Formation Sécurité dans les pipelines CI/CD Mixte : présentiel / à distance

Cette formation intermédiaire permet aux participants de maîtriser les principes et pratiques de sécurité appliquées aux pipelines CI/CD. Elle couvre les vulnérabilités courantes, les mécanismes de protection, l’intégration de contrôles de sécurité automatisés et la mise en œuvre de bonnes pratiques DevSecOps.

• Analyser les risques et menaces liés aux chaînes CI/CD
• Mettre en œuvre des contrôles de sécurité dans les pipelines (scans, signatures, secrets management)
• Configurer un pipeline sécurisé intégrant les outils DevSecOps
• Évaluer la conformité, la traçabilité et la qualité du pipeline CI/CD

Ingénieurs DevOps, développeurs, administrateurs cloud, responsables sécurité, professionnels souhaitant sécuriser leurs chaînes CI/CD.

• Connaissances de base en CI/CD
• Notions en développement ou DevOps

Jour 1 – Introduction à la sécurité CI/CD et protection du pipeline

Session du matin :

• Menaces CI/CD : supply chain, compromission de runners, artefacts, secrets
• Bonnes pratiques de base : IAM, permissions minimales, isolation

Session de l'après-midi :

• Intégration des scans SAST, SCA et secrets
• Analyse des images Docker et des dépendances

TP / Exercice :

• Mettre en place un pipeline intégrant SAST, SCA et scan de secrets

Points clés & takeaways :

• Compréhension des risques liés aux pipelines
• Maîtrise des outils de scan intégrés au pipeline

Jour 2 – DevSecOps, conformité et pipeline sécurisé complet

Session du matin :

• Sécurisation avancée : signing, policies, Zero Trust, SBOM
• Gestion des secrets : Vault, KMS, sealed secrets

Session de l'après-midi :

• Mise en place d'un pipeline sécurisé et conforme : logs, audits, traçabilité
• Bonnes pratiques : revue de code, merge rules, artefacts signés

TP / Exercice :

• Construire un pipeline complet incluant SBOM, signing et sécurité des secrets

Points clés & takeaways :

• Compréhension du DevSecOps moderne
• Capacité à construire un pipeline sécurisé de bout en bout

Docaposte Institute propose plusieurs dispositifs pédagogiques adaptés aux apprenants :

• Formation en présentiel
• En groupe (inter-entreprises ou intra-entreprise)
• En individuel (monitorat)
• En journée ou en cours du soir (sur demande spécifique)
• Formation en distanciel
• Distanciel synchrone
• Distanciel asynchrone

• Apports des connaissances communes.
• Mises en situation sur le thème de la formation et des cas concrets.
• Méthodologie d'apprentissage attractive, interactive et participative.
• Equilibre théorie / pratique : 60 % / 40 %.
• Supports de cours fournis au format papier et/ou numérique.
• Ressources documentaires en ligne et références mises à disposition par le formateur.
• Pour les formations en présentiel dans les locaux mis à disposition, les apprenants sont accueillis dans une salle de cours équipée d'un réseau Wi-Fi, d'un tableau blanc ou paperboard. Un ordinateur avec les logiciels appropriés est mis à disposition (le cas échéant).

En amont de la formation :

• Recueil des besoins des apprenants afin de disposer des informations essentielles au bon déroulé de la formation (profil, niveau, attentes particulières...).
• Auto-positionnement des apprenants afin de mesurer le niveau de départ.

Tout au long de la formation : 

• Évaluation continue des acquis avec des questions orales, des exercices, des QCM, des cas pratiques ou mises en situation...

A la fin de la formation : 

• Auto-positionnement des apprenants afin de mesurer l'acquisition des compétences.
• Evaluation par le formateur des compétences acquises par les apprenants.
• Questionnaire de satisfaction à chaud afin de recueillir la satisfaction des apprenants à l'issue de la formation.
• Questionnaire de satisfaction à froid afin d'évaluer les apports ancrés de la formation et leurs mises en application au quotidien.

• Admission sans disposition particulière

Nos formations peuvent être adaptées à certaines conditions de handicap. Nous contacter pour toute information et demande spécifique.