contact@ascent-formation.fr +33 9 75 75 37 81 LinkedIn
Visitez notre site web
Logo de l'organisme de formation

La formation au coeur de l'avenir technologique

Représentation de la formation : DevSecOps – Organisation, méthodes et intégration de la sécurité dans les pratiques DevOps

DevSecOps – Organisation, méthodes et intégration de la sécurité dans les pratiques DevOps

Formation présentielle
Accessible
Durée : 21 heures (3 jours)
0/10
(0 avis)
Durée :21 heures (3 jours)
HT
S'inscrire
Durée :21 heures (3 jours)
HT
S'inscrire
Durée :21 heures (3 jours)
HT
S'inscrire

Formation créée le 23/05/2025. Dernière mise à jour le 16/06/2025.

Version du programme : 1

Programme de la formation

Objectif de la formation : Renforcer l'intégration de la sécurité dans les pratiques DevOps à l’échelle d’un groupe multi-équipes, en structurant une gouvernance DevSecOps robuste, en maîtrisant les outils de sécurité intégrée, et en orchestrant leur mise en œuvre dans des chaînes CI/CD complexes et hybrides (cloud, on-premises, conteneurs).

Objectifs de la formation

  • Concevoir une stratégie DevSecOps adaptée aux environnements critiques (EDF, multisites, multiservices).
  • Intégrer la sécurité dans les processus Agile/CI/CD dès la conception, jusqu’à la supervision en production.
  • Déployer une cartographie des risques, des outils et des responsabilités par cycle de vie applicatif.
  • Piloter la transformation DevSecOps via des indicateurs de maturité, des chantiers d’acculturation et des arbitrages techniques.
  • Structurer les interactions entre RSSI, DevOps, SecOps, SOC, DSI et Métiers autour d’une chaîne CI/CD sécurisée.

Profil des bénéficiaires

Pour qui
  • Architectes sécurité ou DevOps groupe
  • RSSI DevSecOps ou responsables de la transformation sécurité agile
  • DevSecOps leads d'entités critiques
  • Ingénieurs sécurité applicative expérimentés
  • Chefs de projet sécurisation des chaînes DevOps
Prérequis
  • 8 à 15 ans d’expérience dans le développement, la sécurité ou l’ingénierie système.
  • Maîtrise des outils de CI/CD (Jenkins, GitLab CI, Azure DevOps…).
  • Bonne compréhension de la sécurité des applications, des conteneurs et de l’architecture cloud hybride.

Contenu de la formation

  • Partie 1 – Stratégie DevSecOps à l’échelle Groupe (2h30)
    • Enjeux de la transformation DevSecOps dans un grand groupe industriel
    • Acteurs, gouvernance, RACI étendu (DSI, métiers, sécurité, produit, qualité)
    • Feuille de route et évaluation de maturité DevSecOps
    • Cas pratique : Cartographier les acteurs DevSecOps dans une BU critique Identifier les points de friction et leviers d’adhésion à la démarche
  • Partie 2 – Intégration de la sécurité dans l’agilité (3h)
    • Incrémenter la sécurité dans les User Stories, sprints, backlog produit
    • Définition de “Done sécurisée”, validation sécurité continue
    • Gouvernance qualité / sécurité commune à la chaîne de développement
    • Cas pratique : Élaboration d’un backlog sécurité Agile complet pour un projet prioritaire Simulation d’une planification avec arbitrage sécurité / livraison métier
  • Partie 3 – Sécurisation du code et des dépendances (3h)
    • Analyse statique avancée (SAST) et politiques de qualité de code
    • Détection de vulnérabilités dans les dépendances (SBOM, OWASP Dependency Track)
    • Gouvernance du cycle de vie logiciel : releases, branches, signatures
    • Cas pratique : Analyse d’un dépôt Git en conditions réelles avec un outil SAST pro Rédaction d’une politique de sécurité logicielle sur les dépendances open source
  • Partie 4 – Sécurité des conteneurs et environnements hybrides (3h30)
    • Analyse des images (Trivy, Grype), durcissement des conteneurs
    • Gestion des secrets dans un contexte GitOps / KMS / Vault
    • Gouvernance des registres d’images et audit de conformité
    • Cas pratique : Inspection et remédiation d’une image compromise dans un projet CI/CD Écriture d’un manifeste de sécurité conteneur (labels, signatures, scan auto)
  • Partie 5 – Sécurité du pipeline CI/CD & tests automatisés (4h)
    • Points d’ancrage sécurité dans Jenkins, GitLab CI, Azure Pipelines
    • Intégration de DAST, IAST, fuzzing dans la CI
    • Création de quality gates de sécurité sur KPI mesurables
    • Cas pratique : Évaluation d’un pipeline réel, identification des points faibles Proposition d’une refonte sécurisée avec outillage, rôles et triggers
  • Partie 6 – Supervision, audit et réponse aux incidents DevSecOps (2h)
    • Rôle du SOC, intégration logs & alertes (SIEM, EDR, DevSecOps tools)
    • Audits de pipeline, forensic en cas de compromission, traceabilité Git
    • Communication inter-équipes en gestion d’incident (SecOps, Dev, exploitation)
    • Cas pratique : Reconstitution d’un incident de build compromise (accès Git, secrets, conteneur) Restitution à un comité de pilotage sécurité avec plan d’action correctif
  • Partie 7 – Culture DevSecOps & pilotage par indicateurs (3h)
    • KPIs DevSecOps : couverture sécurité, taux de remédiation, alertes
    • Acculturation sécurité (champions, gamification, revues croisées)
    • Gouvernance de la transformation (comité sécurité agile, reporting DSI)
    • Cas pratique : Construction d’un tableau de bord DevSecOps consolidé Élaboration d’un plan d’acculturation sécurité pour 3 rôles (dev, PO, ops)
Équipe pédagogique

Professionnel expert technique et pédagogique.

Accessibilité

03 au 05 novembre 2025