DevSpecOps

• Compréhension d’au moins un langage (Java, JavaScript, Python…)​
• Notions de base en systèmes (Linux ou Windows)​
• Concepts réseau (HTTP, DNS, ports, échanges client-serveur)​
• Utilisation d’un gestionnaire de version (Git)​
• Notions de CI/CD (même basiques)​

Intégrer la sécurité à chaque étape du cycle de développement logiciel, en combinant culture, outils et bonnes pratiques pour concevoir, analyser, sécuriser et superviser des applications et infrastructures de manière automatisée et conforme.​

À la suite de votre inscription, un mail vous sera adressé au plus tard 1 semaine avant la formation pour vous indiquer comment vous connecter.

À l’issue de la formation, le formateur évaluera chacun des participants en fonction des cas pratiques et exercices effectués.

Alternance d’exercices, cas pratiques, QCM et de notions théoriques, projet Fil Rouge avec une répartition du temps de travail : 40% théorie, 60% pratique. Des présentations théoriques des concepts clés illustrés par des démonstrations du formateur (Ex : code live…) seront suivies de mises en pratique des apprenants.

Évaluations régulières et retour du formateur sur les points moins bien assimilés. ; les apprenants réaliseront tout au long de la formation des exercices, QCM, mises en situation, TP, TD qui seront corrigés pour faciliter l’acquisition de compétences.

En classe virtuelle, accès à notre plateforme à distance, à des machines virtuelles en local ou dans le cloud contenant les logiciels utiles et les supports de cours en français seront mis à disposition via notre la plate-forme de téléchargement AJC Classroom.

Accès à notre plateforme à distance de Classe Virtuelle : mêmes possibilités et interactions avec votre formateur que lors d’une formation présentielle: votre formation se déroulera en connexion continue 7h/7 :
– Échanges directs avec le formateur et l’équipe pédagogique à travers la visioconférence, les forums et chats ;
– Vérification de l’avancement de votre travail et évaluation par votre formateur à l’aide d’exercices et de cas pratiques ;
– Suivi pédagogique et conseils personnalisés pendant toute la formation.

Vous recevrez les informations de connexion par mail dès votre inscription. En cas de problème de connexion, vous pourrez joindre notre équipe à tout moment (avant ou même pendant la formation) au 01 82 83 72 41 ou par mail (hotline@ajc-formation.fr).

En présentiel, mise à disposition d’ordinateurs portables (16Go RAM, SDD); nos salles sont équipées de matériels pédagogiques (Tableau blanc, vidéo projecteur, tableau tactile…) et informatiques.

Les personnes en situation de handicap sont invitées à nous communiquer leurs besoins spécifiques. Nous ferons tout pour les mettre dans les meilleures conditions de suivi de la formation possibles (compensation, accessibilité…).

Une attestation de fin de stage sera remise à tous les participants à l’issue de leur parcours.

Développeurs, ingénieurs DevOps, Administrateurs systèmes et réseaux, ingénieurs QA, Chefs de projet IT, référents sécurité​

Culture DevSecOps​

Introduction au DevSecOps & enjeux

• Présentation du cycle de vie logiciel (SDLC)​
• Différences entre DevOps et DevSecOps​
• Enjeux de la cybersécurité dans les projets IT​
• Introduction aux vulnérabilités (OWASP Top 10)​
• Sensibilisation aux bonnes pratiques de sécurité

Security by Design​

• Principes de Security by Design​
• Introduction au Threat Modeling​
• Méthodologie STRIDE​
• Identification des menaces et des risques​
• Conception d’architectures sécurisées (API, microservices)

Gestion des identités & Zero Trust

• Concepts d’authentification et d’autorisation​
• Protocoles : OAuth2, JWT​
• Principe du moindre privilège​
• Introduction au modèle Zero Trust​
• Sécurisation des accès aux applications)

Analyse de sécurité des applications​

Analyse statique (SAST)​

• Introduction à l’analyse statique de code​
• Identification des vulnérabilités (XSS, SQL Injection, etc.)​
• Présentation des outils SAST (ex : SonarQube)​
• Lecture et interprétation des rapports​
• Correction des failles de sécurité

Analyse dynamique (DAST)​

• Introduction à l’analyse dynamique​
• Tests de sécurité en environnement d’exécution​
• Utilisation d’outils DAST (ex : OWASP ZAP)​
• Identification des failles runtime​
• Analyse et priorisation des vulnérabilités

Sécurisation de la chaîne DevOps​​​

Sécurité des dépendances & des containers​

• Introduction à la gestion des dépendances (SCA)​
• Identification des vulnérabilités dans les bibliothèques​
• Bonnes pratiques de sécurisation Docker​
• Analyse des images de containers​
• Gestion des secrets dans les environnements containerisés

Sécurisation des pipelines CI/CD​

• Principes des pipelines CI/CD​
• Intégration des outils de sécurité dans le pipeline​
• Automatisation des scans (SAST, DAST, SCA)​
• Gestion sécurisée des secrets​
• Mise en place de contrôles de sécurité automatisés

Gouvernance, conformité & mise en pratique​

Monitoring & gestion des incidents​​

• Introduction au monitoring de sécurité​
• Collecte et analyse des logs​
• Détection des incidents de sécurité​
• Processus de gestion des incidents​
• Introduction aux outils de supervision (SIEM)

RGPD & conformité​

• Principes fondamentaux du RGPD​
• Données personnelles et sensibles​
• Privacy by Design et Privacy by Default​
• Obligations des développeurs​
• Audit de conformité d’une application

Projet final DevSecOps​

• Mise en pratique globale des concepts​
• Sécurisation complète d’une application​
• Mise en place d’un pipeline CI/CD sécurisé​
• Analyse des vulnérabilités et corrections​
• Production d’un rapport de sécurité​
• Présentation des résultats (soutenance)