DevSecOps Foundation

A l'issue de cette formation, vous serez capable de :

• Expliquer le but, les avantages, les concepts et le vocabulaire de DevSecOps
• Discerner les différences entre les pratiques de sécurité DevOps et les autres approches de sécurité
• Déceler les stratégies et bonnes pratiques de sécurité axées sur l'entreprise
• Définir et appliquer les sciences des données et de la sécurité
• Intégrer les parties prenantes de l'entreprise dans les pratiques DevSecOps
• Améliorer la communication entre les équipes Dev, Sec et Ops
• Expliquer comment les rôles DevSecOps s'intègrent à une culture et une organisation DevOps.

Introduction au cours

• Objectifs du cours
• Déroulement du cours

Exemple de travaux pratiques (à titre indicatif)

• Schématiser votre pipeline CI/CD

Pourquoi DevSecOps ?

• Termes et concepts-clés
• Pourquoi DevSecOps est important ?
• 3 façons de penser l'approche DevOps avec la sécurité
• Principes clés de DevSecOps

Culture et gestion

• Termes et concepts-clés
• Modèle d'incitation
• Résistance
• Culture organisationnelle
• Générativité
• Erickson, Westrum et LaLoux

Exemple de travaux pratiques (à titre indicatif)

• Influencer la culture

Considérations stratégiques

• Termes et concepts-clés
• Quel niveau de sécurité est suffisant ?
• Modélisation des menaces
• Le contexte est essentiel
• Gestion des risques dans un monde à grande vitesse

Exemple de travaux pratiques (à titre indicatif)

• Mesurer pour réussir

Considérations générales sur la sécurité

• Eviter le piège des cases à cocher
• Hygiène de base en matière de sécurité
• Considérations architecturales
• Identité fédérée
• Gestion des logs

IAM (Identity and Access Management) : gestion des identités et des accès

• Termes et concepts-clés
• Concepts de base IAM
• Pourquoi IAM est important ?
• Conseils de mise en oeuvre
• Opportunités d'automatisation
• Comment se blesser avec IAM ?

Exemple de travaux pratiques (à titre indicatif)

• Surmonter les défis de l'IAM

Sécurité des applications

• Tests de sécurité des applications (Application Security Testing)
• Techniques de test
• Prioriser les techniques de test
• Intégration de la gestion des problèmes
• Modélisation des menaces
• Tirer parti de l'automatisation

Sécurité opérationnelle

• Termes et concepts-clés
• Pratiques de l'hygiène de base en matière de sécurité
• Rôle de la gestion des opérations
• L'environnement des opérations

Exemple de travaux pratiques (à titre indicatif)

• Ajouter de la sécurité à votre pipeline CI/CD

Gouvernance, Risque, Conformité (GRC) et audit

• Termes et concepts-clés
• Qu'est-ce que la GRC ?
• Pourquoi se soucier de la GRC ?
• Repenser les politiques
• Politique comme code
• Déplacer l'audit vers la gauche
• 3 mythes sur la séparation des tâches vs DevOps

Exemple de travaux pratiques (à titre indicatif)

• Faire fonctionner les politiques, l'audit et la conformité avec DevOps

Journalisation, surveillance et réponse

• Termes et concepts-clés
• Configuration de la gestion des logs
• Réponse aux incidents et forensics
• Intelligence des menaces et partage d'informations

Révision du cours

• Où nous avons commencé
• Ce que nous avons couvert
• Rappels clés de ce qui est important

Exemple de travaux pratiques (à titre indicatif)

• Création d'un plan d'action personnel

Préparation à l'examen de certification "DevSecOps Foundation"

Passage de la certification

• Cette formation comprend le voucher nécessaire à l'inscription et au passage (ultérieur) de l'examen
• Ce dernier s'effectue en ligne (en anglais), pour une durée moyenne d'1h00