Formation DevSecOps, Les fondamentaux Mixte : présentiel / à distance

• Comprendre les principes clés de DevOps et la place de la sécurité (Shift Left) dans le cycle de vie logiciel. 
• Identifier les risques de sécurité courants (OWASP Top 10) et les surfaces d'attaque dans une chaîne de livraison. 
• Découvrir les pratiques d'intégration de la sécurité dans l'intégration continue et le déploiement continu (CI/CD). 
• Comprendre les rôles, responsabilités et flux de collaboration entre Dev, Sec et Ops. 
• Identifier des premières actions concrètes pour amorcer une démarche DevSecOps dans son contexte. 

1. Développeurs, testeurs QA, ingénieurs IT/Ops, chefs de projet et Product Owners débutant sur DevSecOps. 
2. Contextes : équipes IT/numériques d'entreprises, ESN, projets internes, premiers appels d'offres intégrant des exigences de sécurité. 
3. Expérience attendue : notions de base en développement ou en exploitation ; aucune expérience préalable en sécurité n'est requise. 

• Connaissances générales en cycle de vie logiciel (Git, build, test manuel).
• Notions basiques de ligne de commande.
• Appétence pour la collaboration inter-métiers. 

Jour 1 – Comprendre les bases de DevSecOps et le Shift Left 

Session du matin : 
Panorama DevOps : concepts, flux de valeur, pipeline CI/CD, culture et collaboration. 
Pourquoi DevSecOps ? Principes, bénéfices, menaces actuelles, conformité, introduction au Shift Left. 
Surfaces d'attaque et risques : revues OWASP Top 10 (vue débutant) et exemples concrets. 

Session de l'après-midi : 
Acteurs et responsabilités : Dev, Sec, Ops – modèles de gouvernance et communication. 
Exemples de contrôles de sécurité en amont : gestion des secrets, dépendances, SBOM (notion), revue de code. 
Démonstration guidée : du commit au build, où insérer des contrôles simples. 

TP / Exercice :  

Mise en place d'un dépôt d'exemple (GitHub/GitLab), configuration basique du workflow (README, règles simples), identification de 5 risques sur un mini-projet fourni et proposition de parades initiales. Livrable : fiche risques initiale et check-list de contrôles à intégrer. 

Points clés & takeaways : 
Vision claire du DevSecOps et du Shift Left. 
Cartographie initiale des risques et premières actions simples à valeur rapide. 

Jour 2 – Intégrer des contrôles de sécurité dans une CI/CD débutante 

Session du matin : 
Introduction aux contrôles automatisés : SAST (analyse de code), SCA (dépendances), analyse de secrets. 
Notions de conteneurisation sécurisée : images, registres, bonnes pratiques de base. 
Politique minimale : qualité + sécurité – seuils, rapports, remontées d'alertes. 

Session de l'après-midi : 
Mise en pratique guidée : ajout d'un job SCA et secrets scanning sur le pipeline de l'exemple. 
Lecture et interprétation de rapports – passer d'alertes à des actions concrètes. 
Plan d'amorçage DevSecOps : 30-60-90 jours, rôles, quick wins, indicateurs simples. 

TP / Exercice :  

Extension du pipeline de l'exemple avec un contrôle SCA (dépendances) et un scan de secrets. Correction d'au moins 2 findings simples. Livrable : pipeline mis à jour + rapport synthèse (actions menées, résultats, prochaines étapes). 

Points clés & takeaways : 
Savoir où et comment intégrer 2 à 3 contrôles de sécurité simples dans une CI/CD. 
Plan d'action initial pour poursuivre la démarche DevSecOps après la formation. 

Docaposte Institute propose plusieurs dispositifs pédagogiques adaptés aux apprenants :

• Formation en présentiel
• En groupe (inter-entreprises ou intra-entreprise)
• En individuel (monitorat)
• En journée ou en cours du soir (sur demande spécifique)
• Formation en distanciel
• Distanciel synchrone
• Distanciel asynchrone

• Apports des connaissances communes.
• Mises en situation sur le thème de la formation et des cas concrets.
• Méthodologie d'apprentissage attractive, interactive et participative.
• Equilibre théorie / pratique : 60 % / 40 %.
• Supports de cours fournis au format papier et/ou numérique.
• Ressources documentaires en ligne et références mises à disposition par le formateur.
• Pour les formations en présentiel dans les locaux mis à disposition, les apprenants sont accueillis dans une salle de cours équipée d'un réseau Wi-Fi, d'un tableau blanc ou paperboard. Un ordinateur avec les logiciels appropriés est mis à disposition (le cas échéant).

En amont de la formation :

• Recueil des besoins des apprenants afin de disposer des informations essentielles au bon déroulé de la formation (profil, niveau, attentes particulières...).
• Auto-positionnement des apprenants afin de mesurer le niveau de départ.

Tout au long de la formation : 

• Évaluation continue des acquis avec des questions orales, des exercices, des QCM, des cas pratiques ou mises en situation...

A la fin de la formation : 

• Auto-positionnement des apprenants afin de mesurer l'acquisition des compétences.
• Evaluation par le formateur des compétences acquises par les apprenants.
• Questionnaire de satisfaction à chaud afin de recueillir la satisfaction des apprenants à l'issue de la formation.
• Questionnaire de satisfaction à froid afin d'évaluer les apports ancrés de la formation et leurs mises en application au quotidien.

• Admission sans disposition particulière