FC9CS20
Stage inter entreprise
Durée :
2 jour(s)
Présentation
L’informatique suit actuellement des transformations majeures : agilité, DevOps, Cloud, automatisation, Infra as Code et containers. La sécurité doit impérativement s’adapter sur les plans à la fois techniques et organisationnels.
À l’issue de cette formation, vous serez capables de mettre en œuvre la sécurité pour adresser l’arrivée des nouvelles technologies et du contexte agile/DevOps. Vous connaîtrez les nouveaux moyens concrets de sécurisation des étapes successives d’un pipeline DevOps (du code au déploiement) et vous les aurez expérimentés.
Objectifs
- Expliquer les enjeux et les changements importants de l’approche sécurité pour les nouveaux environnements : agile, DevOps, Cloud, Containers, Infrastructure as Code
- Mettre en œuvre la sécurité avec ces nouvelles technologies et contextes de fonctionnement
- Disposer des pointeurs pour savoir où et comment implémenter rapidement les premières étapes d’une sécurité DevOps
- Utiliser les Containers et l’Infra as Code pour automatiser et améliorer la sécurité
- Lister les pièges habituels de la transformation sécurité afin de savoir les éviter
-
Programme
Introduction
- Agilité
- DevOps
- Nécessité d’une nouvelle approche sécurité
- Pièges de la transformation sécurité
- Sécurité dans un modèle Spotify ou dans un Train SAFe
Sécurité de l’intégration continue
- Principes du pipeline CI/CD
- Risques et vigilances à avoir avec l’intégration continue
- Tests de sécurité par analyse statique (SAST)
- Tests de sécurité par analyse dynamique (DAST)
- Tests de sécurité par analyse interactive (IAST)
- Protection sécurité de l’environnement d’exécution (RASP)
Travaux pratiques
- Utilisation de Dependency Check et NPM audit pour l’identification de dépendances vulnérables
- Utilisation d’un Linter sécurité
- Utilisation de Gitleaks pour la détection de secrets dans le code
Infrastructure as Code
- Intérêts de l’Infra as Code
- Exemple d’Ansible
- Exemple de Terraform
- Risques et vigilances à avoir avec l’Infra as Code
- Audit automatisé avec l’Infra as Code
- Infra as Code utilisée pour le passage à l’échelle de la sécurité
Travaux pratiques
- Utilisation d’InSpec pour l’audit automatisé
- Utilisation d’Ansible pour le renforcement automatisé
Containers
- Intérêts des containers et de leur orchestration
- Exemple de Docker et de Kubernetes
- Risques et vigilances à avoir avec les containers
- Bonnes pratiques et renforcement avec les Containers
- Scan automatisé d’images de Container
Travaux pratiques
- Scan de vulnérabilité sur images Docker
- Identification de mauvaises configurations et leurs impacts
Autres nouvelles mesures de sécurité
- Gestion automatisée des secrets (Vault)
- Identity et Access Management en contexte DevOps
- PKI TLS as a Service
- PKI SSH
Travaux pratiques
- Utilisation de Vault Hashicorp pour le stockage de secrets
Synthèse et conclusion
-
Points forts
Formation alliant théorie, pratique et retours d'expérience pour maîtriser la sécurisation du cycle DevOps.
-
Modalités pédagogiques
Cours théorique avec retours d’expériences. Travaux pratiques pour assimiler l’application concrète.
-
Public cible et prérequis
Ce cours s’adresse à toute personne, expert sécurité, développeur ou exploitant IT qui souhaite comprendre et mettre en œuvre la sécurité dans un environnement agile, DevOps, Cloud et/ou de Containers. Les Dev et les Ops peuvent aussi participer et ainsi, en plus, devenir Security Champion dans leur équipe.
Des connaissances des services IT, notamment de la sécurité et des méthodologies agile permettent de tirer un meilleur profit de la formation. -
Responsables
Mehdi ABERKANE
Expert en sécurité digitale et certifié CEH et Zend PHP, Mehdi Aberkane a débuté en tant que développeur web. Il s'est ensuite spécialisé dans le domaine de la sécurité informatique et plus précisément celui de la sécurité web. Il intervient auprès de différents types d’entreprises en tant que formateur et consultant en sécurité applicative (DevSecOps) et travaille sur l’intégration des solutions de sécurité dans le cycle de vie des applications.
Prochaine(s) session(s)
- Du 08/06/2023 au 09/06/2023 à Paris
- Du 23/11/2023 au 24/11/2023 à Paris