DevSecOps Foundation (certification incluse)

LiveOnLine Certifiant
  • Référence : DSO001
  • Durée : 2 jours (14 heures)
  • Certification : DSOF
  • Eligible CPF : Non

CONNAISSANCES PREALABLES

  • Pour suivre cette formation DevSecOps il est demandé d'avoir une certaine connaissance des services IT en général, notamment de la sécurité et des méthodologies Agile (Scrum).

PROFIL DES STAGIAIRES

  • Cela concerne les équipes de conformité, les ingénieurs DevOps, les responsables informatiques, les professionnels de la sécurité informatique, les équipes de maintenance et de support, les gestionnaires de produits, les Scrum Masters ou encore les logiciels et testeurs.
  • Personnes impliquées ou souhaitant en apprendre davantage sur les stratégies et l'automatisation de DevSecOps

OBJECTIFS

  • Objet, avantages, concepts et vocabulaire de DevSecOps
  • Différences entre les pratiques de sécurité de DevOps et les autres approches de sécurité
  • Stratégies de sécurité axées sur les entreprises
  • Comprendre et appliquer les sciences de la sécurité et des données
  • L'utilisation et les avantages des équipes rouges et bleues
  • Intégration de la sécurité dans les flux de travaux de livraison continue
  • Comment les rôles de DevSecOps s'intègrent-ils à la culture et à l'organisation de DevOps

METHODES PEDAGOGIQUES

  • 6 à 12 personnes maximum par cours, 1 poste de travail par stagiaire
  • Remise d’une documentation pédagogique papier ou numérique pendant le stage
  • La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions

METHODES D'EVALUATION DES ACQUIS

  • Auto-évaluation des acquis par le stagiaire via un questionnaire
  • Attestation de fin de stage adressée avec la facture

FORMATEUR

Consultant-Formateur expert DevOps

CONTENU DU COURS

1 - Introduction et explication sur DevSecOps

  • Objectifs et déroulé du cours
  • Exercice : schématiser votre pipeline CI / CD

2 - Pourquoi DevSecOps ?

  • Terminologie et notions clés
  • Pourquoi DevSecOps devient de plus en plus important
  • Trois façons de penser l’approche DevOps avec la sécurité
  • Principes clés de DevSecOps

3 - Culture Management

  • Terminologie et notions clés
  • Modèle d’incitation
  • La résilience
  • La culture organisationnelle
  • Générativité
  • Erickson, Westrum et LaLoux
  • Exercice : Influencer la culture

4 - Considérations stratégiques

  • Terminologie et notions clés
  • Quel volume de sécurité est considéré comme suffisant?
  • Modélisation de la menace
  • Le contexte est tout
  • Gestion des risques dans un monde à grande vitesse
  • Exercice : Mesurer le succès

5 - Considérations générales sur la sécurité

  • Éviter le piège de la case à cocher
  • Hygiène de sécurité élémentaire
  • Considérations architecturales
  • Identité fédérée
  • Gestion des journaux

6 - IAM : Gestion des identités et des accès

  • Terminologie et notions clés
  • Concepts de base d’IAM
  • Directives de mise en œuvre
  • Opportunités d’automatisation
  • Comment se faire mal avec IAM
  • Exercice : surmonter les défis de l’IAM

7 - Sécurité des applications

  • Tests de sécurité des applications (AST)
  • Techniques d’essai
  • Prioriser les techniques de test
  • Intégration de la gestion des problèmes
  • Modélisation de la menace
  • Automatiser

8 - Sécurité opérationnelle

  • Terminologie et notions clés
  • Pratiques d’hygiène de sécurité de base
  • Rôle de la gestion des opérations
  • L’environnement des opérations
  • Exercice : Ajout de sécurité à votre pipeline CI / CD

9 - Gouvernance, Risques, Conformité (GRC) et Audit

  • Terminologie et notions clés
  • Qu’est-ce que la GRC ?
  • Pourquoi se soucier de la GRC ?
  • Repenser les politiques
  • Politique en tant que code
  • Déplacement de la vérification à gauche
  • Trois mythes sur la séparation des tâches et les DevOps
  • Exercice : Mise en œuvre de stratégies, d’audit et de conformité avec DevOps

10 - Journalisation, surveillance et réponse

  • Terminologie et notions clés
  • Configuration de la gestion des journaux
  • Réponse aux incidents et expertise judiciaire
  • Intelligence de la menace et partage de l’information

11 - Préparation à l'examen

  • Critères d’examen, pondération des questions et liste de terminologie
  • Exemple d’examen