Mission Principale

Concevoir des architectures pour les secteurs sensibles et régulés (OIV, Défense, Santé, Finance) nécessitant des solutions de Cloud de Confiance (S3NS, SecNumCloud, HDS). Expert en souveraineté numérique et en protection des données sensibles avec maîtrise du chiffrement avancé (EKM, CSE) et des environnements Air-gapped (Google Distributed Cloud).

Responsabilités Détaillées

40% A. Trusted Cloud Design

  • Design environnements conformes SecNumCloud (ANSSI) et HDS (Hébergement Données de Santé)
  • Intégration S3NS (Thales) : Solution souveraine pour secteur public et OIV
  • Architecture Encryption : CMEK, CSE, EKM (External Key Manager)
  • Zero Trust vis-à-vis du fournisseur Cloud (Google ne peut pas accéder aux données)

30% B. Hybride & Google Distributed Cloud (GDC)

  • Déploiement GDC Hosted/Edge pour environnements Air-gapped (déconnectés d'Internet)
  • Architectures hybrides : On-premise + GCP avec VPN/Interconnect sécurisés
  • Stratégies de réplication données entre environnements souverains et Cloud public

20% C. Compliance & Sécurité Avancée

  • Conformité réglementaire : RGPD, NIS2, DORA, HDS, ISO 27001
  • Gestion clés de chiffrement : HSM externe (Thales CipherTrust), rotation automatique
  • VPC Service Controls : Périmètres de sécurité empêchant exfiltration données
  • Audits et traçabilité : Cloud Logging avancé, SIEM integration

10% D. Strategic Advisory C-Level

  • Conseil COMEX/CODIR sur souveraineté numérique et risques géopolitiques
  • Rédaction dossiers d'homologation sécurité (PSSI, analyse de risques)
  • Relations ANSSI, CNIL, autorités de régulation sectorielles

Questions d'Entretien

1. Souveraineté vs Résidence (15 min) - FONDAMENTAL

Question : "Quelle est la différence entre Résidence de données et Souveraineté numérique ?"

✅ Attendu :

Résidence = Géographie physique (data stockée en France). Souveraineté = Contrôle juridique complet (échapper au Cloud Act US, contrôle d'accès total, impossibilité pour Google d'accéder aux données même sous injonction). S3NS répond à la souveraineté, pas juste GCP région europe-west.

2. Chiffrement Avancé (20 min)

Cas Client Banque : "Un client du secteur bancaire refuse catégoriquement que Google ait techniquement accès à ses données. Quelle solution d'encryption proposez-vous ?"

✅ Attendu :
  1. CSE (Client-Side Encryption) : Données chiffrées AVANT envoi à GCP, clés jamais sur GCP
  2. CMEK avec EKM externe (Thales HSM) : Clés stockées dans HSM client on-premise

Différence CMEK vs EKM : CMEK = Clés gérées par client mais stockées sur GCP Cloud KMS. EKM = Clés stockées sur HSM externe, Google doit interroger le HSM client pour chaque opération crypto.

3. Google Distributed Cloud (15 min)

Scénario Militaire : "Un client du secteur Défense a besoin d'une infrastructure complètement déconnectée d'Internet (Air-gapped) pour traiter des données classifiées. Quelle solution Google proposez-vous ?"

✅ Attendu :

Google Distributed Cloud (GDC) Hosted : Rack physique Google installé dans datacenter client, complètement déconnecté. Offre les APIs GCP (GKE, Vertex AI) mais données ne quittent jamais le site. Mise à jour via support physique (USB/disque).

Compétences Techniques

Chiffrement Avancé (KMS/EKM/CSE)
Conformité SecNumCloud/RGPD
Architecture Hybride & GDC
VPC Service Controls
Dossiers d'Homologation
Relations ANSSI/CNIL

Profil Recherché

Formation

Bac+5 en Informatique/Cybersécurité, diplôme d'ingénieur ou équivalent universitaire

Expérience

8-10 ans sur des projets Cloud sécurisés, idéalement dans secteurs régulés (Défense, Santé, Finance)

Certifications

PCA (Professional Cloud Architect) obligatoire + Security Engineer fortement recommandée

Expertise Sécurité

Maîtrise du chiffrement avancé (CMEK, CSE, EKM) et des architectures Zero Trust

Conformité

Expérience avérée avec SecNumCloud, RGPD, NIS2, HDS ou équivalents

Secteurs Régulés

Connaissance des contraintes OIV, Défense, Santé, Finance, et relations avec autorités

Grille d'Évaluation (SCORECARD)

Notation : 1-5. Seuil embauche : > 100/130

Compétences Poids Observations
A. EXPERTISE SOUVERAINETÉ & SÉCURITÉ
Gestion des Clés (KMS/EKM) x5 Maîtrise CMEK, CSE, EKM, HSM ? Sait expliquer différences ?
Connaissance S3NS / GDC x4 Connaît offres souveraines Thales/Google ? A déjà déployé GDC ?
Architecture Réseau (VPC-SC) x3 VPC Service Controls, périmètres sécurité, isolation ?
Identité & IAM Avancé x3 Workload Identity, Context-Aware Access, IAM conditions ?
B. COMPLIANCE & RÉGLEMENTAIRE
SecNumCloud / RGPD x3 Connaît référentiels ANSSI ? Expérience dossiers homologation ?
Culture Cloud Hybride x3 Architecture multi-environnements (Public/Privé/Air-gapped) ?
C. SOFT SKILLS SPÉCIFIQUES
Rigueur / Précision x3 Contexte sensible, zéro approximation tolérée
Diplomatie / Relations Autorités x2 Sait dialoguer avec ANSSI, CNIL, DSI secteur public ?
TOTAL / 130

Red Flags

🚩 "Public Cloud Naïf"

Symptôme : Candidat qui pense que "Région europe-west1 = Souveraineté" et ne comprend pas la nécessité de "Zero Trust" vis-à-vis du fournisseur Cloud (Google).

  • ❌ Confond résidence et souveraineté
  • ❌ Ne connaît pas le Cloud Act américain ou ses implications
  • ❌ Pense que CMEK suffit pour un ministère
  • ❌ Ignore l'existence de SecNumCloud ou S3NS
  • ❌ N'a jamais travaillé avec des HSM ou du chiffrement client-side
✅ Le bon candidat :

Celui qui explique spontanément "Pour du vrai souverain, on ne peut pas faire confiance à Google même en région EU. Il faut soit CSE (chiffrer avant envoi), soit EKM externe (clés sur HSM client), soit GDC Air-gapped. Et même comme ça, il faut auditer."