureau (café, déjeuner) avec les équipes en poste pour évaluer l'alignement avec notre état d'esprit collectif
(Une prise de référence pourra être demandée durant le process de recrutement)
Veuillez noter que pour finaliser l'embauche, les candidat·e·s retenu·e·s devront fournir un extrait de casier judiciaire (bulletin n°3), ainsi qu'un titre de séjour valide le cas échéant. Conformément aux exigences réglementaires de notre secteur, une vérification d'honorabilité professionnelle sera également effectuée.
Ils font la Tech chez Kolecto
Chez Kolecto, la tech se construit au quotidien par celles et ceux qui la font vivre. Découvrez les témoignages de nos équipes techniques :
-
passé de Back-End Software Engineer à DevOps Engineer - explore ce qui définit aujourd'hui l'ADN technique et humain de Kolecto.
-
Front-End Software Engineer - revient sur les étapes structurantes du développement de Kolecto et sa vision d'une culture tech fondée sur le collectif.
-
Lead Engineering Manager - partage son retour d'expérience sur ces trois années marquées par la croissance, sa transition vers le management et les étapes clés qui ont façonné l'équipe tech de Kolecto telle qu'elle existe aujourd'hui.
-
Senior Back-End Software Engineer - revient sur un chemin marqué par la discipline, la montée en compétences et la force des rencontres qui ont façonné son évolution., La puissance de notre mission : nous trouvons beaucoup de sens à servir le maximum de TPE-PME françaises, et notamment celles qui sont traditionnellement le plus à la marge des dernières vagues de digitalisation et modernisation du pays ;
-
Nos collègues doué·e·s, passionné·e·s, expérimenté·e·s et altruistes, qui évoluent dans une dynamique de croissance très positive.
-
Notre environnement de travail hybride unique, combinant le meilleur de l'environnement stimulant de la startup et la force de frappe d'un grand groupe bancaire leader.
-
Notre politique de télétravail flexible, qui permet jusqu'à 3 jours de télétravail par semaine en France.
-
Notre engagement pour l'égalité professionnelle, illustré par un Index égalité femmes-hommes de 99/100 en 2025, témoignant de notre vigilance constante sur l'équité des parcours et des rémunérations.
-
Nos événements internes fédérateurs : deux séminaires par an, talks inspirants, afterworks, etc.
Sécurisation de l'infrastructure as Code
- Auditer et sécuriser les scripts de déploiement (Terraform, CloudFormation ).
- Mettre en place des outils de "Policy as Code" (ex: Checkov, OPA, Terrascan) pour bloquer les configurations non conformes avant même le déploiement.
- Appliquer le principe du moindre privilège sur l'ensemble des ressources Cloud.
- Optimiser la gestion des secrets et des certificats
Auditer et sécuriser les scripts de déploiement (Terraform, CloudFormation ).
Mettre en place des outils de "Policy as Code" (ex: Checkov, OPA, Terrascan) pour bloquer les configurations non conformes avant même le déploiement.
Appliquer le principe du moindre privilège sur l'ensemble des ressources Cloud.
Optimiser la gestion des secrets et des certificats
Opérationalisation et Optimisation des Outils de surveillance (Priorité Court Terme)
- Faire évoluer et maintenir la configuration du SIEM : centralisation et corrélation des logs (règles de détection) cloud pour détecter les comportements suspects ou les tentatives d'intrusion
- Mettre en place les indicateurs et tableaux de bord de sécurité des systèmes en production
- Analyse des alertes, coordination des investigations et réponses
- Auditer et affiner le paramétrage des outils de sécurité déjà en place (ex: Scanner de vulnérabilités, SAST/DAST, etc.).
- Intégrer ces outils de manière fluide dans nos pipelines CI/CD existants pour automatiser les contrôles
- Définir les seuils d'alertes pertinents pour réduire le "bruit" et se concentrer sur les risques critiques
- Monitorer les dérives de configuration (drift detection) entre l'état souhaité et le runtime.
Faire évoluer et maintenir la configuration du SIEM : centralisation et corrélation des logs (règles de détection) cloud pour détecter les comportements suspects ou les tentatives d'intrusion
Mettre en place les indicateurs et tableaux de bord de sécurité des systèmes en production
Analyse des alertes, coordination des investigations et réponses
Auditer et affiner le paramétrage des outils de sécurité déjà en place (ex: Scanner de vulnérabilités, SAST/DAST, etc.).
Intégrer ces outils de manière fluide dans nos pipelines CI/CD existants pour automatiser les contrôles
Définir les seuils d'alertes pertinents pour réduire le "bruit" et se concentrer sur les risques critiques
Monitorer les dérives de configuration (drift detection) entre l'état souhaité et le runtime.
Gestion des Vulnérabilités et Incidents
- Industrialiser le processus de détection & remédiation : de la détection d'une faille au déploiement des correctifs.
- Agir en tant qu'acteur clé lors de la réponse aux incidents (Incident Response) : investigation, confinement et analyse post-mortem.
- Prioriser le backlog de vulnérabilités en fonction de l'analyse de risque business
- Définir des playbooks d'automatisation pour isoler une ressource compromise (ex: isolation d'une instance EC2 ou d'un pod Kubernetes suspect)
Industrialiser le processus de détection & remédiation : de la détection d'une faille au déploiement des correctifs.
Agir en tant qu'acteur clé lors de la réponse aux incidents (Incident Response) : investigation, confinement et analyse post-mortem.
Prioriser le backlog de vulnérabilités en fonction de l'analyse de risque business
Définir des playbooks d'automatisation pour isoler une ressource compromise (ex: isolation d'une instance EC2 ou d'un pod Kubernetes suspect)
Acculturation et Amélioration Continue
- Accompagner l'équipe platform et les développeurs dans l'adoption des bonnes pratiques Security by design, DevSecOps
- Rédiger la documentation technique et les procédures d'exploitation sécurité.
Accompagner l'équipe platform et les développeurs dans l'adoption des bonnes pratiques Security by design, DevSecOps
Rédiger la documentation technique et les procédures d'exploitation sécurité., IaC & Automatisation : Terraform (prioritaire), CDK, Serverless,
Sécurité Cloud : CSPM (Cloud Security Posture Management), Gestion IAM complexe.
Conteneurs : Sécurisation de clusters Kubernetes (EKS), scans d'images (Trivy).
Observabilité : Datadog SIEM et solutions natives Cloud
Frameworks : MITTRE ATT&CK, CIS, NIST, Entretien RH (30 à 45 min) avec l'un·e de nos recruteurs·eusespour faire connaissance, comprendre vos aspirations et répondre à vos premières questions
- Entretien métier (1h) avec votre futur·e manager
- Étude de cas à réaliser chez soi puis restitution auprès de votre futur·e manager
- Échange convivial au bureau (café, déjeuner) avec les équipes en poste pour évaluer l'alignement avec notre état d'esprit collectif
Entretien RH (30 à 45 min) avec l'un·e de nos recruteurs·eusespour faire connaissance, comprendre vos aspirations et répondre à vos premières questions
Entretien métier (1h) avec votre futur·e manager
Étude de cas à réaliser chez soi puis restitution auprès de votre futur·e manager
Échange convivial au bureau (café, déjeuner) avec les équipes en poste pour évaluer l'alignement avec notre état d'esprit collectif
(Une prise de référence pourra être demandée durant le process de recrutement)
Veuillez noter que pour finaliser l'embauche, les candidat·e·s retenu·e·s devront fournir un extrait de casier judiciaire (bulletin n°3), ainsi qu'un titre de séjour valide le cas échéant. Conformément aux exigences réglementaires de notre secteur, une vérification d'honorabilité professionnelle sera également effectuée.
Chez Kolecto, la tech se construit au quotidien par celles et ceux qui la font vivre. Découvrez les témoignages de nos équipes techniques :
-
passé de Back-End Software Engineer à DevOps Engineer - explore ce qui définit aujourd'hui l'ADN technique et humain de Kolecto.
-
Front-End Software Engineer - revient sur les étapes structurantes du développement de Kolecto et sa vision d'une culture tech fondée sur le collectif.
-
Lead Engineering Manager - partage son retour d'expérience sur ces trois années marquées par la croissance, sa transition vers le management et les étapes clés qui ont façonné l'équipe tech de Kolecto telle qu'elle existe aujourd'hui.
-
Senior Back-End Software Engineer - revient sur un chemin marqué par la discipline, la montée en compétences et la force des rencontres qui ont façonné son évolution.
Kolecto est une solution de gestion digitale et humaine affiliée au Groupe Crédit Agricole qui simplifie, sécurise et améliore les finances des TPE-PME en conformité avec les nouvelles réglementations en vigueur. ","identifier":{"@type":"PropertyValue","name":"Kolecto","value":"a4eae4df43c2675db46fa32cf5133b1c"},"url":"https://www.hellowork.com/fr-fr/emplois/77274166.html","datePosted":"2026-03-26T02:09:22Z","directApply":false,"educationRequirements":[{"@type":"EducationalOccupationalCredential","credentialCategory":"postgraduate degree"},{"@type":"EducationalOccupationalCredential","credentialCategory":"bachelor degree"},{"@type":"EducationalOccupationalCredential","credentialCategory":"associate
Requirements
Cloud Provider : Maîtrise avancée d'un cloud provider (AWS / gcp / azure / scaleway / OVH).
- IaC & Automatisation : Terraform (prioritaire), CDK, Serverless,
- Sécurité Cloud : CSPM (Cloud Security Posture Management), Gestion IAM complexe.
- Conteneurs : Sécurisation de clusters Kubernetes (EKS), scans d'images (Trivy).
- Observabilité : Datadog SIEM et solutions natives Cloud
- Frameworks : MITTRE ATT&CK, CIS, NIST
Soft Skills
- Pédagogue et diplomate, vous savez expliquer le "pourquoi" d'une contrainte de sécurité aux équipes métier et techniques
- Mindset :Vous avez une âme de "bâtisseur". Comme le rôle est nouveau, vous faites preuve d'autonomie et de force de proposition, 4 à 7 ans d'expérience minimum sur un poste DevOps avec une forte sensibilité sécurité ou DevSecOps
- Une expérience significative dans le déploiement d'architectures scalables
- Une expérience dans la gestion d'outils de sécurité (SIEM, IDS/IPS, XDR, PAM, etc.), Cloud Provider : Maîtrise avancée d'un cloud provider (AWS / gcp / azure / scaleway / OVH).
- IaC & Automatisation : Terraform (prioritaire), CDK, Serverless,
- Sécurité Cloud : CSPM (Cloud Security Posture Management), Gestion IAM complexe.
- Conteneurs : Sécurisation de clusters Kubernetes (EKS), scans d'images (Trivy).
- Observabilité : Datadog SIEM et solutions natives Cloud
- Frameworks : MITTRE ATT&CK, CIS, NIST
Cloud Provider : Maîtrise avancée d'un cloud provider (AWS / gcp / azure / scaleway / OVH)., Pédagogue et diplomate, vous savez expliquer le "pourquoi" d'une contrainte de sécurité aux équipes métier et techniques
- Mindset :Vous avez une âme de "bâtisseur". Comme le rôle est nouveau, vous faites preuve d'autonomie et de force de proposition
Pédagogue et diplomate, vous savez expliquer le "pourquoi" d'une contrainte de sécurité aux équipes métier et techniques
Mindset :Vous avez une âme de "bâtisseur". Comme le rôle est nouveau, vous faites preuve d'autonomie et de force de proposition
- 4 à 7 ans d'expérience minimum sur un poste DevOps avec une forte sensibilité sécurité ou DevSecOps
- Une expérience significative dans le déploiement d'architectures scalables
- Une expérience dans la gestion d'outils de sécurité (SIEM, IDS/IPS, XDR, PAM, etc.)
4 à 7 ans d'expérience minimum sur un poste DevOps avec une forte sensibilité sécurité ou DevSecOps
Une expérience significative dans le déploiement d'architectures scalables
Une expérience dans la gestion d'outils de sécurité (SIEM, IDS/IPS, XDR, PAM, etc.)
- Jusqu'à 3 jours de télétravail
Benefits & conditions
Jusqu'à 3 jours de télétravail
- Politique de RTT Annuelle (env 10j /an)
- Les titres restaurants dématérialisés sont d'une valeur de 11,52€ TTC par jour ouvrés travaillés pris en charge à 60% par Kolecto
- Mutuelle Alan Blue prise en charge à 70% par Kolecto, Politique de RTT Annuelle (env 10j /an)
- Les titres restaurants dématérialisés sont d'une valeur de 11,52€ TTC par jour ouvrés travaillés pris en charge à 60% par Kolecto
- Mutuelle Alan Blue prise en charge à 70% par Kolecto
Jusqu'à 3 jours de télétravail
Politique de RTT Annuelle (env 10j /an)
Les titres restaurants dématérialisés sont d'une valeur de 11,52€ TTC par jour ouvrés travaillés pris en charge à 60% par Kolecto
Mutuelle Alan Blue prise en charge à 70% par Kolecto
