Architecte IAM Senior (Forfait - 3 mois) - pouvant aboutir sur mission long term - Freelance
Freelance Entre 4 et 6 mois Paris (Paris)
Description de l'offre
Taux journalier (TJM): Forfait
Contexte client
Notre client, un fonds d’investissement (hedge fund) très connu de la place financière international et basé à Paris évolue dans un environnement à très forte criticité opérationnelle, caractérisé par des exigences élevées en matière de sécurité, de traçabilité et de résilience.
Bien que le client opère une infrastructure technologique d’envergure internationale et gère des volumes d’actifs très significatifs, son organisation conserve une structure relativement compacte, proche d’une PME. Dans ce contexte, les équipes techniques interviennent sur des périmètres larges et sont attendues sur leur capacité à faire preuve de polyvalence, d’autonomie et de pragmatisme.
L’environnement technologique est néanmoins complexe et à grande échelle, reposant sur :
· des infrastructures hybrides (on premise et cloud),
· un nombre important d’applications internes, outils métiers et services backend,
· des enjeux forts d’intégration, de sécurité applicative et de gouvernance des accès,
· une exposition internationale avec des contraintes de disponibilité et de performance élevées.
Ce contexte exige des profils capables de s’adapter rapidement, de structurer des problématiques complexes et de contribuer à l’amélioration continue des pratiques dans un cadre exigeant et collaboratif.
Contexte de la mission
Dans cet environnement, le client s’appuie aujourd’hui sur un fournisseur d’identité historique on premise (Atlassian Crowd), utilisé comme Identity Provider (IdP) central et dont la fin de vie est maintenant engagée. Cette solution repose en partie sur des mécanismes propriétaires et ne supporte pas nativement les standards modernes tels que OAuth 2.0 et OpenID Connect.
L’architecture actuelle présente une forte hétérogénéité des modes d’intégration entre applications, avec des pratiques qui se sont construites au fil du temps et qui manquent aujourd’hui de standardisation. La gestion des identités non humaines reste limitée, avec notamment l’utilisation de comptes partagés pour certaines intégrations, ce qui complexifie la traçabilité et s’écarte des principes de sécurité attendus, notamment en matière de moindre privilège et d’auditabilité.
Par ailleurs, les scénarios de délégation (« on behalf of ») ne sont pas formalisés de manière homogène, ce qui limite la capacité à tracer précisément les actions et à sécuriser les flux inter-applicatifs. L’ensemble de ces éléments crée des risques opérationnels et sécuritaires, tout en freinant l’évolution vers des architectures plus modernes, notamment dans un contexte hybride.
Dans ce cadre, le client envisage une mission de conseil visant à structurer une transformation de son architecture d’Identity & Access Management (IAM). Cette mission aura pour objectif de définir une architecture cible alignée sur les standards du marché, de renforcer la gouvernance des identités (humaines et non humaines) et de construire une trajectoire de migration maîtrisée permettant le décommissionnement complet de la solution existante, sans perte de fonctionnalité et en garantissant la continuité des opérations.
Cadre de la mission et modèle d’engagement
ECARIS a été sollicité par ce client prestigieux pour répondre à un besoin portant sur une mission de conseil en architecture IAM d’une durée d’environ trois mois.
Dans ce cadre, ECARIS constitue actuellement un binôme projet et recherche à ce titre un architecte IAM senior qui serait intégré à la réponse et capable de porter la mission dans l’hypothèse où le client retiendrait la proposition du binôme.
Le consultant retenu sera sollicité en amont pour une relecture de la réponse à l’appel d’offres, afin de s’assurer de sa bonne compréhension de l’approche proposée et de son alignement avec les modalités de la mission. Cette étape visera à valider l’adéquation entre le consultant, le positionnement retenu par ECARIS et les attentes du client, afin de s’assurer de l’alignement du consultant avec l’approche proposée et de garantir la crédibilité du dispositif présenté au client.
La mission sera réalisée en mode forfait, avec une logique orientée livrables et jalons, et non en assistance opérationnelle. À ce titre, le consultant ne sera pas positionné sur un modèle de facturation au temps passé (type TJM), mais sur une logique de contribution à un engagement global de résultat porté par ECARIS. Néanmoins, des modalités de paiement échelonné pourraient être envisagées en fonction de l’avancement et des jalons du projet.
Dans ce contexte, le consultant sera attendu comme un véritable responsable de la production des livrables de conseil, avec un haut niveau d’autonomie et d’engagement sur la qualité, la cohérence et le caractère exploitable des livrables produits.
Cette mission s’adresse donc à des profils ayant déjà évolué dans des contextes de conseil au forfait, capables de structurer une démarche, de produire des livrables décisionnels et de s’inscrire dans une logique de responsabilité de résultat, plutôt que de simple contribution opérationnelle.
Objectifs de la mission
La mission visera à produire, sur une durée d’environ 3 mois :
· Un diagnostic structuré et factuel de l’existant IAM,
· Une architecture cible IAM basée sur les standards du marché (OAuth 2.0 / OIDC),
· Un plan de migration séquencé et exécutable permettant le décommissionnement complet de l’IdP existant.
La mission portera exclusivement sur des activités de cadrage, conception et planification, sans implémentation technique.
Périmètre de la mission, responsabilité du consultant et livrables attendus
Dans la continuité des objectifs de la mission, le consultant sera responsable de la production d’un ensemble structuré de livrables permettant de couvrir l’ensemble de la démarche de transformation IAM, depuis le diagnostic initial jusqu’à la définition d’une trajectoire de migration exploitable.
La mission s’articulera autour de trois phases successives, chacune donnant lieu à des livrables formalisés, destinés à être utilisés directement par les équipes du client pour la prise de décision et la mise en œuvre ultérieure.
Phase 1 — État des lieux et diagnostic (durée indicative : ~4 semaines)
Cette première phase visera à établir une compréhension complète, factuelle et objectivée de l’existant IAM, en s’appuyant sur des entretiens avec les parties prenantes, l’analyse de la configuration de la solution en place et l’exploitation des données disponibles (logs, documentation, etc.).
Le consultant produira un diagnostic structuré couvrant l’ensemble du périmètre IAM actuel, incluant l’inventaire des applications intégrées, l’analyse des modes d’intégration et des flux d’authentification, ainsi que l’identification des identités non humaines et de leurs usages. Une attention particulière sera portée à la compréhension des dépendances applicatives, des contraintes techniques et des risques associés au décommissionnement de la solution existante.
Ce travail donnera lieu à la production des livrables suivants (sans que ceci soit limité):
· un inventaire consolidé des applications et de leurs modes d’intégration,
· une cartographie des flux d’authentification et d’autorisation,
· un inventaire des identités non humaines et de leurs usages,
· une analyse des dépendances, contraintes et risques,
· une évaluation de la compatibilité avec les standards OAuth 2.0 / OpenID Connect,
· un rapport de synthèse de phase 1, structuré et priorisé, intégrant les principaux constats, niveaux de complexité de migration et premières recommandations.
L’ensemble de ces livrables auront vocation à être consolidé dans un document de restitution formel. Avant toute restitution au client, les livrables feront l’objet d’une revue interne avec le binôme ECARIS, visant à en garantir la qualité, la cohérence et l’alignement avec l’approche globale proposée.
Lors de la restitution auprès du client, le consultant devra s’attendre à ce que le diagnostic soit présenté à l’oral ainsi que ses principaux constats et ses recommandations.
Phase 2 — Conception de l’architecture IAM cible (durée indicative : ~6 semaines)
Cette phase fera suite à la validation par le client des conclusions de la phase 1.
Sur la base du diagnostic établi, le consultant définira une architecture IAM cible cohérente, robuste et alignée avec les standards du marché soit un Identity Provider (IdP) moderne et, le cas échéant, un Authorization Server conforme aux standards OAuth 2.0 / OpenID Connect.
Cette phase conduira à la production d’un document d’architecture structuré, décrivant les principes d’architecture, les composants clés et les flux d’authentification et d’autorisation, couvrant à la fois les interactions utilisateurs, les communications interservices et les scénarios de délégation.
Le consultant formalisera également un modèle de gouvernance des identités, en particulier pour les identités non humaines, ainsi que les politiques de sécurité associées, notamment en matière de gestion des secrets, de moindre privilège et de traçabilité.
Une analyse comparative des solutions du marché viendra étayer les choix d’architecture, accompagnée de recommandations argumentées. Des éléments de standardisation et d’accélération de l’adoption seraient également proposés, notamment à travers la conception d’un socle d’intégration commun à destination des équipes de développement.
Cette phase donnera lieu à la production des livrables suivants :
· un document d’architecture cible (HLD),
· une description détaillée des flux d’authentification et d’autorisation,
· un modèle de gouvernance des identités, incluant les identités non humaines,
· un corpus de politiques de sécurité IAM,
· une analyse comparative des solutions du marché avec recommandation,
· une proposition de socle d’intégration commun (niveau conceptuel).
Les livrables feraient l’objet d’une revue interne avec le binôme ECARIS avant restitution.
La phase donnera lieu à une restitution auprès du client, au cours de laquelle le consultant présentera à l’oral l’architecture cible, les choix structurants et les recommandations associées.
Phase 3 — Plan de migration et décommissionnement (durée indicative : ~2 semaines)
Cette phase visera à traduire l’architecture cible en une trajectoire de transformation concrète, séquencée et exécutable par les équipes.
Sur la base des analyses et des choix d’architecture réalisés en phases précédentes, le consultant définira un plan de migration structuré en vagues, intégrant la priorisation des applications selon leur criticité, leur complexité et leurs dépendances.
Le consultant précisera, pour chaque typologie d’application, les stratégies de migration adaptées (migration directe, adaptation, coexistence, contournement), ainsi que les modalités de bascule associées.
Une attention particulière sera portée aux mécanismes de transition, incluant les scénarios de coexistence entre l’ancien et le nouveau fournisseur d’identité, la gestion des sessions, la continuité de service et les scénarios de repli.
La phase inclura également :
la définition des critères de validation par vague (fonctionnels, sécurité, exploitation),
l’identification des prérequis techniques et organisationnels,
la formalisation d’un plan de décommissionnement progressif de la solution existante,
ainsi que la clarification des rôles et responsabilités des différentes parties prenantes.
Les livrables produits permettraient aux équipes de mise en œuvre de lancer la migration dans un cadre maîtrisé, sans que la mission n’inclue la réalisation effective de cette migration.
Responsabilité du consultant
Dans le cadre de cette mission, le consultant interviendra en binôme étroit avec l’associé ECARIS en charge de la mission, qui en assurera le rôle d’« Assignment Leader ».
Ce binôme fonctionnera comme un tandem complémentaire, combinant d’une part l’expertise technique et la capacité de production du consultant, et d’autre part le pilotage global, la structuration de la démarche et l’orchestration des interactions assurés par l’associé d’ECARIS.
Le consultant sera pleinement responsable de la production des livrables de la mission, tant sur leur contenu que sur leur qualité et leur caractère exploitable. À ce titre, il lui appartiendra de structurer les analyses, de produire les livrables et de formuler des recommandations argumentées.
En parallèle, le consultant contribuera activement à la dynamique du binôme, en participant à la préparation des interactions client, à la consolidation des messages clés et à l’alignement global de la mission, dans une logique de co-responsabilité et d’objectifs partagés.
Le succès de la mission reposera sur la capacité du binôme à fonctionner de manière fluide et alignée, chacun apportant sa valeur dans son registre, au service d’une exécution cohérente et de livrables de haut niveau.
Modèle d’engagement
La mission sera pilotée par des livrables, avec des jalons de validation formels associés à chaque phase.
Dans ce cadre, l’attente portera avant tout sur la capacité du consultant à délivrer des résultats concrets, structurés et exploitables, dans des délais contraints. L’autonomie, la capacité à structurer des sujets complexes et l’engagement sur la qualité des livrables constitueront des éléments clés de réussite.
La mission s’inscrira ainsi dans une logique de responsabilité de résultat, et non de simple contribution opérationnelle.
Profil recherché
Formation & certifications
Le candidat sera obligatoirement issu d’une formation supérieure Bac+5 (école d’ingénieur ou équivalent universitaire) idéalement en informatique, systèmes d’information ou cybersécurité.
Des certifications en lien avec les domaines IAM, sécurité ou architecture seraient très appréciées (par exemple : certifications OAuth/OIDC, sécurité applicative, cloud provider, ou solutions IAM du marché).
Expertise technique
Le candidat disposera d’une expertise solide en architecture IAM en environnement entreprise, avec une maîtrise approfondie des standards OAuth 2.0 et OpenID Connect (flows, tokens, scopes, cycle de vie).
Il/Elle sera à l’aise avec les problématiques liées aux identités non humaines (machine identities, service accounts), aux communications inter-applicatives et aux mécanismes de délégation (« on behalf of », token exchange).
Une bonne compréhension des enjeux de sécurité applicative (gestion des secrets, cryptographie appliquée, auditabilité, moindre privilège) ainsi que les enjeux de traçabilité, auditabilité et conformité en environnements régulés comme celui de la finance sera attendue.
Le consultant candidat doit pouvoir pour cette mission évoluer naturellement dans des environnements hybrides (on premise / cloud, idéalement AWS) et disposera d’une connaissance des principales solutions IAM du marché (Keycloak, Entra ID, Ping Identity, Okta, ForgeRock ou équivalent sans présupposer du choix final, qui fera l’objet dans le cadre de la mission d’une analyse comparative).
Expérience
Le candidat justifiera d’une expérience significative (8 à 15 ans minimum) en architecture des systèmes d’information, avec une expertise avérée en IAM. La profondeur d’expertise IAM primera sur le nombre d’années d’expérience.
Il aura démontré sa capacité à intervenir sur des missions de transformation IAM en environnement complexe, incluant idéalement des contextes de décommissionnement d’un fournisseur d’identité legacy au profit d’architectures basées sur des standards modernes.
Une expérience concrète en missions de conseil au forfait sera fortement attendue. Le candidat devrait être à l’aise avec des contextes impliquant :
· un cadrage amont,
· une structuration de la démarche,
· une production de livrables décisionnels,
· et une responsabilité directe sur la qualité et la complétude des livrables.
Une expérience en environnement financier ou fortement régulé constituerait un atout, sans être strictement obligatoire.
Capacité à être un conseil & production de livrables
Au-delà de l’expertise technique, le candidat sera attendu sur sa capacité à produire des livrables structurés, clairs et exploitables.
Il aura une expérience avérée dans la production de :
· diagnostics structurés (cartographies, analyses de risques, synthèses),
· documents d’architecture (HLD, principes, flux),
· modèles de gouvernance et politiques de sécurité,
· roadmaps et plans de transformation.
Il serait capable de transformer des informations complexes, parfois incomplètes, en recommandations argumentées et directement utilisables pour la prise de décision.
Posture et qualités attendues
Cette mission s’adressera à un consultant senior capable d’évoluer dans un cadre exigeant, avec un haut niveau d’autonomie et de responsabilité.
Le candidat devra faire preuve de :
· fortes capacités d’analyse, de structuration et de synthèse,
· capacité à prendre du recul et à prioriser,
· aisance dans l’animation d’ateliers avec des interlocuteurs variés (architecture, sécurité, équipes applicatives),
· capacité à challenger de manière constructive et à faire converger des parties prenantes,
· sens du résultat et engagement sur la qualité des livrables,
· pragmatisme et orientation solution.
Une attention particulière sera portée à la capacité du candidat à s’inscrire dans une logique de responsabilité de résultat, compatible avec un mode d’intervention au forfait.
Langues
Un niveau d’anglais courant est requis (oral et écrit), les livrables étant obligatoirement rédigés en anglais et certaines interactions pouvant se dérouler dans cette langue.
La maîtrise du français est également attendue pour les échanges avec les équipes locales.
Modalités
· Démarrage : Avril 2026
· Durée de la mission : 3 mois (avec possibilité de suite – voir ci-après)
· Mode de travail : hybride (présence requise pour ateliers clés)
· Rémunération : forfait (le candidat propose un prix pour la mission – le candidat devra pouvoir démontrer sa capacité à bien comprendre le temps que cette mission prendra et d’être donc à l’aise avec un paiement au résultat)
Processus de sélection
· Expériences pertinentes en IAM / transformation – capacité à s’approprier un sujet IAM et des enjeux associés
· Capacité à structurer une mission au forfait – démontrer une expérience en production de livrables de conseil
· Disponibilité sur la période
· Prix exigé pour la mission
Perspectives d’évolution de la mission
La mission décrite ci-dessus correspond à une phase de cadrage stratégique et de conception, préalable à une transformation IAM d’ampleur.
Normalement une phase subséquente de mise en œuvre devrait être engagée, couvrant la migration effective des applications et le décommissionnement de la solution existante.
Ce type de transformation s’inscrivant généralement dans une durée de l’ordre de 12 à 24 mois, le consultant pourra être amené, si l’expérience s’avère concluante, à jouer un rôle clé dans la suite du programme, notamment en contribuant à sa structuration, à son pilotage ou à son accompagnement. En toute probabilité, cette transformation sera fournie en mode régie.
Dans ce contexte, les profils de consultant capables d’évoluer vers un rôle de pilotage de programme ou de direction de transformation seront particulièrement valorisés.
Profil recherché
À propos de Collective.work
Collective.work est la plateforme de recrutement nouvelle génération pour trouver votre prochain emploi.
Fort d'une grande expertise dans l'IA, Collective.work permet de mieux cibler les offres et leurs candidats correspondants, créant ainsi un système beaucoup plus fluide que les acteurs traditionnels.
Plus de 10,000 recruteurs utilisent Collective, permettant à des dizaines de milliers de candidats de trouver leur futur emploi chaque jours