DevSecOps
Intégrer la sécurité dans votre CI/CD
Transformez votre pipeline en rempart : détectez les vulnérabilités avant qu'elles n'atteignent la prod.
Durée
21h · 3 modules de 7h
Public visé
Développeurs, ops, lead tech, DevOps engineers souhaitant intégrer la sécurité dans leurs workflows CI/CD existants.
Tarif inter
1 800 € HT / stagiaire (parcours 21h)
À la carte : 600 € HT / stagiaire (module 7h)
À la carte : 600 € HT / stagiaire (module 7h)
Tarif intra
5 000 € HT / groupe jusqu'à 8 stagiaires (parcours 21h)
À la carte : 1 800 € HT / groupe (module 7h)
À la carte : 1 800 € HT / groupe (module 7h)
Format modulaire : parcours de 21h en 3 modules de 7h. Suivez le parcours complet ou seulement les modules de 7h qui vous intéressent, à la carte.
Objectifs pédagogiques
- Identifier les points d'injection de sécurité pertinents dans un pipeline CI/CD existant
- Configurer et interpréter les résultats d'outils SAST (analyse statique) sur un projet réel
- Intégrer un scanner DAST dans un pipeline et exploiter ses résultats pour prioriser les corrections
- Mettre en place une analyse SCA (Software Composition Analysis) pour détecter les dépendances vulnérables
- Sécuriser la gestion des secrets dans un pipeline (rotation, vault, détection de fuites)
- Durcir les images conteneur et le build Docker selon les bonnes pratiques (multi-stage, non-root, scan Trivy)
- Sécuriser le pipeline lui-même : permissions, artefacts signés, protection des branches
- Produire un pipeline « security gate » bloquant sur les vulnérabilités critiques
Prérequis
Expérience avec un outil de CI/CD (GitLab CI, GitHub Actions, Jenkins). Bases en conteneurisation (Docker). Notions de développement web ou applicatif.
Programme détaillé
M1
Shift-left & outillage SAST/SCA · module 7h
- Introduction shift-left : pourquoi la sécurité en bout de chaîne ne fonctionne pas (coût de correction ×100)
- REX terrain : les 5 erreurs DevSecOps les plus fréquentes en PME, et comment les éviter
- Lab : fork d'un projet volontairement vulnérable avec pipeline GitLab CI / GitHub Actions
- SAST : configuration de Semgrep et SonarQube, écriture de règles custom, interprétation des résultats
- SCA : Trivy, Dependabot / Renovate, détection des dépendances vulnérables, stratégie de mise à jour
- Atelier : intégrer SAST + SCA dans le pipeline du projet lab, configurer les seuils de blocage
- Gestion des faux positifs : triage, suppression ciblée, documentation des exceptions
M2
DAST, secrets & sécurité des conteneurs · module 7h
- DAST : principes, intégration de ZAP/Nuclei dans le pipeline, scan authentifié
- Gestion des secrets : pourquoi les .env committés sont une bombe à retardement
- Outils : GitLeaks / TruffleHog (détection), HashiCorp Vault / SOPS (gestion), rotation automatisée
- Sécurité Docker : Dockerfile durci (multi-stage, non-root, distroless), scan d'images (Trivy, Grype)
- Supply chain conteneur : provenance des images de base, signature (Cosign/Notary), SBOM
- Atelier : sécuriser les secrets et les images Docker du projet lab
M3
Pipeline hardening & mise en situation finale · module 7h
- Sécurité du pipeline lui-même : runners compromis, injection dans les variables CI, permissions excessives
- Protection des branches, merge request gates, artefacts signés
- Stratégie de security gate : quand bloquer, quand alerter, comment ne pas paralyser l'équipe
- Atelier intégrateur : le stagiaire reçoit un pipeline volontairement troué (10+ vulnérabilités) et doit le sécuriser en autonomie
- Revue collective des pipelines sécurisés, feedback personnalisé
- Feuille de route : plan d'action pour intégrer ces pratiques dans le SI du stagiaire
Points forts
Formateur DevSecOps en activité, retours de terrain sur les erreurs les plus courantes en PME
Travail sur un vrai pipeline, pas sur des slides, le stagiaire repart avec des configurations réutilisables
Approche pragmatique : on sécurise sans paralyser la vélocité de l'équipe
Mise en situation réaliste : pipeline troué à sécuriser en autonomie
Ancrage terrain
Retour d'expérience mission (anonymisé)
Audit DevSecOps d'une startup SaaS (15 devs, déploiement quotidien). Secrets d'API en clair dans les variables CI, images Docker root, aucun scan de dépendances. 3 CVE critiques exploitables en prod découvertes lors de l'audit. La remédiation a servi de base au scénario fil rouge de cette formation.
Modalités
Modalités pédagogiques
80 % pratique / 20 % théorie. Travail sur un pipeline CI/CD réel (GitLab CI ou GitHub Actions selon le profil des stagiaires). Chaque outil est configuré et utilisé en conditions réalistes. Scénario fil rouge : sécurisation progressive d'un projet volontairement vulnérable. Retours d'expérience terrain intégrés à chaque module.
Moyens techniques
Poste de travail avec accès à un dépôt Git dédié (GitLab ou GitHub). Pipeline CI/CD pré-configuré. Outils : Semgrep, SonarQube, Trivy, ZAP, GitLeaks, HashiCorp Vault (dev mode). Environnement Docker pour les builds.
Évaluation des acquis
Positionnement en amont (questionnaire). Évaluation continue via les ateliers. Mise en situation finale : sécuriser un pipeline troué en autonomie (évaluation des acquis). Questionnaire de satisfaction.
Modalités d'accès
Inscription par formulaire sur le site ou via Digital 113 / Human Coders. Délai d'accès : 2 à 4 semaines selon le calendrier des sessions.
Accessibilité PSH
Formation accessible aux personnes en situation de handicap. Contactez-nous en amont pour adapter les modalités. Référent handicap : Florian Durano, fdurano@humanix-cybersecurity.fr.