DEVSECOPS
Management du DevSecOps
Formation créée le 16/04/2023. Dernière mise à jour le 20/02/2024.
Version du programme : 1
Programme de la formation
Protocole HTTP Introduction au TOP10 OWASP, TOP 25 SANS, Veracode Hardening applicatif par la pratique Hardening client/serveur par la pratique
Objectifs de la formation
- Le candidat puisse comprendre, interpréter et illustrer les enjeux, le contexte de l’organisation.
- Le candidat doit pouvoir démontrer ses compétences techniques dans la recherche des vulnérabilités dans les systèmes et les reporter
- Le candidat doit pouvoir durcir une application WEB
- Le candidat doit pouvoir formaliser son audit à l’aide d’un rapport adapté à l’examen
Profil des bénéficiaires
Pour qui
- Consultant en sécurité de l’information
- Risk manager
- Chef de projet
- Architecte Système d’Information
- Étudiant
Prérequis
- Connaissances générales en sécurité des systèmes d’information
- Connaissance en gestion des risques
- Connaissance dans la pratique et l’implémentation d’un SMSI
Contenu de la formation
-
Section 1 - les enjeux du DevSecOps pour les organisations
- Qu'est-ce que le DevOps ?
- Pourquoi séparer le Dev et les Ops ?
- DevOps versus modèle classique
- Le DevOps pour qui ?
- Philosophie de l’agile
- Et le DevSecOps ?
-
Section 2 - problèmes de compréhension du
- DevSecOps par les managers de la SSI
- Château fort et défense en profondeur
- DevSecOps, quel modèle de sécurité
- Intégrer le DevSecOps dans un SMSI
-
Section 3 - problèmes de compréhension du
- DevSecOps par les techniciens de la SSI
- Sécurité de l’information est une contrainte
- Donner un sens à la SSI
-
Section 4 - intégrer le DevSecOps dans la gouvernance d'une organisation
- Les principales missions d’un manager en sécurité de l’information
- mission 1 - l’approche par les risques
- mission 2 - la conformité avec le socle normatif
- mission 3 - la mise en condition de sécurité (MCS)
-
Section 5 - quel modèle, référentiel choisir pour le DevSecOps
- Microsoft SDL
- OWASP SAMM
- BSIMM
- OWASP ASVS
-
Section 6 - phase 1, préparer un SDLC adapté
- Activité 1.1 - budgétiser un SDLC
- Activité 1.2 - Identifier un équipe pour le SDLC
-
Section 7 - phase 2, former l’équipe au DevSecOps
- Activité 2.1 - créer une formation “tous les profils”
- Activité 2.2 - créer une formation “technique”
-
Section 8 - phase 3, analyser les risques
- Fonctionnement d’une analyse de risque
- Activité 3.1 - obtenir les besoins de sécurité et les scénarios graves
- STRIDE et DIC(T)
- Spoofing, tampering, repudiation, information disclosure, denial of service, elevation of privilege
- Adapter les méthodes d’analyses de risques classiques au DevSecOps avec le Bugs bar
- Activité 3.2 - modéliser les menaces
- Qu’est-ce que la modélisation des menaces (Threat modeling)
- Créer un diagramme
- Identifier les menaces
- Utilisation de Microsoft Threat modeling tools
- Obtenir la vraisemblance des risques avec la modélisation des menaces
- Construire la matrice des risques via les objectifs de sécurité et la vraisemblance des menaces
- Activité 3.3 - calcul des risques
- Activité 3.4 - choisir une option de traitement
- Activité 3.5 - créer un plan de traitement des risques
- Ne pas oublier les données à caractère personnel
-
Section 9 - phase 4, mise en conformité & intégration d’outils
- Aller plus loin avec l’implémentation d’un référentiel de conformité adapté au DevSecOps
- Activité 4.1 - Identifier les référentiels, normes, lois
- Activité 4.2 - appliquer l’analyse des écarts
- L’OWASP AVSV
- Activité 4.3 - intégration d’un SAST
- Activité 4.4 - intégration d’un DAST
-
Section 10 - phase 5, auditer et améliorer la sécurité
- Activité 5.1 - planifier un test d’intrusion
- Activité 5.2 - adapter le système de suivi des bugs du SDLC à STRIDE
- Activité 5.3 - préparer un tableau de bord
- Activité 5.4 - préparer un plan de réponse à incident
- Activité 5.5 - aller plus loin avec un modèle de maturité
- Activité 5.6 - veille SSI
Suivi de l'exécution et évaluation des résultats
- Feuilles de présence
- Questions orales ou écrites (QCM)
- Mises en situation
- Formulaires d'évaluation de la formation
Ressources techniques et pédagogiques
- 4 heures avec une étude de cas et un rapport à rendre devant un jury de 45 minutes
- Examen OPENBOOK avec le droit aux supports de formation
- Le candidat a 90 jours avant de planifier son examen.
- Un diplôme numérique et physique est attribué au candidat
Qualité et satisfaction
Taux de réussite
Modalités de certification
Modalité d'obtention
- Obtention par certification Examen à distance avec surveillance
Détails sur la certification
- Certification associée : ESD-MALFOUND
Durée de validité
- 3 ans
Délai d'accès
2 semaines
Accessibilité
Accessible aux personnes en situation de handicap