Formation
Management du DevSecOps

Certification : ESD-DEVSECOPSMANAGER

Cette formation présente les concepts du management en DevSecOps. L’objectif pour l’apprenant est d’acquérir une méthode ESD, des outils afin de pouvoir créer un cycle de développement sécurisé. 

Public : manager en sécurité de l'information.

Prérequis : connaissances généralistes en sécurité de l'information, gestion des risques, conformité SSI.

Un mot sur les auteurs du support

Photo Jérôme THÉMÉE

Jérôme THEMEE

Passionné par la cybersécurité depuis 1998, Jérôme a évolué au sein de la formation en informatique et plus particulièrement de la sécurité de l’information.

Aujourd’hui, il est :

  • fondateur de l’ESD Cybersecurity Academy ;
  • réserviste opérationnel cyberdéfense au COMCYBER ;
  • animateur du Cercle des formateurs pour le Club EBIOS.

Programme de la formation

Jour 1 matin

  • Section 1 – les enjeux du DevSecOps pour les organisations
    • Qu’est-ce que le DevOps ?
    • Pourquoi séparer le Dev et les Ops ?
    • DevOps versus modèle classique
    • Le DevOps pour qui ?
    • Philosophie de l’agile
    • Et le DevSecOps ?
  • Section 2 – problèmes de compréhension du DevSecOps par les managers de la SSI
    • Château fort et défense en profondeur
    • DevSecOps, quel modèle de sécurité
    • Intégrer le DevSecOps dans un SMSI 
  • Section 3 – problèmes de compréhension du DevSecOps par les techniciens de la SSI
    • Sécurité de l’information est une contrainte
    • Donner un sens à la SSI

Jour 1 après-midi

  • Section 4 – intégrer le DevSecOps dans la gouvernance d’une organisation
    • Les principales missions d’un manager en sécurité de l’information
    • mission 1 – l’approche par les risques
    • mission 2 – la conformité avec le socle normatif
    • mission 3 – la mise en condition de sécurité (MCS)
  • Section 5 – quel modèle, référentiel choisir pour le DevSecOps
    • Microsoft SDL
    • OWASP SAMM
    • BSIMM
    • OWASP ASVS

Jour 2 matin

  • Section 6 – phase 1, préparer un SDLC adapté 
    • Activité 1.1 – budgétiser un SDLC
    • Activité 1.2 – Identifier un équipe pour le SDLC
  • Section 7 – phase 2, former l’équipe au DevSecOps
    • Activité 2.1 – créer une formation “tous les profils”
    • Activité 2.2 – créer une formation “technique”

Jour 2 après-midi

  • Section 8 – phase 3, analyser les risques
    • Fonctionnement d’une analyse de risque
    • Activité 3.1 – obtenir les besoins de sécurité et les scénarios graves
    • STRIDE et DIC(T)
    • Spoofing, tampering, repudiation, information disclosure, denial of service, elevation of privilege
    • Adapter les méthodes d’analyses de risques classiques au DevSecOps avec le Bugs bar
    • Activité 3.2 – modéliser les menaces
    • Qu’est-ce que la modélisation des menaces (Threat modeling)
    • Créer un diagramme
    • Identifier les menaces
    • Utilisation de Microsoft Threat modeling tools
    • Obtenir la vraisemblance des risques avec la modélisation des menaces
    • Construire la matrice des risques via les objectifs de sécurité et la vraisemblance des menaces
    • Activité 3.3 – calcul des risques
    • Activité 3.4 – choisir une option de traitement
    • Activité 3.5 – créer un plan de traitement des risques
    • Ne pas oublier les données à caractère personnel

 

  • Section 9 – phase 4, mise en conformité & intégration d’outils
    • Aller plus loin avec l’implémentation d’un référentiel de conformité adapté au DevSecOps
    • Activité 4.1 – Identifier les référentiels, normes, lois
    • Activité 4.2 – appliquer l’analyse des écarts
    • L’OWASP AVSV
    • Activité 4.3 – intégration d’un SAST
    • Activité 4.4 – intégration d’un DAST

 

  • Section 10 – phase 5, auditer et améliorer la sécurité
    • Activité 5.1 – planifier un test d’intrusion
    • Activité 5.2 – adapter le système de suivi des bugs du SDLC à STRIDE
    • Activité 5.3 – préparer un tableau de bord
    • Activité 5.4 – préparer un plan de réponse à incident
    • Activité 5.5 – aller plus loin avec un modèle de maturité 
    • Activité 5.6 – veille SSI

Formateurs officiels ESD

Liste des formateurs certifiés par l’ESD pour cette formation.

Photo Jérôme THÉMÉE
Jérôme THEMEE

La formation comprend

Support papier
Cahier d'exercices & examen blanc
Étude de cas

Vous êtes manager du DevSecOps

Certifier votre métier avec notre certification ESD-DEVSECOPSMANAGER

Newsletter

Contact