DevSecOps Engineering
Dans l'approche DevSecOps, chaque intervenant est pleinement responsable de la sécurité des développements des logiciels.
L’enjeu est de réduire les coûts relatifs à la sécurité tout en limitant les risques de vulnérabilité, en automatisant les contrôles de sécurité et en les implémentant tout au long du cycle de vie.
À l'issue de cette formation DevSecOps, vous aurez acquis les connaissances et compétences nécessaires pour aborder la sécurité en tant que code.
À l'issue de cette formation DevSecOps, vous aurez acquis les connaissances et compétences nécessaires pour maîtriser les éléments suivants :
- Objet, avantages, concepts et vocabulaire de DevSecOps
- Différences entre les pratiques de sécurité de DevOps et les autres approches de sécurité
- Stratégies de sécurité axées sur les entreprises
- Comprendre et appliquer les sciences de la sécurité et des données
- L'utilisation et les avantages des équipes rouges et bleues
- Intégration de la sécurité dans les flux de travaux de livraison continue
- Comment les rôles de DevSecOps s'intègrent-ils à la culture et à l'organisation de DevOps
Evaluation de la formation et de votre progression vers vos objectifs
Avant le début de la formation, un questionnaire vous permettra d’exprimer vos objectifs personnels et d’évaluer votre degré de maîtrise des principales thématiques abordées dans la formation.
Pendant la formation, le formateur observera vos pratiques afin de pouvoir vous donner des conseils personnalisés quant aux points forts sur lesquels vous pourrez vous appuyer et aux points de vigilance sur lesquels il doit axer ses efforts.
À la fin de la formation, vous aurez à remplir un questionnaire (QCM et/ou des ateliers et des exercices pratiques) pour évaluer vos nouvelles compétences et votre progression vers vos objectifs. Un questionnaire supplémentaire vous permettra d'indiquer votre niveau de satisfaction à l'égard de la formation.
Un questionnaire d’auto-évaluation à froid vous sera proposé 6 à 9 mois après la fin de formation. Celui-ci vous permettra de prendre du recul sur
les bénéfices acquis, les efforts restant à déployer et votre degré de satisfaction vis à vis de la formation.
Pour suivre cette formation DevSecOps il est demandé d'avoir une certaine connaissance des services IT en général, notamment de la sécurité et des méthodologies Agile (Scrum).
2 JOURS
Introduction et explication sur DevSecOps
Objectifs et déroulé du cours
Exercice : schématiser votre pipeline CI / CD
Pourquoi DevSecOps ?
Terminologie et notions clés
- Pourquoi DevSecOps devient de plus en plus important
- Trois façons de penser l'approche DevOps avec la sécurité
- Principes clés de DevSecOps
- Culture Management
Terminologie et notions clés
- Modèle d'incitation
- La résilience
- La culture organisationnelle
- Générativité
- Erickson, Westrum et LaLoux
- Exercice : Influencer la culture
- Considérations stratégiques
Terminologie et notions clés
- Quel volume de sécurité est considéré comme suffisant?
- Modélisation de la menace
- Le contexte est tout
- Gestion des risques dans un monde à grande vitesse
- Exercice : Mesurer le succès
- Considérations générales sur la sécurité
Éviter le piège de la case à cocher
- Hygiène de sécurité élémentaire
- Considérations architecturales
- Identité fédérée
- Gestion des journaux
- IAM : Gestion des identités et des accès
Terminologie et notions clés
- Concepts de base d'IAM
- Directives de mise en œuvre
- Opportunités d'automatisation
- Comment se faire mal avec IAM
- Exercice : surmonter les défis de l'IAM
- Sécurité des applications
Tests de sécurité des applications (AST)
- Techniques d'essai
- Prioriser les techniques de test
- Intégration de la gestion des problèmes
- Modélisation de la menace
- Automatiser
- Sécurité opérationnelle
Terminologie et notions clés
- Pratiques d'hygiène de sécurité de base
- Rôle de la gestion des opérations
- L'environnement des opérations
- Exercice : Ajout de sécurité à votre pipeline CI / CD
- Gouvernance, Risques, Conformité (GRC) et Audit
Terminologie et notions clés
- Qu'est-ce que la GRC ?
- Pourquoi se soucier de la GRC ?
- Repenser les politiques
- Politique en tant que code
- Déplacement de la vérification à gauche
- Trois mythes sur la séparation des tâches et les DevOps
- Exercice : Mise en œuvre de stratégies, d'audit et de conformité avec DevOps
- Journalisation, surveillance et réponse
Terminologie et notions clés
- Configuration de la gestion des journaux
- Réponse aux incidents et expertise judiciaire
- Intelligence de la menace et partage de l'information
- Préparation à l'examen
Critères d'examen, pondération des questions et liste de terminologie
Exemple d'examen
Méthodes et moyens
Cette formation repose sur une combinaison de constructions participatives, de mises en perspectives par des apports théoriques et méthodologiques, et de mises en situation (simulation et jeux de rôle) permettant de mettre en évidence les difficultés et de découvrir progressivement les méthodes et techniques appropriées.
Certification DevSecOps Engineering (DSOE)
Pour suivre cette formation DevSecOps il est demandé d'avoir une certaine connaissance des services IT en général, notamment de la sécurité et des méthodologies Agile (Scrum).
- Rugosité