FC9CS20

Stage inter entreprise

Prix 2023 :

1 950 €

 Comment financer sa formation ?

Durée :

2 jour(s)

Prochaine(s) session(s)

  • Du 08/06/2023 au 09/06/2023 à Paris
  • Du 23/11/2023 au 24/11/2023 à Paris

Présentation

L’informatique suit actuellement des transformations majeures : agilité, DevOps, Cloud, automatisation, Infra as Code et containers. La sécurité doit impérativement s’adapter sur les plans à la fois techniques et organisationnels.


À l’issue de cette formation, vous serez capables de mettre en œuvre la sécurité pour adresser l’arrivée des nouvelles technologies et du contexte agile/DevOps. Vous connaîtrez les nouveaux moyens concrets de sécurisation des étapes successives d’un pipeline DevOps (du code au déploiement) et vous les aurez expérimentés.

Objectifs

  • Expliquer les enjeux et les changements importants de l’approche sécurité pour les nouveaux environnements : agile, DevOps, Cloud, Containers, Infrastructure as Code
  • Mettre en œuvre la sécurité avec ces nouvelles technologies et contextes de fonctionnement
  • Disposer des pointeurs pour savoir où et comment implémenter rapidement les premières étapes d’une sécurité DevOps
  • Utiliser les Containers et l’Infra as Code pour automatiser et améliorer la sécurité
  • Lister les pièges habituels de la transformation sécurité afin de savoir les éviter

Vous êtes intéressé(e) et/ou vous voulez procéder à une inscription ?

N'hésitez plus et complétez le formulaire

Nous sommes également à votre disposition par téléphone

Appelez le +33 (01) 75 31 95 90

  • Programme

    Introduction

    • Agilité
    • DevOps
    • Nécessité d’une nouvelle approche sécurité
    • Pièges de la transformation sécurité
    • Sécurité dans un modèle Spotify ou dans un Train SAFe

    Sécurité de l’intégration continue

    • Principes du pipeline CI/CD
    • Risques et vigilances à avoir avec l’intégration continue
    • Tests de sécurité par analyse statique (SAST)
    • Tests de sécurité par analyse dynamique (DAST)
    • Tests de sécurité par analyse interactive (IAST)
    • Protection sécurité de l’environnement d’exécution (RASP)

    Travaux pratiques

    • Utilisation de Dependency Check et NPM audit pour l’identification de dépendances vulnérables
    • Utilisation d’un Linter sécurité
    • Utilisation de Gitleaks pour la détection de secrets dans le code

    Infrastructure as Code

    • Intérêts de l’Infra as Code
    • Exemple d’Ansible
    • Exemple de Terraform
    • Risques et vigilances à avoir avec l’Infra as Code
    • Audit automatisé avec l’Infra as Code
    • Infra as Code utilisée pour le passage à l’échelle de la sécurité

    Travaux pratiques

    • Utilisation d’InSpec pour l’audit automatisé
    • Utilisation d’Ansible pour le renforcement automatisé

    Containers

    • Intérêts des containers et de leur orchestration
    • Exemple de Docker et de Kubernetes
    • Risques et vigilances à avoir avec les containers
    • Bonnes pratiques et renforcement avec les Containers
    • Scan automatisé d’images de Container

    Travaux pratiques

    • Scan de vulnérabilité sur images Docker
    • Identification de mauvaises configurations et leurs impacts

    Autres nouvelles mesures de sécurité

    • Gestion automatisée des secrets (Vault)
    • Identity et Access Management en contexte DevOps
    • PKI TLS as a Service
    • PKI SSH

    Travaux pratiques

    • Utilisation de Vault Hashicorp pour le stockage de secrets

    Synthèse et conclusion

  • Points forts

    Formation alliant théorie, pratique et retours d'expérience pour maîtriser la sécurisation du cycle DevOps.

  • Modalités pédagogiques

    Cours théorique avec retours d’expériences. Travaux pratiques pour assimiler l’application concrète.

  • Public cible et prérequis

    Ce cours s’adresse à toute personne, expert sécurité, développeur ou exploitant IT qui souhaite comprendre et mettre en œuvre la sécurité dans un environnement agile, DevOps, Cloud et/ou de Containers. Les Dev et les Ops peuvent aussi participer et ainsi, en plus, devenir Security Champion dans leur équipe.


    Des connaissances des services IT, notamment de la sécurité et des méthodologies agile permettent de tirer un meilleur profit de la formation.

  • Responsables

    • Mehdi ABERKANE

      Expert en sécurité digitale et certifié CEH et Zend PHP, Mehdi Aberkane a débuté en tant que développeur web. Il s'est ensuite spécialisé dans le domaine de la sécurité informatique et plus précisément celui de la sécurité web. Il intervient auprès de différents types d’entreprises en tant que formateur et consultant en sécurité applicative (DevSecOps) et travaille sur l’intégration des solutions de sécurité dans le cycle de vie des applications.

Prochaine(s) session(s)

  • Du 08/06/2023 au 09/06/2023 à Paris
  • Du 23/11/2023 au 24/11/2023 à Paris

Vous êtes intéressé(e) et/ou vous voulez procéder à une inscription ?

N'hésitez plus et complétez le formulaire

Nous sommes également à votre disposition par téléphone

Appelez le +33 (01) 75 31 95 90