Formation Management du DevSecOps
- Financement CPF possible
- Durée : 2 jours
- Prix : 1400 Euros HT (certification ESD-DEVSECOPSMANAGER+ 799 € HT)
- Disponible en ligne
- Bloc 4 RNCP : francecompetences.fr/recherche/rncp/36399/
Public : manager en sécurité de l’information.
Prérequis : connaissances généralistes en sécurité de l’information, gestion des risques, conformité SSI.
Description :
Objectifs pédagogiques :
Un mot sur les auteurs du support
Jérôme THEMEE
Passionné par la cybersécurité depuis 1998, Jérôme a évolué au sein de la formation en informatique et plus particulièrement de la sécurité de l’information.
Aujourd’hui, il est :
- fondateur de l’ESD Cybersecurity Academy ;
- réserviste opérationnel cyberdéfense au COMCYBER ;
- animateur du Cercle des formateurs pour le Club EBIOS.
Programme de la formation
Jour 1 matin
Section 1 – Les enjeux du DevSecOps pour les organisations
- Comprendre le DevOps et ses enjeux
- Différences entre DevOps et modèle classique
- Les bénéfices du DevSecOps
- La philosophie de l’agile
Section 2 – Les problèmes de compréhension du DevSecOps par les managers de la SSI
- Le modèle de sécurité DevSecOps
- L’intégration du DevSecOps dans un SMSI
- Les approches de défense en profondeur
Section 3 – Les problèmes de compréhension du DevSecOps par les techniciens de la SSI
- La perception de la sécurité de l’information comme une contrainte
- Donner un sens à la sécurité de l’information
Jour 1 après-midi
Section 4 – Intégrer le DevSecOps dans la gouvernance d’une organisation
- Les missions principales d’un manager en sécurité de l’information
- Approche par les risques
- Conformité avec le socle normatif
- La mise en condition de sécurité (MCS)
Section 5 – Quel modèle, référentiel choisir pour le DevSecOps
- Présentation des différents modèles et référentiels
- Microsoft SDL
- OWASP SAMM
- BSIMM
- OWASP ASVS
Jour 2
Section 6 – Phase 1 : Préparer un SDLC adapté
- Activité 1.1 : budgétiser un SDLC
- Activité 1.2 : Identifier une équipe pour le SDLC
Section 7 – Phase 2 : Former l’équipe au DevSecOps
- Activité 2.1 : Créer une formation “tous les profils”
- Activité 2.2 : Créer une formation “technique”
Section 8 – Phase 3, Analyser les risques
- Fonctionnement d’une analyse de risque
- Activité 3.1: Obtenir les besoins de sécurité et les scénarios graves
- STRIDE et DIC(T)
- Spoofing, tampering, repudiation, information disclosure, denial of service, elevation of privilege
- Adapter les méthodes d’analyses de risques classiques au DevSecOps avec le Bugs bar
- Activité 3.2: Modéliser les menaces
- Qu’est-ce que la modélisation des menaces (Threat modeling)
- Créer un diagramme
- Identifier les menaces
- Utilisation de Microsoft Threat modeling tools
- Obtenir la vraisemblance des risques avec la modélisation des menaces
- Construire la matrice des risques via les objectifs de sécurité et la vraisemblance des menaces
- Activité 3.3: Calcul des risques
- Activité 3.4: Choisir une option de traitement
- Activité 3.5: Créer un plan de traitement des risques
- Ne pas oublier les données à caractère personnel
Section 9 – Phase 4, Mise en conformité et intégration d’outils
- Aller plus loin avec l’implémentation d’un référentiel de conformité adapté au DevSecOps
- Activité 4.1: Identifier les référentiels, normes, lois
- Activité 4.2: Appliquer l’analyse des écarts
- L’OWASP AVSV
- Activité 4.3: Intégration d’un SAST
- Activité 4.4: Intégration d’un DAST
Section 10 – Phase 5, Auditer et améliorer la sécurité
- Activité 5.1: Planifier un test d’intrusion
- Activité 5.2: Adapter le système de suivi des bugs du SDLC à STRIDE
- Activité 5.3: Préparer un tableau de bord
- Activité 5.4: Préparer un plan de réponse à incident
- Activité 5.5: Aller plus loin avec un modèle de maturité
- Activité 5.6: Veille SSI
Formateurs officiels ESD
Liste des formateurs certifiés par l’ESD pour cette formation.
La formation comprend
Support papier
Cahier d'exercices & examen blanc
Étude de cas
Vous êtes manager du DevSecOps
Certifier votre métier avec notre certification ESD-DEVSECOPSMANAGER