Formation DevSecOps – Intégrer la Sécurité au Cœur du DevOps

Programme de notre formation DevSecOps

Introduction au DevSecOps

• Qu’est-ce que DevSecOps ?
• L’évolution du DevSecOps
• L’importance de la sécurité dans le SDLC
• L’approche “Shift Left”
• Le rôle de l’automatisation dans DevSecOps
• Les bénéfices de DevSecOps

Git, IaC, Infrastructure Immuable et GitOps

• Considérations générales sur la sécurité Git
• Comment l’infrastructure immuable améliore la sécurité
• Élimination des drifts de configuration
• GitOps : le futur de la gestion d’infrastructure

Gestion et Prévention des Secrets

• Le problème croissant de la prolifération des secrets
• Les niveaux de fuite de secrets
• Hooks pré-commit
• TP : Prévenir les fuites de secrets avec TruffleHog

Dépendances Sécurisées

• La menace croissante des attaques via les dépendances
• Vulnérabilités et expositions communes (CVEs)
• Système de notation des vulnérabilités (CVSS)
• Énumération des faiblesses communes (CWE)
• Énumération des plateformes communes (CPE)
• TP : OWASP Dependency-Check

Qualité et Sécurité du Code

• L’importance de la qualité et de la sécurité du code
• Comprendre les arbres syntaxiques abstraits (ASTs)
• Pièges courants de sécurité dans le code
• TP : Bandit – linter de sécurité Python

Sécurité des Conteneurs

• Dockerfile : linting de sécurité
• Sécuriser les Dockerfiles
• Pièges de sécurité courants dans les Dockerfiles
• TP : Hadolint – exemple pratique de linting
• Linting Dockerfile vs scan d’image Docker
• TP : Scanner les images Docker avec Trivy
• Comprendre les rapports Trivy

Collaboration Sécurisée avec IaC (Terraform)

• Gestion des secrets
• Contrôle d’accès basé sur les rôles (RBAC) et principe du moindre privilège
• Stockage distant de l’état
• Atténuation du drift et conformité

Analyse de Code IaC

• Pièges de sécurité courants dans l’IaC (Terraform)
• Sécurité Terraform avec Checkov
• Problèmes de sécurité fréquents dans les manifestes Kubernetes
• TP : Analyse statique avec KubeLinter

Chaîne d’Approvisionnement Logicielle et SBOM

• Importance de la sécurité de la chaîne d’approvisionnement
• Comprendre les SBOMs (Software Bill of Materials)
• Rôle des SBOMs dans DevSecOps
• TP : Utiliser Syft pour l’analyse
• TP : Syft et OWASP DependencyTrack

Politique de Sécurité comme Code (SPaC)

• SAST, DAST, et approche Shift Left
• Conformité et audit
• Pare-feu d’applications web (WAF)
• Capteurs de prévention des pertes de données (DLP)
• Règles de réponse et gestion des incidents
• TP : NeuVector – exemple pratique de SPaC

Pipeline DevSecOps

• DevSecOps comme système
• CI/CD comme colonne vertébrale
• Construire un pipeline DevSecOps (GitLab CI/CD)

Mesurer et Améliorer DevSecOps

• Boucles de rétroaction, couverture, métriques et sécurité
• Apprendre des échecs
• Shift Left, étendre à droite
• Indicateurs de succès (KPIs)