Retour au catalogue
CYBER SÉCURITÉ
Cybersécurité
DevSecOps – Organisation, méthodes et intégration de la sécurité dans les pratiques DevOps
3 jour(s) • 21h
Niveau Intermédiaire
2200 € HTHT
PRÉSENTATION
Objectif de la formation : Renforcer l'intégration de la sécurité dans les pratiques DevOps à l’échelle d’un groupe multi-équipes, en structurant une gouvernance DevSecOps robuste, en maîtrisant les outils de sécurité intégrée, et en orchestrant leur mise en œuvre dans des chaînes CI/CD complexes et hybrides (cloud, on-premises, conteneurs).
OBJECTIFS OPÉRATIONNELS
Concevoir une stratégie DevSecOps adaptée aux environnements critiques (EDF, multisites, multiservices).
Intégrer la sécurité dans les processus Agile/CI/CD dès la conception, jusqu’à la supervision en production.
Déployer une cartographie des risques, des outils et des responsabilités par cycle de vie applicatif.
Piloter la transformation DevSecOps via des indicateurs de maturité, des chantiers d’acculturation et des arbitrages techniques.
Structurer les interactions entre RSSI, DevOps, SecOps, SOC, DSI et Métiers autour d’une chaîne CI/CD sécurisée.
PROGRAMME DÉTAILLÉ
01
Partie 1 – Stratégie DevSecOps à l’échelle Groupe (2h30)
2h- Enjeux de la transformation DevSecOps dans un grand groupe industriel
- Acteurs, gouvernance, RACI étendu (DSI, métiers, sécurité, produit, qualité)
- Feuille de route et évaluation de maturité DevSecOps
- Cas pratique :
02
Cartographier les acteurs DevSecOps dans une BU critique
03
Identifier les points de friction et leviers d’adhésion à la démarche
04
Partie 2 – Intégration de la sécurité dans l’agilité (3h)
3h- Incrémenter la sécurité dans les User Stories, sprints, backlog produit
- Définition de “Done sécurisée”, validation sécurité continue
- Gouvernance qualité / sécurité commune à la chaîne de développement
- Cas pratique :
05
Élaboration d’un backlog sécurité Agile complet pour un projet prioritaire
06
Simulation d’une planification avec arbitrage sécurité / livraison métier
07
Partie 3 – Sécurisation du code et des dépendances (3h)
3h- Analyse statique avancée (SAST) et politiques de qualité de code
- Détection de vulnérabilités dans les dépendances (SBOM, OWASP Dependency Track)
- Gouvernance du cycle de vie logiciel : releases, branches, signatures
- Cas pratique :
08
Analyse d’un dépôt Git en conditions réelles avec un outil SAST pro
09
Rédaction d’une politique de sécurité logicielle sur les dépendances open source
10
Partie 4 – Sécurité des conteneurs et environnements hybrides (3h30)
3h- Analyse des images (Trivy, Grype), durcissement des conteneurs
- Gestion des secrets dans un contexte GitOps / KMS / Vault
- Gouvernance des registres d’images et audit de conformité
- Cas pratique :
11
Inspection et remédiation d’une image compromise dans un projet CI/CD
12
Écriture d’un manifeste de sécurité conteneur (labels, signatures, scan auto)
13
Partie 5 – Sécurité du pipeline CI/CD & tests automatisés (4h)
4h- Points d’ancrage sécurité dans Jenkins, GitLab CI, Azure Pipelines
- Intégration de DAST, IAST, fuzzing dans la CI
- Création de quality gates de sécurité sur KPI mesurables
- Cas pratique :
14
Évaluation d’un pipeline réel, identification des points faibles
15
Proposition d’une refonte sécurisée avec outillage, rôles et triggers
16
Partie 6 – Supervision, audit et réponse aux incidents DevSecOps (2h)
2h- Rôle du SOC, intégration logs & alertes (SIEM, EDR, DevSecOps tools)
- Audits de pipeline, forensic en cas de compromission, traceabilité Git
- Communication inter-équipes en gestion d’incident (SecOps, Dev, exploitation)
- Cas pratique :
17
Reconstitution d’un incident de build compromise (accès Git, secrets, conteneur)
18
Restitution à un comité de pilotage sécurité avec plan d’action correctif
19
Partie 7 – Culture DevSecOps & pilotage par indicateurs (3h)
3h- KPIs DevSecOps : couverture sécurité, taux de remédiation, alertes
- Acculturation sécurité (champions, gamification, revues croisées)
- Gouvernance de la transformation (comité sécurité agile, reporting DSI)
- Cas pratique :
20
Construction d’un tableau de bord DevSecOps consolidé
21
Élaboration d’un plan d’acculturation sécurité pour 3 rôles (dev, PO, ops)
CIBLES
Architectes sécurité ou DevOps groupe
RSSI DevSecOps ou responsables de la transformation sécurité agile
DevSecOps leads d'entités critiques
Ingénieurs sécurité applicative expérimentés
Chefs de projet sécurisation des chaînes DevOps
PRÉREQUIS
- •8 à 15 ans d’expérience dans le développement, la sécurité ou l’ingénierie système.
- •Maîtrise des outils de CI/CD (Jenkins, GitLab CI, Azure DevOps…).
- •Bonne compréhension de la sécurité des applications, des conteneurs et de l’architecture cloud hybride.
PROCHAINES SESSIONS
12 oct.-14 oct. 2026
Non spécifié•Distanciel
2200€