DevSecOps – Fonctions essentielles

Cette formation vous initie aux principes et outils fondamentaux du DevSecOps, qui intègre la sécurité dès les premières étapes du cycle DevOps. Vous apprendrez à automatiser la détection des vulnérabilités, sécuriser les pipelines CI/CD et adopter une culture de sécurité partagée.

Pour qui ?

Toutes personnes souhaitant intégrer les pratiques de sécurité dans leurs processus de développement et de déploiement logiciel

Introduction au DevSecOps

Définitions : DevOps, DevSecOps, Shift Left Security
Objectifs du DevSecOps dans le cycle de vie applicatif
Organisation d’une chaîne CI/CD sécurisée
Culture de sécurité partagée (collaboration Dev, Sec et Ops)

Sécurité du code source

Détection de secrets, credentials et failles dans le code (truffleHog, GitLeaks)
Analyse statique (SAST) avec SonarQube, Semgrep ou ESLint
Vérification de la qualité, du style et des dépendances tierces
Contrôle des branches et validation via Git hooks

Sécurité des dépendances et paquets

Détection de vulnérabilités dans les librairies (npm audit, pip-audit, OWASP Dependency-Check)
Mécanismes d’alerte et de mise à jour automatique
Gestion de CVE, compatibilité et versioning sécurisé
Bonnes pratiques de verrouillage des versions (package-lock, requirements.txt, etc.)

Sécurité des conteneurs

Scan d’images Docker avec Trivy, Grype, Clair
Création d’images minimales et durcies (distroless, Alpine)
Politique de non-root, permissions, fichiers sensibles
Signatures d’images et vérification d’intégrité

Sécurité des pipelines CI/CD

Intégration d’outils de sécurité dans Jenkins, GitLab CI, GitHub Actions
Contrôles dans les étapes de build, test, release et déploiement
Automatisation des scans SAST, DAST, IAC dans la chaîne CI
Audit des logs, notifications et gestion des incidents

Infrastructure as Code (IaC) sécurisée

Scans de configuration pour Terraform, Ansible, Kubernetes YAML
Outils dédiés : Checkov, tfsec, kubeaudit
Politique de sécurité sur le Cloud : gestion des IAM, contrôle des ouvertures de ports, protection des secrets
Détection et correction des mauvaises pratiques dans les fichiers d’infrastructure

Comprendre l’intégration de la sécurité dans un cycle DevOps
Mettre en place des outils de détection de vulnérabilités dans un pipeline CI/CD
Appliquer les bonnes pratiques de sécurité automatisée dans les phases de build, test et déploiement

Bonnes bases en développement ou en administration système

Modalités de mise en œuvre de l’action de formation

Au démarrage de la session, le formateur échangera avec le(s) stagiaire(s) afin d’effectuer une analyse de leurs attentes, de leurs besoins et de leurs acquis.

Moyens pédagogiques, techniques et d’encadrement :

Moyens et méthodes pédagogiques :
o Apports théoriques et mises en pratique.
o Chaque point du programme fait l’objet d’une explication théorique appuyée d’une démonstration. Elle est suivie d’une mise en pratique par le biais d’exercices concrets
Moyens techniques :
o Un ordinateur équipé des logiciels et outils nécessaires à la réalisation de la formation
Moyens d’encadrement :
o Formateur possédant plusieurs années d’expérience
o Chargé(e) du projet Numerica

Moyen de suivre l’exécution de la formation :

Une feuille d’émargement sera signée par les stagiaires à chaque début de session (matin et après-midi)

Moyens permettant d’évaluer les résultats de la formation :

Une évaluation de la formation sera complétée par le stagiaire au terme de la session
Le formateur évaluera les acquis des stagiaires tout au long de la formation par des mises en situations pratiques.

Durée : 2 jours

Tarif : 1 560 € HT

Dijon :

Session 1 :

15 & 16/09/2025

Montbéliard :

Session 1 :

20 & 21/10/2025

Cette formation peut-être réalisée en session sur-mesure.

Contactez-nous pour construire ensemble une formation adaptée à vos besoins.