DevSecOps Foundation

Jour 1 :Fondamentaux du devsecops , Culture et Vision Stratégique

1. Vocabulaire, bénéfices et principes fondamentaux du DEVSECOPS

• • Le lexique technique :
    • Maîtrise de termes comme la Modélisation des menaces (Threat Modeling), l’Identité fédérée, et la gestion des Logs pour la traçabilité.
  • Les principes de base :
    • Comprendre comment les rôles DevSecOps s’insèrent dans une culture DevOps globale pour améliorer la communication entre les pôles Dev, Sec et Ops.
  • Apport métier :
    • Analyse des stratégies de sécurité axées sur l’entreprise, visant à intégrer toutes les parties prenantes dans les pratiques de livraison.

2. Les « 3 façons » d’intégrer la sécurité au DevOps

• • Le Flux (Flow) :
    • Insérer des contrôles de sécurité à chaque étape du pipeline pour que la sécurité ne soit plus un goulot d’étranglement à la fin, mais une vérification fluide et continue.
  • Le Feedback :
    • Mettre en place des boucles de rétroaction rapides. Si une vulnérabilité est détectée, l’alerte doit remonter immédiatement au développeur pour une correction instantanée.
  • L’Apprentissage Continu :
    • Transformer chaque incident ou faille détectée en une opportunité d’apprentissage pour renforcer l’hygiène de base en matière de sécurité et l’architecture globale.
• Travaux Pratiques : Schématisation du pipeline CI/CD
  • Identification des étapes :
    •  Sourcing du code, Build (compilation), Tests unitaires et fonctionnels, Déploiement.
  • Points d’insertion Sec :
    • Déterminer où placer l’analyse statique du code (SAST), l’analyse dynamique (DAST) et les contrôles de conformité.
  • Visualisation des outils :
    • Mapper les outils d’automatisation et les points de passage obligatoires pour garantir que le logiciel est « sécurisé par conception » (secure by design)

Jour 2 : Technique, Gouvernance et Certification

4. Gestion des Identités (IAM) et Hygiène de Sécurité

• • Fondamentaux de l’IAM :
    • Étude des concepts de base et de l’importance vitale de la gestion des identités dans un écosystème distribué.
  • Architecture Technique :
    •  Mise en œuvre de l’identité fédérée pour unifier les accès et gestion avancée de l’architecture de sécurité.
  • Sécurité Opérationnelle :
    • Analyse des erreurs courantes (« Comment se blesser avec l’IAM ») et conseils de déploiement sécurisé.
  • Gestion des Logs :
    • Mise en place d’une traçabilité exhaustive des accès.
  •  Travaux Pratiques :
    •  Atelier sur la résolution des défis complexes liés à l’implémentation de l’IAM en environnement DevOps.

5. Sécurité Applicative et Opérationnelle

• • Techniques de Test (AST) :
    • Panorama des tests de sécurité applicative, méthodologies de test et critères de priorisation des vulnérabilités.
  • Modélisation des Menaces :
    • Anticiper les vecteurs d’attaque dès la phase de conception.
  • Hygiène de base :
    • Application des bonnes pratiques de sécurité dans l’environnement des opérations.
  • Travaux Pratiques :
    • Intégration technique d’outils de sécurité automatisés directement dans votre pipeline CI/CD.

6. Gouvernance, Risque, Conformité (GRC) et Audit

• • Shift Left Audit :
    • Stratégie pour déplacer les contrôles d’audit au plus tôt dans la chaîne de production (« vers la gauche »).
  • Politique en tant que Code (Policy as Code) :
    • Automatisation des règles de conformité pour une vérification en temps réel.
  • Mythes DevOps :
    • Déconstruction des idées reçues sur la séparation des tâches (Segregation of Duties) face à l’agilité.
  •  Travaux Pratiques :
    • Mise en adéquation opérationnelle entre les exigences d’audit, la conformité réglementaire et la vélocité DevOps.

7. Surveillance et Intelligence des Menaces

• • Gestion des Logs et Monitoring :
    • Configuration technique pour une surveillance proactive.
  • Réponse aux incidents :
    • Protocoles d’intervention et introduction à la Forensics (analyse après attaque).
  • Threat Intelligence :
    • Collecte et partage d’informations sur les menaces pour anticiper les nouvelles attaques.

8. Conclusion et Certification

• Synthèse :
  • Rappels des concepts clés et révision globale du programme.
• Travaux Pratiques :
  • Création d’un plan d’action personnel pour implémenter le DevSecOps à votre retour en entreprise.
• Examen officiel :
  • Préparation finale et passage de la certification « DevSecOps Foundation » (examen en ligne, en anglais, durée 1h00).
  • inscription  pour l’examen est inclus dans la formation.( valeur  283 € HT )

Autres formations complémentaires

1. Module 1 : Security by Design – Gouvernance, SI et IoT (Socle Commun)
2. Module 2 : Security by Design – Systèmes d’Information et Infrastructures
3. Module 3 : Security by Design – Développement d’Applications et DevSecOp
4. Module 4 : DevOps Security Manager

Profil Formateur :

• Le module est animé par un praticien formateur confirmé, ingénieur en cybersécurité et expert de terrain , qui met à profit sa solide expérience dans le déploiement de solutions de sécurité et sa maîtrise des bonnes pratiques en Security by Design à travers une expertise pratique éprouvée dans les environnements applicatifs et industriels (OT).