DevSecOps Foundation

Jour 1 :Fondamentaux du devsecops , Culture et Vision Stratégique Vocabulaire, bénéfices et principes fondamentaux du DEVSECOPS Le lexique technique : Maîtrise de termes comme la Modélisation des menaces (Threat Modeling), l’Identité fédérée, et la gestion des Logs pour la traçabilité. Les principes de base : Comprendre comment les rôles DevSecOps s’insèrent dans une culture DevOps globale pour améliorer la communication entre les pôles Dev, Sec et Ops. Apport métier : Analyse des stratégies de sécurité axées sur l’entreprise, visant à intégrer toutes les parties prenantes dans les pratiques de livraison. Les « 3 façons » d’intégrer la sécurité au DevOps Le Flux (Flow) : Insérer des contrôles de sécurité à chaque étape du pipeline pour que la sécurité ne soit plus un goulot d’étranglement à la fin, mais une vérification fluide et continue. Le Feedback : Mettre en place des boucles de rétroaction rapides. Si une vulnérabilité est détectée, l’alerte doit remonter immédiatement au développeur pour une correction instantanée. L’Apprentissage Continu : Transformer chaque incident ou faille détectée en une opportunité d’apprentissage pour renforcer l’hygiène de base en matière de sécurité et l’architecture globale. Travaux Pratiques : Schématisation du pipeline CI/CD Identification des étapes : Sourcing du code, Build (compilation), Tests unitaires et fonctionnels, Déploiement. Points d’insertion Sec : Déterminer où placer l’analyse statique du code (SAST), l’analyse dynamique (DAST) et les contrôles de conformité. Visualisation des outils : Mapper les outils d’automatisation et les points de passage obligatoires pour garantir que le logiciel est « sécurisé par conception » (secure by design) Jour 2 : Technique, Gouvernance et Certification Gestion des Identités (IAM) et Hygiène de Sécurité Fondamentaux de l’IAM : Étude des concepts de base et de l’importance vitale de la gestion des identités dans un écosystème distribué. Architecture Technique : Mise en œuvre de l’identité fédérée pour unifier les accès et gestion avancée de l’architecture de sécurité. Sécurité Opérationnelle : Analyse des erreurs courantes (« Comment se blesser avec l’IAM ») et conseils de déploiement sécurisé. Gestion des Logs : Mise en place d’une traçabilité exhaustive des accès. Travaux Pratiques : Atelier sur la résolution des défis complexes liés à l’implémentation de l’IAM en environnement DevOps. Sécurité Applicative et Opérationnelle Techniques de Test (AST) : Panorama des tests de sécurité applicative, méthodologies de test et critères de priorisation des vulnérabilités. Modélisation des Menaces : Anticiper les vecteurs d’attaque dès la phase de conception. Hygiène de base : Application des bonnes pratiques de sécurité dans l’environnement des opérations. Travaux Pratiques : Intégration technique d’outils de sécurité automatisés directement dans votre pipeline CI/CD. Gouvernance, Risque, Conformité (GRC) et Audit Shift Left Audit : Stratégie pour déplacer les contrôles d’audit au plus tôt dans la chaîne de production (« vers la gauche »). Politique en tant que Code (Policy as Code) : Automatisation des règles de conformité pour une vérification en temps réel. Mythes DevOps : Déconstruction des idées reçues sur la séparation des tâches (Segregation of Duties) face à l’agilité. Travaux Pratiques : Mise en adéquation opérationnelle entre les exigences d’audit, la conformité réglementaire et la vélocité DevOps. Surveillance et Intelligence des Menaces Gestion des Logs et Monitoring : Configuration technique pour une surveillance proactive. Réponse aux incidents : Protocoles d’intervention et introduction à la Forensics (analyse après attaque). Threat Intelligence : Collecte et partage d’informations sur les menaces pour anticiper les nouvelles attaques. Conclusion et Certification Synthèse : Rappels des concepts clés et révision globale du programme. Travaux Pratiques : Création d’un plan d’action personnel pour implémenter le DevSecOps à votre retour en entreprise. Examen officiel : Préparation finale et passage de la certification « DevSecOps Foundation » (examen en ligne, en anglais, durée 1h00). inscription pour l’examen est inclus dans la formation.( valeur 283 € HT ) Autres formations complémentaires Module 1 : Security by Design – Gouvernance, SI et IoT (Socle Commun) Module 2 : Security by Design – Systèmes d’Information et Infrastructures Module 3 : Security by Design – Développement d’Applications Module 4 : DevOps Security Manager Profil Formateur : Le module est animé par un praticien formateur confirmé, ingénieur en cybersécurité et expert de terrain , qui met à profit sa solide expérience dans le déploiement de solutions de sécurité et sa maîtrise des bonnes pratiques en Security by Design à travers une expertise pratique éprouvée dans les environnements applicatifs et industriels (OT).