FC9CS20

Stage inter entreprise

Prix 2022 :

1 750 €

Comment financer sa formation ?

Durée :

2 jour(s)

Prochaine(s) session(s)

  • Du 23/05/2022 au 24/05/2022 à Paris
  • Du 17/10/2022 au 18/10/2022 à Paris

Présentation

L’informatique suit actuellement des transformations majeures : agilité, DevOps, Cloud, automatisation, Infra as Code et containers. La sécurité doit impérativement s’adapter sur les plans à la fois techniques et organisationnels.


À l’issue de cette formation, vous serez capables de mettre en œuvre la sécurité pour adresser l’arrivée des nouvelles technologies et du contexte agile/DevOps. Vous connaîtrez les nouveaux moyens concrets de sécurisation des étapes successives d’un pipeline DevOps (du code au déploiement) et vous les aurez expérimentés.

Objectifs

  • Expliquer les enjeux et les changements importants de l’approche sécurité pour les nouveaux environnements : agile, DevOps, Cloud, Containers, Infrastructure as Code
  • Mettre en œuvre la sécurité avec ces nouvelles technologies et contextes de fonctionnement
  • Disposer des pointeurs pour savoir où et comment implémenter rapidement les premières étapes d’une sécurité DevOps
  • Utiliser les Containers et l’Infra as Code pour automatiser et améliorer la sécurité
  • Lister les pièges habituels de la transformation sécurité afin de savoir les éviter
  • Programme

    Introduction

    • Agilité
    • DevOps
    • Nécessité d’une nouvelle approche sécurité
    • Pièges de la transformation sécurité
    • Sécurité dans un modèle Spotify ou dans un Train SAFe

    Sécurité de l’intégration continue

    • Principes du pipeline CI/CD
    • Risques et vigilances à avoir avec l’intégration continue
    • Tests de sécurité par analyse statique (SAST)
    • Tests de sécurité par analyse dynamique (DAST)
    • Tests de sécurité par analyse interactive (IAST)
    • Protection sécurité de l’environnement d’exécution (RASP)

    Travaux pratiques

    • Utilisation de Dependency Check et NPM audit pour l’identification de dépendances vulnérables
    • Utilisation d’un Linter sécurité
    • Utilisation de Gitleaks pour la détection de secrets dans le code

    Infrastructure as Code

    • Intérêts de l’Infra as Code
    • Exemple d’Ansible
    • Exemple de Terraform
    • Risques et vigilances à avoir avec l’Infra as Code
    • Audit automatisé avec l’Infra as Code
    • Infra as Code utilisée pour le passage à l’échelle de la sécurité

    Travaux pratiques

    • Utilisation d’InSpec pour l’audit automatisé
    • Utilisation d’Ansible pour le renforcement automatisé

    Containers

    • Intérêts des containers et de leur orchestration
    • Exemple de Docker et de Kubernetes
    • Risques et vigilances à avoir avec les containers
    • Bonnes pratiques et renforcement avec les Containers
    • Scan automatisé d’images de Container

    Travaux pratiques

    • Scan de vulnérabilité sur images Docker
    • Identification de mauvaises configurations et leurs impacts

    Autres nouvelles mesures de sécurité

    • Gestion automatisée des secrets (Vault)
    • Identity et Access Management en contexte DevOps
    • PKI TLS as a Service
    • PKI SSH

    Travaux pratiques

    • Utilisation de Vault Hashicorp pour le stockage de secrets

    Synthèse et conclusion

  • Modalités pédagogiques

    Cours théorique avec retours d’expériences. Travaux pratiques pour assimiler l’application concrète.

  • Public cible et prérequis

    Ce cours s’adresse à toute personne, expert sécurité, développeur ou exploitant IT qui souhaite comprendre et mettre en œuvre la sécurité dans un environnement agile, DevOps, Cloud et/ou de Containers. Les Dev et les Ops peuvent aussi participer et ainsi, en plus, devenir Security Champion dans leur équipe.


    Des connaissances des services IT, notamment de la sécurité et des méthodologies Agile permettent de tirer un meilleur profit de la formation.

  • Responsables

    • Ons JELASSI

      Enseignante-chercheuse à Télécom Paris en Machine Learning et en apprentissage statistique distribué, elle est également consultante en métrologie des réseaux auprès de grandes entreprises pour lesquelles elle effectue des missions d'audit et d'expertise. Ses travaux de recherche actuels, au sein du département Image, Données et Signal portent sur le passage à l'échelle des algorithmes d'apprentissage statistique.

Prochaine(s) session(s)

  • Du 23/05/2022 au 24/05/2022 à Paris
  • Du 17/10/2022 au 18/10/2022 à Paris