Plan du cours
1. Fondamentaux du DevSecOps : La sécurité intégrée dès la conception
🔍 À apprendre : Principes clés du DevSecOps & SDLC sécurisé
🛠️ Démo : Comparaison côte à côte des pipelines sécurisés traditionnels vs modernes
🔧 Atelier : Construisez votre premier modèle de pipeline activé DevSecOps
2. Bootcamp de tests de sécurité avec OWASP ZAP
💣 Simulation de brèche :
- Déployez une application vulnérable contenant des injections SQL (SQLi) & des attaques XSS
- Utilisez OWASP ZAP pour détuer et atténuer les menaces
⚙️ Tactiques de défense :
- Scannings automatisés avec ZAP
- Intégration CI/CD via l'API ZAP
🧪 Atelier : Personnalisez les analyses de base ZAP + les règles d'attaque
🎯 Défi : « Trouvez le panneau d'administration caché en 10 minutes »
3. Enfer des dépendances : Défense de la chaîne d'approvisionnement
💣 Simulation de brèche :
- Infectez un paquet npm malveillant avec des CVE connues
🛡️ Tactiques de défense :
- Surveillez les vulnérabilités avec OWASP Dependency-Track
- Appliquez des portes de politique qui échouent les builds en cas de CVE critiques
🧪 Atelier : Créez des politiques de vulnérabilité & des workflows d'alerte
⚠️ Démo choquante : « Comment une seule mauvaise dépendance peut prendre le contrôle de votre infrastructure »
4. Salle de commandement de la gestion des vulnérabilités
💣 Simulation de brèche :
- Exploitez des vulnérabilités non corrigées dans les conteneurs
🛡️ Tactiques de défense :
- Centralisez le reporting avec OWASP DefectDojo
- Scannez les conteneurs avec Trivy
🧪 Atelier : Construisez de vrais tableaux de bord pour le reporting aux CISO/dirigeants
🏁 Compétition : « Triage de 50 résultats plus rapidement que vos rivaux »
5. Exercice d'incendie sur les secrets & la configuration
💣 Simulation de brèche :
- Extrayez des secrets de l'historique Git en utilisant truffleHog
🛡️ Tactiques de défense :
- Mise en place de hooks pre-commit pour bloquer des motifs comme
password=.* - Utilisez l'araignée de configuration de ZAP pour révéler les paramètres dangereux
🧪 Atelier : Implémentez le scanning des secrets dans GitHub Actions
🚨 Retour à la réalité : « Votre mot de passe de base de données est dans Slack en ce moment même »
6. Conclusion : Plan de bataille DevSecOps
🧭 Feuille de route d'intégration OWASP :
- Planifiez votre adoption de DefectDojo, Dependency-Track et ZAP
📋 Plan d'action personnel :
- Rédigez votre liste de contrôle de sécurité sur 30 jours
- Définissez vos KPI DevSecOps & vos tableaux de bord de reporting
Pré requis
Expérience fondamentale en logiciel et en cycle de vie du développement logiciel (SDLC)
Public cible
Ingénieurs DevOps, Sécurité & Cloud qui détestent les discours théoriques sur la sécurité
Nos clients témoignent (2)
Craig était très impliqué dans la formation, toujours en s'assurant que nous prêtions attention, en adaptant les exemples à nos activités quotidiennes et en fournissant une réponse chaque fois qu'on lui posait une question, même si l'information n'était pas incluse dans la présentation.
Ecaterina Ioana Nicoale - BOOKING HOLDINGS ROMANIA SRL
Formation - DevOps Foundation®
Traduction automatique
Niveau élevé d’engagement et de connaissances du formateur
Jacek - Softsystem
Formation - DevOps Engineering Foundation (DOEF)®
Traduction automatique
