DEVSECOPS

Objectifs pédagogiques

• Le candidat puisse comprendre, interpréter et illustrer les enjeux, le contexte de l’organisation.
• Le candidat doit pouvoir démontrer ses compétences techniques dans la recherche des vulnérabilités dans les systèmes et les reporter
• Le candidat doit pouvoir durcir une application WEB
• Le candidat doit pouvoir formaliser son audit à l’aide d’un rapport adapté à l’examen

Contenu de la formation

• Section 1 - les enjeux du DevSecOps pour les organisations
• Qu'est-ce que le DevOps ?
• Pourquoi séparer le Dev et les Ops ?
• DevOps versus modèle classique
• Le DevOps pour qui ?
• Philosophie de l’agile
• Et le DevSecOps ?
• Section 2 - problèmes de compréhension du
• DevSecOps par les managers de la SSI
• Château fort et défense en profondeur
• DevSecOps, quel modèle de sécurité
• Intégrer le DevSecOps dans un SMSI
• Section 3 - problèmes de compréhension du
• DevSecOps par les techniciens de la SSI
• Sécurité de l’information est une contrainte
• Donner un sens à la SSI
• Section 4 - intégrer le DevSecOps dans la gouvernance d'une organisation
• Les principales missions d’un manager en sécurité de l’information
• mission 1 - l’approche par les risques
• mission 2 - la conformité avec le socle normatif
• mission 3 - la mise en condition de sécurité (MCS)
• Section 5 - quel modèle, référentiel choisir pour le DevSecOps
• Microsoft SDL
• OWASP SAMM
• BSIMM
• OWASP ASVS
• Section 6 - phase 1, préparer un SDLC adapté
• Activité 1.1 - budgétiser un SDLC
• Activité 1.2 - Identifier un équipe pour le SDLC
• Section 7 - phase 2, former l’équipe au DevSecOps
• Activité 2.1 - créer une formation “tous les profils”
• Activité 2.2 - créer une formation “technique”
• Section 8 - phase 3, analyser les risques
• Fonctionnement d’une analyse de risque
• Activité 3.1 - obtenir les besoins de sécurité et les scénarios graves
• STRIDE et DIC(T)
• Spoofing, tampering, repudiation, information disclosure, denial of service, elevation of privilege
• Adapter les méthodes d’analyses de risques classiques au DevSecOps avec le Bugs bar
• Activité 3.2 - modéliser les menaces
• Qu’est-ce que la modélisation des menaces (Threat modeling)
• Créer un diagramme
• Identifier les menaces
• Utilisation de Microsoft Threat modeling tools
• Obtenir la vraisemblance des risques avec la modélisation des menaces
• Construire la matrice des risques via les objectifs de sécurité et la vraisemblance des menaces
• Activité 3.3 - calcul des risques
• Activité 3.4 - choisir une option de traitement
• Activité 3.5 - créer un plan de traitement des risques
• Ne pas oublier les données à caractère personnel
• Section 9 - phase 4, mise en conformité & intégration d’outils
• Aller plus loin avec l’implémentation d’un référentiel de conformité adapté au DevSecOps
• Activité 4.1 - Identifier les référentiels, normes, lois
• Activité 4.2 - appliquer l’analyse des écarts
• L’OWASP AVSV
• Activité 4.3 - intégration d’un SAST
• Activité 4.4 - intégration d’un DAST
• Section 10 - phase 5, auditer et améliorer la sécurité
• Activité 5.1 - planifier un test d’intrusion
• Activité 5.2 - adapter le système de suivi des bugs du SDLC à STRIDE
• Activité 5.3 - préparer un tableau de bord
• Activité 5.4 - préparer un plan de réponse à incident
• Activité 5.5 - aller plus loin avec un modèle de maturité
• Activité 5.6 - veille SSI

Suivi de l'exécution et évaluation des résultats

• Feuilles de présence
• Questions orales ou écrites (QCM)
• Mises en situation
• Formulaires d'évaluation de la formation

Diplôme visé par la formation

Certification de Qualification Professionnelle (CQP) non enregistré au RNCP ou au RS

Obtention par certification Examen à distance avec surveillance

Certification associée : ESD-MALFOUND

Durée de validité

3 années