Objectifs pédagogiques
Cette formation DevSecOps vise à :
- Intégrer la sécurité dès les premières étapes du cycle de développement
- Identifier les risques liés aux dépendances, configurations, pipelines, secrets
- Utiliser des outils de scanning, analyse de code et policy as code
- Adopter les bonnes pratiques de sécurité dans une démarche CI/CD moderne
- Comprendre les rôles entre développeurs, DevOps et équipes sécurité
A qui s’adresse cette formation ?
La formation DevSecOps s’adresse aux profils suivants :
- DevOps intermédiaires ou confirmés
- Équipes sécurité (SOC, RSSI technique, architecte SSI)
- Développeurs souhaitant intégrer des pratiques sécurisées
- Ingénieurs cloud, DSI techniques, lead DevOps
Programme de la formation
Introduction à DevSecOps
- Culture shift-left, responsabilité partagée
- Risques sécurité liés à l’automatisation
- DevSecOps vs approche traditionnelle de la sécurité
Gestion des secrets et des accès
- Gestion des secrets dans les pipelines (Vault, Azure Key Vault, GitHub secrets)
- Rotation des clés, accès conditionnels, RBAC/PIM
Analyse de code et de dépendances
- SCA / SAST : GitHub Advanced Security, SonarQube, Snyk, Checkov
- Scanning des containers et images Docker
- Cas pratique : faille dans une dépendance NPM ou NuGet
Sécurité des infrastructures et des pipelines
- Security as Code / Policy as Code (OPA, Sentinel)
- Scanner les configurations IaC (Terraform, ARM, Bicep)
- Intégration dans les pipelines : alertes, blocages, reporting
Surveillance et remédiation
- Logs et audit trail sécurité
- Intégration avec SIEM (Defender, Sentinel, Splunk)
- Mise en place d’un playbook de remédiation
Atelier final : Sécuriser une chaîne DevOps existante
- Détection de vulnérabilités
- Mise en place de contrôles automatisés
- Analyse des risques résiduels
Pourquoi suivre une formation ?
La sécurité rajoutée en fin de cycle coûte cher en temps, en incidents, en conformité. DevSecOps déplace ce curseur : chaque développeur, ops et équipe sécurité partage la responsabilité dès le premier commit.
Cette formation répond à une réalité terrain : les équipes qui n’ont pas adopté le shift-left subissent des failles sur des dépendances non auditées, des secrets en clair dans les pipelines, des configurations IaC jamais scannées. Elle est également directement alignée avec les exigences NIS2 et ISO 27001 sur la sécurité des développements.
2090 € HT par personne
2 jours (14 heures)
Présentiel / Distanciel