contact@w-ant.fr 0232857053 LinkedIn
Visitez notre site web
Logo de l'organisme de formation

ACCELERATEUR DE POTENTIELS

Représentation de la formation : DEVSECOPS

DEVSECOPS

Management du DevSecOps

Formation à distance
Formation certifiante
CPF #
Accessible
Durée : 35 heures (5 jours)
Durée :35 heures (5 jours)
Net de TVA

Éligible CPF

Se préinscrire
Durée :35 heures (5 jours)
Net de TVA

Éligible CPF

Se préinscrire
Durée :35 heures (5 jours)
Net de TVA

Éligible CPF

Se préinscrire

Formation créée le 16/04/2023. Dernière mise à jour le 20/02/2024.

Version du programme : 1

Programme de la formation

Protocole HTTP Introduction au TOP10 OWASP, TOP 25 SANS, Veracode Hardening applicatif par la pratique Hardening client/serveur par la pratique

Objectifs de la formation

  • Le candidat puisse comprendre, interpréter et illustrer les enjeux, le contexte de l’organisation.
  • Le candidat doit pouvoir démontrer ses compétences techniques dans la recherche des vulnérabilités dans les systèmes et les reporter
  • Le candidat doit pouvoir durcir une application WEB
  • Le candidat doit pouvoir formaliser son audit à l’aide d’un rapport adapté à l’examen

Profil des bénéficiaires

Pour qui
  • Consultant en sécurité de l’information
  • Risk manager
  • Chef de projet
  • Architecte Système d’Information
  • Étudiant
Prérequis
  • Connaissances générales en sécurité des systèmes d’information
  • Connaissance en gestion des risques
  • Connaissance dans la pratique et l’implémentation d’un SMSI

Contenu de la formation

  • Section 1 - les enjeux du DevSecOps pour les organisations
    • Qu'est-ce que le DevOps ?
    • Pourquoi séparer le Dev et les Ops ?
    • DevOps versus modèle classique
    • Le DevOps pour qui ?
    • Philosophie de l’agile
    • Et le DevSecOps ?
  • Section 2 - problèmes de compréhension du
    • DevSecOps par les managers de la SSI
    • Château fort et défense en profondeur
    • DevSecOps, quel modèle de sécurité
    • Intégrer le DevSecOps dans un SMSI
  • Section 3 - problèmes de compréhension du
    • DevSecOps par les techniciens de la SSI
    • Sécurité de l’information est une contrainte
    • Donner un sens à la SSI
  • Section 4 - intégrer le DevSecOps dans la gouvernance d'une organisation
    • Les principales missions d’un manager en sécurité de l’information
    • mission 1 - l’approche par les risques
    • mission 2 - la conformité avec le socle normatif
    • mission 3 - la mise en condition de sécurité (MCS)
  • Section 5 - quel modèle, référentiel choisir pour le DevSecOps
    • Microsoft SDL
    • OWASP SAMM
    • BSIMM
    • OWASP ASVS
  • Section 6 - phase 1, préparer un SDLC adapté
    • Activité 1.1 - budgétiser un SDLC
    • Activité 1.2 - Identifier un équipe pour le SDLC
  • Section 7 - phase 2, former l’équipe au DevSecOps
    • Activité 2.1 - créer une formation “tous les profils”
    • Activité 2.2 - créer une formation “technique”
  • Section 8 - phase 3, analyser les risques
    • Fonctionnement d’une analyse de risque
    • Activité 3.1 - obtenir les besoins de sécurité et les scénarios graves
    • STRIDE et DIC(T)
    • Spoofing, tampering, repudiation, information disclosure, denial of service, elevation of privilege
    • Adapter les méthodes d’analyses de risques classiques au DevSecOps avec le Bugs bar
    • Activité 3.2 - modéliser les menaces
    • Qu’est-ce que la modélisation des menaces (Threat modeling)
    • Créer un diagramme
    • Identifier les menaces
    • Utilisation de Microsoft Threat modeling tools
    • Obtenir la vraisemblance des risques avec la modélisation des menaces
    • Construire la matrice des risques via les objectifs de sécurité et la vraisemblance des menaces
    • Activité 3.3 - calcul des risques
    • Activité 3.4 - choisir une option de traitement
    • Activité 3.5 - créer un plan de traitement des risques
    • Ne pas oublier les données à caractère personnel
  • Section 9 - phase 4, mise en conformité & intégration d’outils
    • Aller plus loin avec l’implémentation d’un référentiel de conformité adapté au DevSecOps
    • Activité 4.1 - Identifier les référentiels, normes, lois
    • Activité 4.2 - appliquer l’analyse des écarts
    • L’OWASP AVSV
    • Activité 4.3 - intégration d’un SAST
    • Activité 4.4 - intégration d’un DAST
  • Section 10 - phase 5, auditer et améliorer la sécurité
    • Activité 5.1 - planifier un test d’intrusion
    • Activité 5.2 - adapter le système de suivi des bugs du SDLC à STRIDE
    • Activité 5.3 - préparer un tableau de bord
    • Activité 5.4 - préparer un plan de réponse à incident
    • Activité 5.5 - aller plus loin avec un modèle de maturité
    • Activité 5.6 - veille SSI
Suivi de l'exécution et évaluation des résultats
  • Feuilles de présence
  • Questions orales ou écrites (QCM)
  • Mises en situation
  • Formulaires d'évaluation de la formation
Ressources techniques et pédagogiques
  • 4 heures avec une étude de cas et un rapport à rendre devant un jury de 45 minutes
  • Examen OPENBOOK avec le droit aux supports de formation
  • Le candidat a 90 jours avant de planifier son examen.
  • Un diplôme numérique et physique est attribué au candidat

Qualité et satisfaction

Taux de réussite

Modalités de certification

Modalité d'obtention
  • Obtention par certification Examen à distance avec surveillance
Détails sur la certification
  • Certification associée : ESD-MALFOUND
Durée de validité
  • 3 ans

Délai d'accès

2 semaines

Accessibilité

Accessible aux personnes en situation de handicap