Rappel des fondamentaux DevSecOps

• Démarche « Shift Left » pour intégrer la sécurité dès les premières phases de développement
• Comparaison entre pipeline CI/CD sécurisé vs pipeline traditionnel
• Bonnes pratiques DevSecOps dans des organisations matures
• Risques associés à une automatisation sans contrôle rigoureux

Gestion sécurisée des secrets

• Introduction aux gestionnaires de secrets : Vault, Doppler, AWS Secrets Manager
• Intégration sécurisée des secrets dans les pipelines CI/CD
• Rotation automatique des secrets et définition de politiques d’accès strictes
• Sécurisation des variables d’environnement et gestion des tokens d’accès

Contrôle de conformité automatisé

• Détection automatique des violations de politique avec OPA (Open Policy Agent) et Conftest
• Définition et application des règles de sécurité sur artefacts, branches, images
• Intégration de ces politiques dans GitLab CI / GitHub Actions
• Génération de rapports de conformité automatisés

Sécurité avancée des conteneurs

• Analyse dynamique des comportements en conteneur avec Falco, AppArmor, Seccomp
• Surveillance en temps réel des processus et détection d’anomalies
• Bonnes pratiques de build et d’exécution : non-root, systèmes fichiers en lecture seule, user namespaces
• Intégration avec Kubernetes et gestion fine des accès via RBAC

Infrastructure as Code (IaC) avancée

• Audit des configurations cloud avec ScoutSuite, Prowler
• Mise en place de pipelines CI sécurisés pour Terraform, Ansible, Kubernetes
• Validation de politiques avant déploiement (« pre-apply »)
• Scans de configuration automatisés dans le workflow CI

Supervision de la sécurité et alerting

• Mise en place de journaux de sécurité et systèmes d’alertes dans les pipelines CI/CD
• Centralisation des logs via ELK, Grafana + Loki ou services cloud natifs
• Intégration de scanners DAST automatisés (OWASP ZAP, Burp CLI)
• Détection et alerte sur comportements suspects dans les jobs CI/CD