ICDE-DEVSECOPMAN : Manager du DevSecOps
Doter les professionnels de la sécurité de compétences pratiques en matière de gestion de projets de développement sécurisé et de meilleures pratiques DevSecOps.
A propos de cette formation certifiante
La formation de Manager du DevSecOps proposé par l’ICDE est une formation pratique destinée aux professionnels de la sécurité des systèmes d’information souhaitant acquérir des compétences en matière de gestion de projets de développement sécurisé, en adoptant les meilleures pratiques DevSecOps. La formation couvre un large éventail de sujets, notamment les normes et les méthodologies de développement, l’analyse des risques appropriée à DevOps, la gestion des incidents de sécurité. Cette formation convient aux responsables de la sécurité qui souhaitent renforcer leurs compétences en matière de DevSecOps.
Objectifs pédagogiques
- Comprendre les concepts de DevOps et de DevSecOps ainsi que leurs avantages et limites.
- Comprendre l’impact de la sécurité sur les pipelines DevOps et comment intégrer la sécurité dès le début du cycle de développement logiciel.
- Comprendre les différents outils, processus et techniques utilisés en DevSecOps.
- Savoir comment mettre en place et gérer des processus DevSecOps efficaces pour les équipes de développement.
- Comprendre la conformité DevSecOps, la gouvernance et les pratiques de conformité réglementaire.
- Communiquer et collaborer efficacement avec les équipes de développement, de sécurité et de gestion pour garantir une approche cohérente de la sécurité dans toute l’organisation.
Public
- Professionnels cherchant à renforcer l’intégration de la sécurité dans DevOps.
- Analystes, spécialistes et architectes en transition vers des rôles DevSecOps.
- Praticiens visant des postes de direction en sécurité DevOps.
- Architectes et leaders technologiques axés sur des systèmes sécurisés et évolutifs avec DevSecOps.
- Gestionnaires axés sur l’évaluation des risques et l’atténuation en matière de développement et de déploiement.
- Développeurs seniors axés sur la programmation sécurisée et le leadership dans le développement axé sur la sécurité.
Prérequis
- Connaissances généralistes en sécurité de l’information, gestion des risques, conformité SSI.
Programme de la formation
- Comprendre le DevOps et ses enjeux
- Différences entre DevOps et modèle classique
- Les bénéfices du DevSecOps
- La philosophie de l’agile
- Le modèle de sécurité DevSecOps
- L’intégration du DevSecOps dans un SMSI
- Les approches de défense en profondeur
- La perception de la sécurité de l’information comme une contrainte
- Donner un sens à la sécurité de l’information
- Les missions principales d’un manager en sécurité de l’information
- Approche par les risques
- Conformité avec le socle normatif
- La mise en condition de sécurité (MCS)
- Présentation des différents modèles et référentiels
- Microsoft SDL
- OWASP SAMM
- BSIMM
- OWASP ASVS
Section 6 – Phase 1 : Préparer un SDLC adapté
- Activité 1.1: budgétiser un SDLC
- Activité 1.2: Identifier une équipe pour le SDLC
Section 7 – Phase 2 : Former l’équipe au DevSecOps
- Activité 2.1 : Créer une formation « tous les profils »
- Activité 2.2 : Créer une formation « technique »
Section 8 – Phase 3, Analyser les risques
- Fonctionnement d’une analyse de risque
- Activité 3.1 : Obtenir les besoins de sécurité et les scénarios graves
- STRIDE et DIC(T)
- Spoofing, tampering, repudiation, information disclosure, denial of service, elevation of privilege
- Adapter les méthodes d’analyses de risques classiques au DevSecOps avec le Bugs bar
- Activité 3.2 : Modéliser les menaces
- Qu’est-ce que la modélisation des menaces (Threat modeling)
- Créer un diagramme
- Identifier les menaces
- Utilisation de Microsoft Threat modeling tools
- Obtenir la vraisemblance des risques avec la modélisation des menaces
- Construire la matrice des risques via les objectifs de sécurité et la vraisemblance des menaces
- Activité 3.3 : Calcul des risques
- Activité 3.4 : Choisir une option de traitement
- Activité 3.5 : Créer un plan de traitement des risques
- Ne pas oublier les données à caractère personnel
Section 9 – Phase 4, Mise en conformité et intégration d’outils
- Aller plus loin avec l’implémentation d’un référentiel de conformité adapté au DevSecOps
- Activité 4.1 : Identifier les référentiels, normes, lois
- Activité 4.2 : Appliquer l’analyse des écarts
- L’OWASP AVSV
- Activité 4.3 : Intégration d’un SAST
- Activité 4.4 : Intégration d’un DAST
Section 10 – Phase 5, Auditer et améliorer la sécurité
- Activité 5.1 : Planifier un test d’intrusion
- Activité 5.2 : Adapter le système de suivi des bugs du SDLC à STRIDE
- Activité 5.3 : Préparer un tableau de bord
- Activité 5.4 : Préparer un plan de réponse à incident
- Activité 5.5 : Aller plus loin avec un modèle de maturité
- Activité 5.6 : Veille SSI
Détails
- Durée de la formation : 2 jours
- Certification : ICDE-DEVSECOPSMAN
Auteur des supports
Démarquez-vous de la foule et faites progresser votre carrière avec ICDE
Renforcez vos équipes, améliorez votre pertinence et assurez votre avenir, le tout en restant en avance dans le monde en constante évolution de la cybersécurité.
Formations connexes
ICDE-27001 : Implémentation de la norme ISO/IEC 27001:2022
L’ISO/IEC 27001 Implementeur est un cours de formation destiné aux...
ICDE-27005 : Gestion des risques avec la norme ISO/IEC27005:2022
Le cours de formation ISO/IEC 27005:2022 est conçu pour les professionnels ayant...