DevSecOps – Organisation, méthodes et intégration de la sécurité dans les pratiques DevOps

• Concevoir une stratégie DevSecOps adaptée aux environnements critiques (EDF, multisites, multiservices).
• Intégrer la sécurité dans les processus Agile/CI/CD dès la conception, jusqu’à la supervision en production.
• Déployer une cartographie des risques, des outils et des responsabilités par cycle de vie applicatif.
• Piloter la transformation DevSecOps via des indicateurs de maturité, des chantiers d’acculturation et des arbitrages techniques.
• Structurer les interactions entre RSSI, DevOps, SecOps, SOC, DSI et Métiers autour d’une chaîne CI/CD sécurisée.

Partie 1 – Stratégie DevSecOps à l’échelle Groupe (2h30)

• Enjeux de la transformation DevSecOps dans un grand groupe industriel
• Acteurs, gouvernance, RACI étendu (DSI, métiers, sécurité, produit, qualité)
• Feuille de route et évaluation de maturité DevSecOps
• Cas pratique : Cartographier les acteurs DevSecOps dans une BU critique Identifier les points de friction et leviers d’adhésion à la démarche

Partie 2 – Intégration de la sécurité dans l’agilité (3h)

• Incrémenter la sécurité dans les User Stories, sprints, backlog produit
• Définition de “Done sécurisée”, validation sécurité continue
• Gouvernance qualité / sécurité commune à la chaîne de développement
• Cas pratique : Élaboration d’un backlog sécurité Agile complet pour un projet prioritaire Simulation d’une planification avec arbitrage sécurité / livraison métier

Partie 3 – Sécurisation du code et des dépendances (3h)

• Analyse statique avancée (SAST) et politiques de qualité de code
• Détection de vulnérabilités dans les dépendances (SBOM, OWASP Dependency Track)
• Gouvernance du cycle de vie logiciel : releases, branches, signatures
• Cas pratique : Analyse d’un dépôt Git en conditions réelles avec un outil SAST pro Rédaction d’une politique de sécurité logicielle sur les dépendances open source

Partie 4 – Sécurité des conteneurs et environnements hybrides (3h30)

• Analyse des images (Trivy, Grype), durcissement des conteneurs
• Gestion des secrets dans un contexte GitOps / KMS / Vault
• Gouvernance des registres d’images et audit de conformité
• Cas pratique : Inspection et remédiation d’une image compromise dans un projet CI/CD Écriture d’un manifeste de sécurité conteneur (labels, signatures, scan auto)

Partie 5 – Sécurité du pipeline CI/CD & tests automatisés (4h)

• Points d’ancrage sécurité dans Jenkins, GitLab CI, Azure Pipelines
• Intégration de DAST, IAST, fuzzing dans la CI
• Création de quality gates de sécurité sur KPI mesurables
• Cas pratique : Évaluation d’un pipeline réel, identification des points faibles Proposition d’une refonte sécurisée avec outillage, rôles et triggers

Partie 6 – Supervision, audit et réponse aux incidents DevSecOps (2h)

• Rôle du SOC, intégration logs & alertes (SIEM, EDR, DevSecOps tools)
• Audits de pipeline, forensic en cas de compromission, traceabilité Git
• Communication inter-équipes en gestion d’incident (SecOps, Dev, exploitation)
• Cas pratique : Reconstitution d’un incident de build compromise (accès Git, secrets, conteneur) Restitution à un comité de pilotage sécurité avec plan d’action correctif

Partie 7 – Culture DevSecOps & pilotage par indicateurs (3h)

• KPIs DevSecOps : couverture sécurité, taux de remédiation, alertes
• Acculturation sécurité (champions, gamification, revues croisées)
• Gouvernance de la transformation (comité sécurité agile, reporting DSI)
• Cas pratique : Construction d’un tableau de bord DevSecOps consolidé Élaboration d’un plan d’acculturation sécurité pour 3 rôles (dev, PO, ops)

03 au 05 novembre 2025