Recherche avancée
Par formation
Par date
Par ville
logo HUB Formation
Organisme de Formation
aux Technologies et métiers de L'informatique
La pédagogie au service de la technologie
Accueil > Domaines > Sécurité > DevSecOps Engineering

DevSecOps Engineering

En multipliant le développement d'applications, le taux de vulnérabilités de nos systèmes croît également. DevOps a montré une immense valeur pour l'entreprise et la sécurité en est un élément essentiel qui doit être intégré à la stratégie. A travers cette formation, les participants découvrent la manière dont DevSecOps fournit une valeur métier, facilite la transformation de l'entreprise et soutient une transformation organisationnelle permettant à l'entreprise d'augmenter la productivité de ses produits tout en réduisant les risques et en optimisant les coûts. Ce cours explique en quoi les pratiques de sécurité de DevOps diffèrent des autres approches en matière de sécurité et fournit les compétences nécessaires pour comprendre et appliquer les sciences de la sécurité et des données. Les participants apprennentles avantages, les concepts et le vocabulaire de DevSecOps,en particulier dans la manière dont les rôles de DevSecOps s'intègrent à la culture et à l'organisation de DevOps. À la fin de ce cours, les participants comprendront comment utiliser «la sécurité en tant que code» dans le but de rendre la sécurité et la conformité consommables en tant que service. Le cours est conçu pour enseigner des étapes pratiques sur la manière d'intégrer les programmes de sécurité dans les pratiques de DevOps et souligne comment les professionnels peuvent utiliser les données et la "science" de la sécurité comme moyen principal de protection de l'entreprise et des clients. En utilisant des scénarios réels et des études de cas, les participants disposeront de solutions concrètes à utiliser une fois de retour au bureau. Ce cours prépare les apprenants à l'examen d'ingénierie DevSecOps du DevOps Institute.

Objectifs

  • Les objectifs d'apprentissage comprennent une compréhension pratique de:
  • Objet, avantages, concepts et vocabulaire de DevSecOps
  • Différences entre les pratiques de sécurité de DevOps et les autres approches de sécurité
  • Stratégies de sécurité axées sur les entreprises
  • Comprendre et appliquer les sciences de la sécurité et des données
  • L'utilisation et les avantages des équipes rouges et bleues
  • Intégration de la sécurité dans les flux de travaux de livraison continue
  • Comment les rôles de DevSecOps s'intègrent-ils à la culture et à l'organisation de DevOps

Public

  • Parmi les professionnels visés par ce cours, nous retrouvons de nombreux profils métiersà commencer par toute personne impliquée ousouhaitanten apprendre davantage sur les stratégies et l'automatisation de DevSecOps :équipes de conformité,Ingénieurs DevOps,responsables informatiques,professionnels de la sécurité informatique, équipes de maintenance et support,gestionnaires de produits,Scrum Masters,ingénieurs logiciels ettesteurs.

Prérequis

  • La certification DevOps Foundation est une condition préalable pour DevSecOps Engineering afin de garantir que les participants s'alignent sur les définitions et principes de base de DevOps.

Programme de la formation

Introduction du cours

  • Objectifs et déroulé du cours
  • Exercice: schématiser votre pipeline CI / CD

Pourquoi DevSecOps?

  • Termes et concepts clés
  • Pourquoi DevSecOps est important
  • 3 façons de penser à DevOps + Security
  • Principes clés de DevSecOps

Culture et management

  • Termes et concepts clés
  • Modèle d'incitation
  • La résilience
  • La culture organisationnelle
  • Générativité
  • Erickson, Westrum et LaLoux
  • Exercice : Influencer la culture

Considérations stratégiques

  • Termes et concepts clés
  • Quel volume desécurité est considéré comme suffisant?
  • Modélisation de la menace
  • Le contexte est tout
  • Gestion des risques dans un monde à grande vitesse
  • Exercice: Mesurer le succès

Considérations générales sur la sécurité

  • Eviter le piège de la case à cocher
  • Hygiène de sécurité élémentaire
  • Considérations architecturales
  • Identité fédérée
  • Gestion des journaux

IAM : Gestion des identités et des accès

  • Termes et concepts clés
  • Concepts de base d'IAM
  • Directives de mise en œuvre
  • Opportunités d'automatisation
  • Comment se faire mal avec IAM
  • Exercice: surmonter les défis de l'IAM

Sécurité des applications

  • Tests de sécurité des applications (AST)
  • Techniques d'essai
  • Prioriser les techniques de test
  • Intégration de la gestion des problèmes
  • Modélisation de la menace
  • Automatiser

Sécurité opérationnelle

  • Termes et concepts clés
  • Pratiques d'hygiène de sécurité de base
  • Rôle de la gestion des opérations
  • L'environnement des opérations
  • Exercice: Ajout de sécurité à votre pipeline CI / CD

Gouvernance, Risques, Conformité (GRC) et Audit

  • Termes et concepts clés
  • Qu'est-ce que la GRC?
  • Pourquoi se soucier de la GRC?
  • Repenser les politiques
  • Politique en tant que code
  • Déplacement de la vérification à gauche
  • 3 mythes sur la séparation des tâches et les devOps
  • Exercice: Mise en œuvre de stratégies, d'audit et de conformité avec DevOps

Journalisation, surveillance et réponse

  • Termes et concepts clés
  • Configuration de la gestion des journaux
  • Réponse aux incidents et expertise judiciaire
  • Intelligence de la menace et partage de l'information

Préparation à l'examen

  • Critères d'examen, pondération des questions et liste de terminologie
  • Exemple d'examen