Vidéo
DEVSECOPS
À propos de cette formation
Niveau avancé requis
Description
Protocole HTTP
Introduction au TOP10 OWASP, TOP 25 SANS, Veracode
Hardening applicatif par la pratique
Hardening client/serveur par la pratique
En savoir plus
Objectifs pédagogiques
- Le candidat puisse comprendre, interpréter et illustrer les enjeux, le contexte de l’organisation.
- Le candidat doit pouvoir démontrer ses compétences techniques dans la recherche des vulnérabilités dans les systèmes et les reporter
- Le candidat doit pouvoir durcir une application WEB
- Le candidat doit pouvoir formaliser son audit à l’aide d’un rapport adapté à l’examen
Contenu de la formation
- Section 1 - les enjeux du DevSecOps pour les organisations
- Qu'est-ce que le DevOps ?
- Pourquoi séparer le Dev et les Ops ?
- DevOps versus modèle classique
- Le DevOps pour qui ?
- Philosophie de l’agile
- Et le DevSecOps ?
- Section 2 - problèmes de compréhension du
- DevSecOps par les managers de la SSI
- Château fort et défense en profondeur
- DevSecOps, quel modèle de sécurité
- Intégrer le DevSecOps dans un SMSI
- Section 3 - problèmes de compréhension du
- DevSecOps par les techniciens de la SSI
- Sécurité de l’information est une contrainte
- Donner un sens à la SSI
- Section 4 - intégrer le DevSecOps dans la gouvernance d'une organisation
- Les principales missions d’un manager en sécurité de l’information
- mission 1 - l’approche par les risques
- mission 2 - la conformité avec le socle normatif
- mission 3 - la mise en condition de sécurité (MCS)
- Section 5 - quel modèle, référentiel choisir pour le DevSecOps
- Microsoft SDL
- OWASP SAMM
- BSIMM
- OWASP ASVS
- Section 6 - phase 1, préparer un SDLC adapté
- Activité 1.1 - budgétiser un SDLC
- Activité 1.2 - Identifier un équipe pour le SDLC
- Section 7 - phase 2, former l’équipe au DevSecOps
- Activité 2.1 - créer une formation “tous les profils”
- Activité 2.2 - créer une formation “technique”
- Section 8 - phase 3, analyser les risques
- Fonctionnement d’une analyse de risque
- Activité 3.1 - obtenir les besoins de sécurité et les scénarios graves
- STRIDE et DIC(T)
- Spoofing, tampering, repudiation, information disclosure, denial of service, elevation of privilege
- Adapter les méthodes d’analyses de risques classiques au DevSecOps avec le Bugs bar
- Activité 3.2 - modéliser les menaces
- Qu’est-ce que la modélisation des menaces (Threat modeling)
- Créer un diagramme
- Identifier les menaces
- Utilisation de Microsoft Threat modeling tools
- Obtenir la vraisemblance des risques avec la modélisation des menaces
- Construire la matrice des risques via les objectifs de sécurité et la vraisemblance des menaces
- Activité 3.3 - calcul des risques
- Activité 3.4 - choisir une option de traitement
- Activité 3.5 - créer un plan de traitement des risques
- Ne pas oublier les données à caractère personnel
- Section 9 - phase 4, mise en conformité & intégration d’outils
- Aller plus loin avec l’implémentation d’un référentiel de conformité adapté au DevSecOps
- Activité 4.1 - Identifier les référentiels, normes, lois
- Activité 4.2 - appliquer l’analyse des écarts
- L’OWASP AVSV
- Activité 4.3 - intégration d’un SAST
- Activité 4.4 - intégration d’un DAST
- Section 10 - phase 5, auditer et améliorer la sécurité
- Activité 5.1 - planifier un test d’intrusion
- Activité 5.2 - adapter le système de suivi des bugs du SDLC à STRIDE
- Activité 5.3 - préparer un tableau de bord
- Activité 5.4 - préparer un plan de réponse à incident
- Activité 5.5 - aller plus loin avec un modèle de maturité
- Activité 5.6 - veille SSI
Suivi de l'exécution et évaluation des résultats
- Feuilles de présence
- Questions orales ou écrites (QCM)
- Mises en situation
- Formulaires d'évaluation de la formation
Diplôme / Certification
Diplôme visé par la formation
Certification de Qualification Professionnelle (CQP) non enregistré au RNCP ou au RS
Obtention par certification Examen à distance avec surveillance
Certification associée : ESD-MALFOUND
Durée de validité
3 années
Vidéo
L'organisme de formation
Want-school
Siège social: LE HAVRE
Public concerné
Consultant en sécurité de l’information
Risk manager
Chef de projet
Architecte Système d’Information
Étudiant
Pré-requis
Connaissances générales en sécurité des systèmes d’information
Connaissance en gestion des risques
Connaissance dans la pratique et l’implémentation d’un SMSI
Conditions d'accès
Accessibilité
Accessible aux personnes en situation de handicapDélai d'accès
2 semaines
Plus qu'une formation !
Ressources pédagogiques
- 4 heures avec une étude de cas et un rapport à rendre devant un jury de 45 minutes
- Examen OPENBOOK avec le droit aux supports de formation
- Le candidat a 90 jours avant de planifier son examen.
- Un diplôme numérique et physique est attribué au candidat
Autres formations qui peuvent vous intéresser
Connectez-vous !
Retrouvez vos formations, financements et Organismes préférés dans l'onglet
Pour conserver vos favoris, créer votre compte gratuit.
Se connecter