Qu'est ce qu'un Cloud Security Engineer ?

Le Cloud Security Engineer est un ingénieur sécurité spécialisé dans la sécurisation des environnements cloud (AWS, GCP, Azure) et des infrastructures cloud-native (Kubernetes, serverless, conteneurs). Il combine compétences DevOps/Platform et expertise sécurité pour garantir que l'infrastructure cloud soit configurée, monitorée et défendue selon l'état de l'art.

Avec la migration cloud généralisée et l'explosion des configurations à maintenir, ce rôle est devenu critique : la majorité des breaches cloud sont dus à des misconfigurations, pas à des 0-days.

Pourquoi recruter un Cloud Security Engineer ?

Une infrastructure cloud moderne compte des milliers de ressources : VPCs, security groups, IAM policies, S3 buckets, KMS keys, secrets managers, etc. Chaque configuration mal faite peut exposer la boîte (bucket S3 public, IAM trop large, secret en clair dans une variable d'env). Le Cloud Security Engineer met en place les guardrails, les détections et les patterns sécurisés pour éviter ces erreurs.

Quel rôle joue le Cloud Security Engineer ?

Le Cloud Security Engineer est dans l'équipe sécurité ou dans la Platform team. Il rapporte à un Head of Security, un Head of Platform ou un CISO. Il collabore quotidiennement avec les Platform Engineers, les DevOps, les SRE et le SOC.

Son terrain : hardening cloud, IaC sécurisé (Terraform, CloudFormation), détection cloud-native (GuardDuty, Security Hub, Defender), gestion des secrets, et response aux incidents cloud.

Quelles sont les missions du Cloud Security Engineer ?

• Sécuriser l'infrastructure cloud : IAM least privilege, network segmentation, encryption at rest/in transit.
• Designer les guardrails : Service Control Policies AWS, Org Policies GCP, Azure Policy.
• Mettre en place le scanning IaC : Checkov, tfsec, Snyk IaC dans la CI.
• Configurer la détection : CSPM (Wiz, Prisma, Orca, Lacework), GuardDuty, Security Hub.
• Gérer les secrets : Vault, AWS Secrets Manager, GCP Secret Manager, rotation, audit.
• Sécuriser Kubernetes : RBAC, NetworkPolicies, OPA Gatekeeper, Falco, image scanning.
• Répondre aux incidents cloud : investigation, containment, lessons learned.

Quelles compétences clés ?

• 4-8 ans d'expérience combinée cloud / DevOps / sécurité
• Maîtrise approfondie d'un cloud majeur (AWS, GCP ou Azure) et idéalement de plusieurs
• Kubernetes en profondeur : RBAC, NetworkPolicies, supply chain (SBOM, Sigstore)
• IaC : Terraform principalement, parfois Pulumi, CloudFormation
• Outils CSPM/CNAPP : Wiz, Prisma Cloud, Orca, Lacework
• Scripting Python, Bash, Go
• Certifications appréciées : AWS Security Specialty, GCP Professional Cloud Security, CKS

Les soft skills

Capacité à dialoguer avec les Platform Engineers en pairs, pragmatisme (ne pas bloquer la prod pour un risque mineur), curiosité (le cloud évolue vite), pédagogie (faire monter les Platform Engineers en compétence sécurité).

Quel salaire pour un Cloud Security Engineer ?

Junior 55K€-70K€, confirmé 70K€-95K€, senior/lead 95K€-130K€. Profil très demandé surtout en scale-up cloud-native et chez les éditeurs SaaS B2B.

Comment évolue la carrière d'un Cloud Security Engineer ?

Évolution vers Lead Cloud Security, Staff Security Engineer, Security Architect, ou Head of Cloud Security. Bascule possible vers Platform Engineer plus généraliste, SRE ou CISO d'une boîte cloud-native.