DevSecOps – Organisation, méthodes et intégration de la sécurité dans les pratiques DevOps
0/10
(0 avis)
Formation créée le 23/05/2025.
Version du programme : 1
Programme de la formation
Objectif de la formation : Intégrer la sécurité dans l'ensemble du cycle de vie DevOps en mettant en place une organisation et des méthodes DevSecOps efficaces. Comprendre les enjeux, outils, processus et bonnes pratiques pour développer, déployer et maintenir des applications sûres de manière continue.
Objectifs de la formation
- Comprendre les principes de l'approche DevSecOps et ses enjeux organisationnels
- Identifier les leviers pour intégrer la sécurité dans une chaîne DevOps
- Mettre en œuvre des outils de sécurité adaptés à chaque étape du pipeline
- Créer une culture partagée entre développement, sécurité et exploitation
Profil des bénéficiaires
Pour qui
- Développeurs, DevOps, SRE
- Responsables sécurité (RSSI, DevSecOps lead)
- Chefs de projet, architectes techniques
- Equipes produit ou qualité impliquées dans la livraison logicielle
Prérequis
- Maîtrise des principes DevOps et des outils de CI/CD
- Connaissances de base en sécurité des applications ou sensibilisation SSI
Contenu de la formation
-
Introduction à DevSecOps (2h)
- Historique : de DevOps à DevSecOps
- Objectifs et bénéfices de l'approche
- Principes clés : intégration, automatisation, collaboration, responsabilité partagée
- Activité pratique : brainstorming collectif "quels risques pour notre pipeline ?"
-
Organisation de la sécurité dans DevOps (2h30)
- Rôles et responsabilités : développeurs, DevOps, Sécurité, QA, produit
- Gouvernance : politiques, chartes, définition de done sécurisée
- Intégration de la sécurité dans le backlog, les user stories, les sprints
- Activité : création d'une matrice RACI sécurité d’un projet agile
-
Cartographie des risques et modélisation (2h30)
- Threat modeling : STRIDE, DREAD, Attack trees
- Identification des actifs critiques, surfaces d’attaque
- Activité pratique : atelier de modélisation de menace sur une appli web ou API
-
Sécurité du code source (2h)
- Outils SAST : SonarQube, Semgrep, Checkmarx...
- Bonnes pratiques de développement sûr
- Gestion des dépendances : vulnérabilités, licencing, SBOM
- Activité : scan de code sur repo Git avec outil SAST open source
-
Sécurité des artefacts et de l'environnement (3h30)
- Analyse des images Docker : Trivy, Grype
- Contrôle des déploiements, signatures, répértoires
- Secrets management : Vault, KMS, GitOps secrets
- Activité : identification de failles dans une image conteneur non sécurisée
-
Intégration continue sécurisée (3h30)
- Intégration des tests de sécurité dans le pipeline CI/CD
- Outils DAST, IAST, fuzzing automatisé
- Création de "quality gates" sécurité
- Atelier : évaluation d’une chaîne CI/CD existante et proposition d’améliorations DevSecOps
-
Supervision et réaction aux incidents (2h)
- Rôle des logs, observabilité, corrélation
- Intégration avec SOC, SIEM, alerting
- Retours d’incident, boucle de feedback
- Activité : analyse d’un cas réel d’incident de sécurité dans un pipeline
-
Mettre en place une culture DevSecOps (3h)
- Sensibilisation, formation continue, champions sécurité
- Gamification, bug bounty, pair review
- KPIs DevSecOps et pilotage par les résultats
- Activité : construction d’un plan d’acculturation à la sécurité pour une équipe produit
Équipe pédagogique
Professionnel expert technique et pédagogique.
Accessibilité
03 au 05 novembre 2025