Se connecter

Formation Management du DevSecOps

Image certification ESD-DEVSECOPSMANAGER

Public : manager en sécurité de l’information.

Prérequis : connaissances généralistes en sécurité de l’information, gestion des risques, conformité SSI.

Description : 
La formation “Management du DevSecOps” proposée par l’ESD Cybersecurity Academy est une formation pratique pour les professionnels de la sécurité informatique qui cherchent à acquérir des compétences en matière de gestion de projets de développement sécurisé, en adoptant les bonnes pratiques de DevSecOps. La formation couvre un large éventail de sujets, y compris les normes et méthodologies de développement, l’analyse de risque adaptée au DevOps, gestion des incidents de sécurité. Cette formation est adaptée au manager de la sécurité qui souhaitent monter en compétence sur les sujets DevSecOps.
Objectifs pédagogiques :
-Comprendre les concepts de DevOps et DevSecOps ainsi que leurs avantages et leurs limites
– Comprendre l’impact de la sécurité sur les pipelines DevOps et comment intégrer la sécurité dès le début du cycle de vie du développement logiciel
– Comprendre les différents outils, processus et techniques utilisés dans le cadre de DevSecOps
– Savoir mettre en place et gérer des processus DevSecOps efficaces pour les équipes de développement
– Comprendre les pratiques de conformité, de gouvernance et de conformité réglementaire en matière de DevSecOps
– Savoir communiquer et collaborer efficacement avec les équipes de développement, de sécurité et de gestion pour assurer une approche cohérente de la sécurité dans l’ensemble de l’organisation

Un mot sur les auteurs du support

Photo Jérôme THÉMÉE

Jérôme THEMEE

Passionné par la cybersécurité depuis 1998, Jérôme a évolué au sein de la formation en informatique et plus particulièrement de la sécurité de l’information.

Aujourd’hui, il est :

  • fondateur de l’ESD Cybersecurity Academy ;
  • réserviste opérationnel cyberdéfense au COMCYBER ;
  • animateur du Cercle des formateurs pour le Club EBIOS.

Programme de la formation

Jour 1 matin

Section 1 – Les enjeux du DevSecOps pour les organisations

  • Comprendre le DevOps et ses enjeux
  • Différences entre DevOps et modèle classique
  • Les bénéfices du DevSecOps
  • La philosophie de l’agile

Section 2 – Les problèmes de compréhension du DevSecOps par les managers de la SSI

  • Le modèle de sécurité DevSecOps
  • L’intégration du DevSecOps dans un SMSI
  • Les approches de défense en profondeur

Section 3 – Les problèmes de compréhension du DevSecOps par les techniciens de la SSI

  • La perception de la sécurité de l’information comme une contrainte
  • Donner un sens à la sécurité de l’information

Jour 1 après-midi

Section 4 – Intégrer le DevSecOps dans la gouvernance d’une organisation

  • Les missions principales d’un manager en sécurité de l’information
  • Approche par les risques
  • Conformité avec le socle normatif
  • La mise en condition de sécurité (MCS)

Section 5 – Quel modèle, référentiel choisir pour le DevSecOps

  • Présentation des différents modèles et référentiels
  • Microsoft SDL
  • OWASP SAMM
  • BSIMM
  • OWASP ASVS

Jour 2

Section 6 – Phase 1 : Préparer un SDLC adapté

  • Activité 1.1 : budgétiser un SDLC
  • Activité 1.2 : Identifier une équipe pour le SDLC

Section 7 – Phase 2 : Former l’équipe au DevSecOps

  • Activité 2.1 : Créer une formation “tous les profils”
  • Activité 2.2 : Créer une formation “technique”

Section 8 – Phase 3, Analyser les risques

  • Fonctionnement d’une analyse de risque
  • Activité 3.1: Obtenir les besoins de sécurité et les scénarios graves
  • STRIDE et DIC(T)
  • Spoofing, tampering, repudiation, information disclosure, denial of service, elevation of privilege
  • Adapter les méthodes d’analyses de risques classiques au DevSecOps avec le Bugs bar
  • Activité 3.2: Modéliser les menaces
  • Qu’est-ce que la modélisation des menaces (Threat modeling)
  • Créer un diagramme
  • Identifier les menaces
  • Utilisation de Microsoft Threat modeling tools
  • Obtenir la vraisemblance des risques avec la modélisation des menaces
  • Construire la matrice des risques via les objectifs de sécurité et la vraisemblance des menaces
  • Activité 3.3: Calcul des risques
  • Activité 3.4: Choisir une option de traitement
  • Activité 3.5: Créer un plan de traitement des risques
  • Ne pas oublier les données à caractère personnel

Section 9 – Phase 4, Mise en conformité et intégration d’outils

  • Aller plus loin avec l’implémentation d’un référentiel de conformité adapté au DevSecOps
  • Activité 4.1: Identifier les référentiels, normes, lois
  • Activité 4.2: Appliquer l’analyse des écarts
  • L’OWASP AVSV
  • Activité 4.3: Intégration d’un SAST
  • Activité 4.4: Intégration d’un DAST

Section 10 – Phase 5, Auditer et améliorer la sécurité

  • Activité 5.1: Planifier un test d’intrusion
  • Activité 5.2: Adapter le système de suivi des bugs du SDLC à STRIDE
  • Activité 5.3: Préparer un tableau de bord
  • Activité 5.4: Préparer un plan de réponse à incident
  • Activité 5.5: Aller plus loin avec un modèle de maturité
  • Activité 5.6: Veille SSI

Formateurs officiels ESD

Liste des formateurs certifiés par l’ESD pour cette formation.

Photo Jérôme THÉMÉE
Jérôme THEMEE

La formation comprend

Support papier
Cahier d'exercices & examen blanc
Étude de cas

Vous êtes manager du DevSecOps

Certifier votre métier avec notre certification ESD-DEVSECOPSMANAGER