Cette formation certifiante DevSecOps Engineering (DSOE) est conçue les personnes intéressées par les stratégies et l'automatisation DevSecOps, ou impliquées dans les architectures de la chaîne d'outils de livraison continue, et souhaitant se préparer à la certification DSOE. Si vous souhaitez tirer pleinement parti de l'agilité et de la réactivité d'une approche DevOps, vous devez également intégrer la sécurité informatique au cycle de vie complet de vos applications. À présent, dans le cadre de travail collaboratif du modèle DevOps, la sécurité est une responsabilité partagée, intégrée du début à la fin. Cette notion est si importante qu'elle a donné naissance à l'expression « DevSecOps » pour souligner la nécessité d'intégrer la sécurité aux projets DevOps. Au cours de cette formation, les apprenants comprennent donc le but, les avantages, les concepts et le vocabulaire de DevSecOps, et notamment comment intégrer les rôles DevSecOps à une culture et une organisation DevOps.
Objectifs pédagogiques
Comprendre le but, les avantages, les concepts et le vocabulaire de DevSecOps
Discerner les différences entre les pratiques de sécurité DevOps et les autres approches de sécurité
Déceler les stratégies de sécurité axées sur l'entreprise
Comprendre et appliquer les sciences des données et de la sécurité
Assimiler l'utilisation et les avantages des équipes rouges et bleues
Découvrir l'intégration de la sécurité dans les workflows de livraison continue
Comprendre comment les rôles DevSecOps s'intègrent à une culture et une organisation DevOps.
Niveau requis
Aucun.
Public concerné
Toute personne intéressée à en apprendre d'avantage sur les stratégies et l'automatisation DevSecOps, ou impliquée dans les architectures de la chaîne d'outils de livraison continue. Equipes de conformité, personnels de livraison, ingénieurs DevOps, responsables informatiques, professionnels, praticiens et managers de la sécurité informatique, personnels d'entretien et de soutien, fournisseurs de services gérés, chefs de projets et de produits, équipes d'assurance qualité, Release Managers, Scrum Masters, ingénieurs en fiabilité de site, ingénieurs logiciels et/ou testeurs.
Partenaire / éditeur
Programme
Introduction au cours
Objectifs du cours
Déroulement du cours
Exemple de travaux pratiques (à titre indicatif)
Schématiser votre pipeline CI/CD
Pourquoi DevSecOps ?
Termes et concepts-clés
Pourquoi DevSecOps est important ?
3 façons de penser l'approche DevOps avec la sécurité
Principes clés de DevSecOps
Culture et gestion
Termes et concepts-clés
Modèle d'incitation
Résistance
Culture organisationnelle
Générativité
Erickson, Westrum et LaLoux
Exemple de travaux pratiques (à titre indicatif)
Influencer la culture
Considérations stratégiques
Termes et concepts-clés
Quel niveau de sécurité est suffisant ?
Modélisation des menaces
Le contexte est essentiel
Gestion des risques dans un monde à grande vitesse
Exemple de travaux pratiques (à titre indicatif)
Mesurer pour réussir
Considérations générales sur la sécurité
Eviter le piège des cases à cocher
Hygiène de base en matière de sécurité
Considérations architecturales
Identité fédérée
Gestion des logs
IAM (Identity and Access Management) : gestion des identités et des accès
Termes et concepts-clés
Concepts de base IAM
Pourquoi IAM est important ?
Conseils de mise en oeuvre
Opportunités d'automatisation
Comment se blesser avec IAM ?
Exemple de travaux pratiques (à titre indicatif)
Surmonter les défis de l'IAM
Sécurité des applications
Tests de sécurité des applications (Application Security Testing)
Techniques de test
Prioriser les techniques de test
Intégration de la gestion des problèmes
Modélisation des menaces
Tirer parti de l'automatisation
Sécurité opérationnelle
Termes et concepts-clés
Pratiques de l'hygiène de base en matière de sécurité
Rôle de la gestion des opérations
L'environnement des opérations
Exemple de travaux pratiques (à titre indicatif)
Ajouter de la sécurité à votre pipeline CI/CD
Gouvernance, Risque, Conformité (GRC) et audit
Termes et concepts-clés
Qu'est-ce que la GRC ?
Pourquoi se soucier de la GRC ?
Repenser les politiques
Politique comme code
Déplacer l'audit vers la gauche
3 mythes sur la séparation des tâches vs DevOps
Exemple de travaux pratiques (à titre indicatif)
Faire fonctionner les politiques, l'audit et la conformité avec DevOps
Journalisation, surveillance et réponse
Termes et concepts-clés
Configuration de la gestion des logs
Réponse aux incidents et forensics
Intelligence des menaces et partage d'informations
Révision du cours
Où nous avons commencé
Ce que nous avons couvert
Rappels clés de ce qui est important
Exemple de travaux pratiques (à titre indicatif)
Création d'un plan d'action personnel
Préparation à l'examen de certification "DevSecOps Foundation"
Passage de la certification
Le prix et le passage de l'examen sont inclus dans la formation
L'examen (en anglais) a lieu le dernier jour, à l'issue de la formation et s'effectue en ligne, pour une durée moyenne de 1h00
Il s'agit d'un QCM de 40 questions (65% de bonnes réponses sont nécessaires pour l'obtention de la certification)
Modalités d’évaluation des acquis
L'évaluation des acquis se fait :
En cours de formation, par des études de cas ou des travaux pratiques
Et, en fin de formation, par un questionnaire d'auto-évaluation ou une certification (M2i ou éditeur)
M2i, leader de la formation IT, Digital et Management depuis plus de 30 ans, propose plus de 2400 cursus disponibles en présentiel partout en France, et à distance ou en e-Learning.