Formation DevSecOps - Foundation (DSOF), certification DevOps Institute
DevSecOps est conçu pour les équipes de développement et d'exploitation, mais pas seulement. Il est nécessaire d'intégrer la sécurité informatique dans l'ensemble du cycle de vie de vos applications pour profiter pleinement de la flexibilité et de l'approche DevSecOps.
Cette nouvelle approche permet de palier aux modifications récentes des systèmes : par le passé, les processus liés à la sécurité étaient isolés et attribués à un groupe spécifique lors de la phase finale de développement. Cela ne représentait pas de problème car les cycles de développement étaient beaucoup plus longs qu'aujourd'hui, des mois, voire des années de développement.
DevSecOps s'adapte aux nouveaux processus de développement et garantit des cycles de développement rapides et fréquents. La formation proposée vous permettra ainsi de profiter pleinement d'une maîtrise du modèle DevSecOps et de tous ses avantages.
Cette formation permettra aux apprenants de :
- Comprendre les concepts et le vocabulaire de DevSecOps
- Connaître les différentes stratégies de sécurité
- Comprendre comment les pratiques de sécurité DevOps diffèrent des autres approches de sécurité
- Être en mesure d’intégrer DevSecOps à la culture DevOps
- Se préparer à la certification "DevSecOps Foundation (DSOF)"
Evaluation de la formation et de votre progression vers vos objectifs
Avant le début de la formation, un questionnaire vous permettra d’exprimer vos objectifs personnels et d’évaluer votre degré de maîtrise des principales thématiques abordées dans la formation.
Pendant la formation, le formateur observera vos pratiques afin de pouvoir vous donner des conseils personnalisés quant aux points forts sur lesquels vous pourrez vous appuyer et aux points de vigilance sur lesquels il doit axer ses efforts.
À la fin de la formation, vous aurez à remplir un questionnaire (QCM et/ou des ateliers et des exercices pratiques) pour évaluer vos nouvelles compétences et votre progression vers vos objectifs. Un questionnaire supplémentaire vous permettra d'indiquer votre niveau de satisfaction à l'égard de la formation.
Un questionnaire d’auto-évaluation à froid vous sera proposé 6 à 9 mois après la fin de formation. Celui-ci vous permettra de prendre du recul sur
les bénéfices acquis, les efforts restant à déployer et votre degré de satisfaction vis à vis de la formation.
Cette formation s'adresse à tout professionnel impliqué ou intéressé par la sécurité dans un contexte DevOps
2 JOURS
Introduction
Pourquoi DevSecOps
- Termes et concepts clés
- Pourquoi DevSecOps est-il important ?
- 3 manières de penser DevOps + Sécurité
- Principes clés de DevSecOp
Culture et management
- Termes et concepts clés
- Modèle d’incitation
- Résilience
- Culture organisationnelle
- Culture génératrice
- Erickson, Westrum et LaLoux
Considérations stratégiques
- Termes et concepts clés
- Quel est le niveau de sécurité suffisant ?
- Modélisation de la menace
- Le contexte est tout
- Gestion des risques dans un monde à grande vitesse
Considérations générales sur la sécurité
- Éviter le piège des cases à cocher
- Sécurité de base
- Tenir compte de l’architecture
- Identité fédérée
- Gestion des logs
IAM : gestion des identités et des accès
- Termes et concepts clés
- Concepts de base de l’IAM
- Pourquoi l’IAM est-il si important ?
- Directives de mise en oeuvre
- Les possibilités d’automatisation
- Comment se faire du mal avec IAM
Sécurité des applications
- Application Security Testing (AST)
- Pratiques de sécurité de base
- Priorisation des techniques de tests
- Intégration de la gestion des problèmes
- Modélisation de la menace
- Automatiser
Sécurité opérationnelle
- Termes et concepts clés
- Rôle de la gestion des opérations
- L’environnement des opérations
Gouvernance, risque, conformité (GRC) et audit
- Termes et concepts clés
- Qu’est-ce que la GRC ?
- Pourquoi la GRC est-elle importante ?
- Penser les directives (politiques) différemment
- Politique en tant que code
- Audit en amont (Shift Left Audit)
- Séparation des tâches vs DevOps
Logging, monitoring et réponse
- Termes et concepts clés
- Configuration de la gestion des logs
- Réponse aux incidents
- Partage de l’information sur les menaces
Préparation à l’examen "DevSecOps Foundation (DSOF)"
Passage de l’examen "DevSecOps Foundation (DSOF)"
- Le passage de l’examen s’effectue le dernier jour, en ligne et en anglais
- Il consiste en un QCM de 60 minutes, comportant 40 questions
- Un score minimum de 65% est requis pour réussir l’examen
Méthodes et moyens
Cette formation repose sur une combinaison de constructions participatives, de mises en perspectives par des apports théoriques et méthodologiques, et de mises en situation (simulation et jeux de rôle) permettant de mettre en évidence les difficultés et de découvrir progressivement les méthodes et techniques appropriées.
DevSecOps Foundation (DSOF)
Disposer d’une première expérience en développement et/ou en production informatique et connaître les concepts généraux de DevOps
- Rugosité