DEVSECOPS FOUNDATION
Cette formation vous permettra d'appréhender et de comprendre comment intégrer DevSecOps à la culture DevOps et de vous préparer à la certification « DevSecOps Foundation »
1670 € HT
Modalités de la formation DEVSECOPS FOUNDATION
PRÉSENTIEL
DISTANCIEL
Durée
14h sur 2 jours
Tarifs
1670 € HT/pers
Tarif Intra sur demande
Public visé
Tout profil impliqué ou intéressé par la sécurité dans un contexte DevOps :
- Développeurs
- Architectes
- Administrateurs
- …
Prérequis
- Connaissances sur l’automatisation avec ANSIBLE ou équivalent
- Connaissances de base en administration Linux /Unix et en scripting
Objectifs pédagogiques
- Comprendre le but, les avantages, les concepts et le vocabulaire de DevSecOps
- Discerner les différences entre les pratiques de sécurité DevOps et les autres approches de sécurité
- Déceler les stratégies de sécurité axées sur l’entreprise
- Comprendre et appliquer les sciences des données et de la sécurité
Méthodes pédagogiques
- Apport magistral et échanges interactifs
- Travaux pratiques
Modalités d’évaluation
- Validation pas à pas des acquis au travers de mises en situation et exercices pratiques
- Test d’entrée et de sortie pour valider les compétences acquises.
Délais d’accès
Formation réalisable sous 3 semaines
Accessibilité
Pour l’accueil de personnes en situation de handicap, des aménagements sont possibles en nous contactant au préalable.
Programme de la formation DEVSECOPS FOUNDATION
Introduction et explication sur DevSecOps
- Objectifs et déroulé du cours
- Exercice : schématiser votre pipeline CI / CD
I/ Pourquoi DevSecOps ?
- Terminologie et notions clés
- Pourquoi DevSecOps devient de plus en plus important
- Trois façons de penser l’approche DevOps avec la sécurité
- Principes clés de DevSecOps
II/ Culture Management
- Terminologie et notions clés
- Modèle d’incitation
- La résilience
- La culture organisationnelle
- Générativité
- Erickson, Westrum et LaLoux
- Exercice : Influencer la culture
III/ Considérations stratégiques
- Terminologie et notions clés
- Quel volume de sécurité est considéré comme suffisant?
- Modélisation de la menace
- Le contexte est tout
- Gestion des risques dans un monde à grande vitesse
- Exercice : Mesurer le succès
IV/ Considérations générales sur la sécurité
- Éviter le piège de la case à cocher
- Hygiène de sécurité élémentaire
- Considérations architecturales
- Identité fédérée
- Gestion des journaux IAM : Gestion des identités et des accès
- Terminologie et notions clés
- Concepts de base d’IAM
- Directives de mise en œuvre
- Opportunités d’automatisation
- Comment se faire mal avec IAM
- Exercice : surmonter les défis de l’IAM
V/ Sécurité des applications
- Tests de sécurité des applications (AST)
- Prioriser les techniques de test
- Intégration de la gestion des problèmes
- Modélisation de la menace
- Automatiser
VI/ Sécurité opérationnelle
- Terminologie et notions clés
- Pratiques d’hygiène de sécurité de base
- Rôle de la gestion des opérations
- L’environnement des opérations
- Exercice : Ajout de sécurité à votre pipeline CI / CD
VII/ Gouvernance, Risques, Conformité (GRC) et Audit
- Terminologie et notions clés
- Qu’est-ce que la GRC ?
- Repenser les politiques
- Politique en tant que code
- Déplacement de la vérification à gauche
- Trois mythes sur la séparation des tâches et les DevOps
- Exercice : Mise en œuvre de stratégies, d’audit et de conformité avec
DevOps
VIII/ Journalisation, surveillance et réponse
- Terminologie et notions clés
- Configuration de la gestion des journaux
- Réponse aux incidents et expertise judiciaire
- Intelligence de la menace et partage de l’information
IX/ Préparation à l’examen
- Critères d’examen, pondération des questions et liste de terminologie
- Exemple d’examen
