FC9CS20
Stage inter entreprise
Durée :
2 jour(s)
Présentation
L’informatique suit actuellement des transformations majeures : agilité, DevOps, Cloud, automatisation, Infra as Code et containers. La sécurité doit impérativement s’adapter sur les plans à la fois techniques et organisationnels.
À l’issue de cette formation, vous serez capables de mettre en œuvre la sécurité pour adresser l’arrivée des nouvelles technologies et du contexte agile/DevOps. Vous connaîtrez les nouveaux moyens concrets de sécurisation des étapes successives d’un pipeline DevOps (du code au déploiement) et vous les aurez expérimentés.
Objectifs
- Expliquer les enjeux et les changements importants de l’approche sécurité pour les nouveaux environnements : agile, DevOps, Cloud, Containers, Infrastructure as Code
- Mettre en œuvre la sécurité avec ces nouvelles technologies et contextes de fonctionnement
- Disposer des pointeurs pour savoir où et comment implémenter rapidement les premières étapes d’une sécurité DevOps
- Utiliser les Containers et l’Infra as Code pour automatiser et améliorer la sécurité
- Lister les pièges habituels de la transformation sécurité afin de savoir les éviter
-
Programme
Introduction
- Agilité
- DevOps
- Nécessité d’une nouvelle approche sécurité
- Pièges de la transformation sécurité
Sécurité de l’intégration continue
- Principes du pipeline CI/CD
- Risques et vigilances à avoir avec l’intégration continue
- Secret scanning, SCA
- Tests de sécurité par analyse statique (SAST)
- Tests de sécurité par analyse dynamique (DAST)
- Tests de sécurité par analyse interactive (IAST)
- Protection sécurité de l’environnement d’exécution (RASP)
Travaux pratiques
Infrastructure as Code
- Intérêts de l’Infra as Code
- Exemple d’Ansible et de Terraform
- Risques et vigilances à avoir avec l’Infra as Code
- Audit automatisé avec l’Infra as Code
- Infra as Code utilisée pour le passage à l’échelle de la sécurité
Travaux pratiques
Containers
- Intérêts des containers et de leur orchestration
- Exemple de Docker et de Kubernetes
- Risques et vigilances à avoir avec les containers
- Bonnes pratiques et renforcement avec les Containers
- Scan automatisé d’images de Container
Travaux pratiques
Nouvelles mesures de sécurité
- Gestion automatisée des secrets (Vault)
- Identity et Access Management en contexte DevOps
- PKI TLS as a Service et PKI SSH
- Encryption as a Service
Travaux pratiques
Synthèse et conclusion
-
Points forts
Formation alliant théorie, pratique et retours d'expérience pour maîtriser la sécurisation du cycle DevOps.
-
Modalités pédagogiques
Cours théorique avec retours d’expériences. Travaux pratiques pour assimiler l’application concrète.
-
Public cible et prérequis
Ce cours s’adresse à toute personne, expert sécurité, développeur ou exploitant IT qui souhaite comprendre et mettre en œuvre la sécurité dans un environnement agile, DevOps, Cloud et/ou de Containers. Les Dev et les Ops peuvent aussi participer et ainsi, en plus, devenir Security Champion dans leur équipe.
Des connaissances des services IT, notamment de la sécurité et des méthodologies agile sont souhaitables afin de tirer pleinement profit de la formation. -
Responsables
Yohan BOYER
Ingénieur sécurité chez JobTeaser, son rôle est de garantir la sécurité et l'intégrité du système d'information et des données.
Titulaire d'un doctorat en sécurité et fort de plusieurs années d'expérience dans ce domaine, il accompagne les équipes techniques dans l'adoption de pratiques DevSecOps tout au long du cycle de vie des applications.
Prochaine(s) session(s)
- Du 27/05/2024 au 28/05/2024 à Paris
- Du 07/10/2024 au 08/10/2024 à Paris
