Formation
Management du DevSecOps

Certification : ESD-DEVSECOPSMANAGER

Cette formation présente les concepts du management en DevSecOps. L’objectif pour l’apprenant est d’acquérir une méthode ESD, des outils afin de pouvoir créer un cycle de développement sécurisé. 

Public : manager en sécurité de l'information.

Prérequis : connaissances généralistes en sécurité de l'information, gestion des risques, conformité SSI.

Un mot sur l’auteur de la certification

Photo Jérôme THÉMÉE

Jérôme THEMEE

Passionné par la cybersécurité depuis 1998, Jérôme a évolué au sein de la formation en informatique et plus particulièrement de la sécurité de l’information.

Aujourd’hui, il est fondateur de l’ESD Cybersecurity Academy, réserviste opérationnel cyberdéfense au COMCYBER et animateur du Cercle des formateurs pour le Club EBIOS.

Profil

Programme de la formation

    Jour 1 matin

    • Section 1 – les enjeux du DevSecOps pour les organisations
      • Qu’est-ce que le DevOps ?
      • Pourquoi séparer le Dev et les Ops ?
      • DevOps versus modèle classique
      • Le DevOps pour qui ?
      • Philosophie de l’agile
      • Et le DevSecOps ?
    • Section 2 – problèmes de compréhension du DevSecOps par les managers de la SSI
      • Château fort et défense en profondeur
      • DevSecOps, quel modèle de sécurité
      • Intégrer le DevSecOps dans un SMSI 
    • Section 3 – problèmes de compréhension du DevSecOps par les techniciens de la SSI
      • Sécurité de l’information est une contrainte
      • Donner un sens à la SSI

      Jour 1 après-midi

      • Section 4 – intégrer le DevSecOps dans la gouvernance d’une organisation
        • Les principales missions d’un manager en sécurité de l’information
        • mission 1 – l’approche par les risques
        • mission 2 – la conformité avec le socle normatif
        • mission 3 – la mise en condition de sécurité (MCS)
      • Section 5 – quel modèle, référentiel choisir pour le DevSecOps
        • Microsoft SDL
        • OWASP SAMM
        • BSIMM
        • OWASP ASVS

        Jour 2 matin

        • Section 6 – phase 1, préparer un SDLC adapté 
          • Activité 1.1 – budgétiser un SDLC
          • Activité 1.2 – Identifier un équipe pour le SDLC
        • Section 7 – phase 2, former l’équipe au DevSecOps
          • Activité 2.1 – créer une formation “tous les profils”
          • Activité 2.2 – créer une formation “technique”

          Jour 2 après-midi

          • Section 8 – phase 3, analyser les risques
            • Fonctionnement d’une analyse de risque
            • Activité 3.1 – obtenir les besoins de sécurité et les scénarios graves
            • STRIDE et DIC(T)
            • Spoofing, tampering, repudiation, information disclosure, denial of service, elevation of privilege
            • Adapter les méthodes d’analyses de risques classiques au DevSecOps avec le Bugs bar
            • Activité 3.2 – modéliser les menaces
            • Qu’est-ce que la modélisation des menaces (Threat modeling)
            • Créer un diagramme
            • Identifier les menaces
            • Utilisation de Microsoft Threat modeling tools
            • Obtenir la vraisemblance des risques avec la modélisation des menaces
            • Construire la matrice des risques via les objectifs de sécurité et la vraisemblance des menaces
            • Activité 3.3 – calcul des risques
            • Activité 3.4 – choisir une option de traitement
            • Activité 3.5 – créer un plan de traitement des risques
            • Ne pas oublier les données à caractère personnel

            Jour 3 matin

            • Section 9 – phase 4, mise en conformité & intégration d’outils
              • Aller plus loin avec l’implémentation d’un référentiel de conformité adapté au DevSecOps
              • Activité 4.1 – Identifier les référentiels, normes, lois
              • Activité 4.2 – appliquer l’analyse des écarts
              • L’OWASP AVSV
              • Activité 4.3 – intégration d’un SAST
              • Activité 4.4 – intégration d’un DAST

              Jour 3 après-midi

              • Section 10 – phase 5, auditer et améliorer la sécurité
                • Activité 5.1 – planifier un test d’intrusion
                • Activité 5.2 – adapter le système de suivi des bugs du SDLC à STRIDE
                • Activité 5.3 – préparer un tableau de bord
                • Activité 5.4 – préparer un plan de réponse à incident
                • Activité 5.5 – aller plus loin avec un modèle de maturité 
                • Activité 5.6 – veille SSI

              Formateurs officiels ESD

              Liste des formateurs certifiés par l’ESD pour cette formation.

              Photo Jérôme THÉMÉE
              Jérôme THEMEE

              La formation comprend

              Support papier
              Cahier d'exercices & examen blanc
              Étude de cas

              Vous êtes manager du DevSecOps

              Certifier votre métier avec notre certification ESD-DEVSECOPSMANAGER

              Newsletter

              Contact