DevSecOps : Sécurisez et Automatisez vos Déploiements Cloud

Information sur la formation

Référence interne de la formation : IBS_DEVSECOPS_DEPLOIE_CLOUD

Présentation :
Plongez dans l’univers du DevSecOps avec cette formation intensive qui intègre sécurité, automatisation et agilité dans les déploiements cloud.
Apprenez à sécuriser vos pipelines CI/CD, à protéger vos applications et à gérer les risques en temps réel.
Grâce à des ateliers pratiques ciblés, vous maîtriserez les outils et pratiques pour une sécurité opérationnelle robuste dans des environnements modernes, prête à être appliquée immédiatement.

Objectifs :
Comprendre les fondamentaux du DevSecOps
Sécuriser un pipeline CI/CD de bout en bout
Automatiser les contrôles de sécurité
Gérer les risques et conformités dans le cloud
Réagir efficacement aux menaces

Programme :
1 - Introduction au DevSecOps
Principes fondamentaux du DevSecOps
Différences entre DevOps et DevSecOps
Menaces spécifiques dans les environnements cloud
Culture de sécurité collaborative
Travaux pratiques : analyse d’un pipeline non sécurisé
2 - Sécurité dans CI/CD
Construction d’un pipeline CI/CD sécurisé
Shift Left Security : intégrer la sécurité dès le départ
Approche Security as Code pour l’automatisation
Bonnes pratiques pour des déploiements fiables
Travaux pratiques : ajout d’un test de sécurité dans CI
3 - Gestion IAM
Authentification et autorisation dans le cloud
Sécurisation des environnements de production
Configuration des politiques IAM dynamiques
Automatisation des accès pour réduire les risques
Travaux pratiques : configuration de rôles IAM sécurisés
4 - Sécurité applicative
Outils SAST, DAST, IAST : usages et différences
Détection des vulnérabilités dans le code source
Focus sur l’OWASP Top 10 et ses implications
Intégration des tests automatisés dans le workflow
Travaux pratiques : scan d’un code avec SAST
5 - Sécurité des conteneurs
Identification des risques liés aux conteneurs
Scan des images avec Trivy pour les vulnérabilités
Sécurisation via RBAC dans Kubernetes
Configuration des Network Policies pour l’isolation
Travaux pratiques : sécurisation d’une image Docker
6 - Conformité et gouvernance
Gestion des risques et conformité (GRC)
Standards NIST, ISO 27001 dans le cloud
Infrastructure as Code (IaC) et politiques associées
Vérification automatisée avec Checkov
Travaux pratiques : vérification d’un IaC avec Checkov
7 - Supervision et incidents
Surveillance proactive des applications et pipelines
Analyse des logs pour détecter les anomalies
Introduction aux outils SIEM et SOAR
Réponse rapide aux incidents de sécurité
Travaux pratiques : configuration d’un SIEM simple
8 - Pipeline DevSecOps
Intégration des tests de sécurité dans CI/CD
Automatisation des scans à chaque étape
Déploiements sécurisés avec validation continue
Gestion des alertes en temps réel
Travaux pratiques : création d’un pipeline sécurisé
9 - Gestion des secrets
Protection des secrets sensibles (clés, mots de passe)
Utilisation de Vault ou AWS Secrets Manager
Prévention des fuites dans le code et les pipelines
Mise en œuvre de bonnes pratiques de gestion
Travaux pratiques : stockage d’un secret avec Vault
10 - Réponse aux attaques
Simulation d’une attaque pour tester les défenses
Techniques de mitigation rapide des menaces
Élaboration d’un plan de reprise après incident
Renforcement proactif de la sécurité
Travaux pratiques : simulation d’une attaque XSS

Clients visés :

DevOps
SRE
Développeurs
Architectes
Responsables sécurité
Administrateurs

Mots-clés en rapport avec la formation :

DevSecOps
CI/CD sécurisé
Security as Code
Shift Left Security
SAST
DAST
Trivy
IAM
RBAC
Kubernetes
Vault
Checkov
SIEM
SOAR
Secrets Manager
Cloud security
OWASP
IaC
Scan vulnérabilités
Pipeline sécurisé
Automatisation sécurité
Conformité cloud
XSS
DevOps sécurisé