Een ogenblik, aub...Deze tekst werd automatisch vertaald door een online vertaler (DeepL) om als leidraad te dienen, om de inhoud van de informatie over de opleiding te helpen begrijpen. Wij wijzen alle verantwoordelijkheid voor de inhoud ervan af. Indien u wenst te reageren op deze vertaling, kunt u een e-mail sturen naar helpdesk@digitalcity.brussels.
DevSecOps : sécuriser la chaîne CI/CD et l’Infrastructure as Code
Georganiseerd door:
Wat zijn de doelstellingen van de opleiding?
Wat moet je weten om de cursus te volgen?
Opleidingsprogramma
Comprendre les principes du DevSecOps et du shift-left
Définir DevSecOps et ses différences avec les approches DevOps classiques
Comprendre le concept de « shift-left » et l’intégration de la sécurité tout au long du cycle de vie
Identifier les acteurs impliqués : Dev, Ops, Sec, Produit, Métiers
Cartographier une chaîne CI/CD type et repérer les points d’injection possibles de contrôles de sécurité
Atelier fil rouge : représenter la chaîne CI/CD de son organisation ou d’un cas d’école et identifier les points de contrôle potentiels
Intégrer la sécurité dans la chaîne CI/CD
Mettre en place des contrôles sur le code source : scan SAST, secrets, dépendances (SCA)
Sécuriser les images conteneurs dans les pipelines (scan d’images, réputation, politiques d’acceptation)
Contrôler la qualité des tests (tests de sécurité automatisés, fuzzing, tests API)
Gérer les résultats de scans et prioriser les corrections pour ne pas bloquer la livraison en continu
Atelier fil rouge : enrichir un pipeline CI/CD existant avec des étapes de scan de code, dépendances et images
Sécuriser l’Infrastructure as Code (IaC)
Identifier les principaux outils IaC (Terraform, Ansible, CloudFormation, Helm, etc.)
Comprendre les risques liés à l’IaC (mauvaises configurations répliquées, secrets dans les fichiers, sur-exposition réseau)
Mettre en œuvre des scans de configuration et des policies “as code” sur l’IaC
Intégrer ces contrôles dans les pipelines de build et de déploiement
Atelier fil rouge : analyser des fichiers Terraform / YAML et corriger des faiblesses de sécurité identifiées
Industrialiser DevSecOps : politiques, outils et collaboration
Définir des politiques de sécurité adaptées au contexte DevOps (niveau de sévérité, seuils de blocage)
Sélectionner et intégrer les outils adaptés à l’écosystème (SAST, SCA, DAST, IaC scan, secrets detection, etc.)
Organiser la collaboration entre équipes : revue conjointe des priorités, gestion des exceptions, backlog sécurité
Suivre des indicateurs de performance DevSecOps (vulnérabilités ouvertes, temps de correction, couverture scans)
Atelier fil rouge : construire un modèle de gouvernance DevSecOps et un tableau de bord de suivi des risques dans les pipelines
Construire une feuille de route DevSecOps réaliste
Évaluer la maturité actuelle de l’organisation en matière de DevSecOps
Identifier les quick wins et les chantiers structurants à plus long terme
Planifier le déploiement progressif des contrôles et des outils sur les différents projets et équipes
Préparer l’accompagnement au changement (formation, documentation, coaching) pour les équipes Dev et Ops
Atelier fil rouge final : formaliser une feuille de route DevSecOps sur 6 à 18 mois pour son contexte ou un cas d’école