Contenu du cours
Comprendre et Maîtriser DevSecOps de A à Z
0/22
DevSecOps Quiz
Leçon 1 : Introduction au DevSecOps – Définitions, Origines, Enjeux Stratégiques
Leçon 2 : Culture DevSecOps – Collaboration, Responsabilité Partagée, Modèle Shift Left
Leçon 3 : Intégration de la Sécurité dans le SDLC (Secure SDLC)
Leçon 4 : Environnements de Développement Sécurisés (IDE, Git, Gestion des Secrets, Contrôle de Versions)
Leçon 5 : Gestion des Dépendances et Sécurité des Packages Open Source
Leçon 6 : Sécuriser les Pipelines CI/CD
Leçon 7 : Analyse Statique de Code (SAST) – Concepts et Outils
Leçon 8 : Analyse Dynamique (DAST) et Tests de Sécurité Applicative
Leçon 9 : Sécurité des Conteneurs (Docker, Podman) et des Images
Leçon 10 : Sécurité dans Kubernetes – RBAC, Network Policies, OPA et Pod Security
Leçon 11 : Intégration des Scans de Vulnérabilités dans les Pipelines
Leçon 12 : Infrastructure as Code (IaC) Sécurisée (Terraform, Ansible, AWS CloudFormation)
Leçon 13 : Outils IaC Scanning – tfsec, Checkov, Terrascan, KICS
Leçon 14 : Gestion des Secrets et des Identités (Vault, AWS Secrets Manager, Azure Key Vault)
Leçon 15 : Surveillance, Logging et Détection de Menaces (ELK, Prometheus, Falco, Wazuh)
Leçon 16 : Tests d’Intrusion Automatisés et Intégration (OWASP ZAP, Nikto, Burp Suite)
Leçon 17 : Conformité, Gouvernance et Audits dans une Pipeline DevSecOps
Leçon 18 : Déploiement Sécurisé dans le Cloud (AWS, Azure, GCP)
Leçon 19 : Projet Pratique DevSecOps – Déployer un Pipeline CI/CD Sécurisé de Bout en Bout
Leçon 20 : Cas d’Usage Avancés, Tendances Futures et Certification DevSecOps
SonarQube Deep Demo: Static Application Security Testing (SAST)
Comprendre et Maîtriser DevSecOps de A à Z – Cours et 202 questions pratiques (Copie 1)

Objectifs de la Leçon

  • Mettre en application tous les concepts DevSecOps abordés précédemment.

  • Concevoir et déployer un pipeline CI/CD complet et sécurisé pour une application réelle.

  • Intégrer dans le pipeline les étapes SAST, DAST, IaC scanning, gestion des secrets, déploiement sécurisé dans le Cloud, etc.

  • Valider la robustesse du processus en réalisant des tests end-to-end dans un environnement simulé ou réel.

Table des Matières

  1. Introduction au Projet Pratique

    • Objectifs et portée du projet.

    • Présentation du cas d’usage : « Pipeline CI/CD Sécurisé de Bout en Bout ».

  2. Conception du Pipeline CI/CD

    • Architecture du pipeline : étapes, outils et flux de données.

    • Choix des technologies (Jenkins, GitLab CI, GitHub Actions).

    • Schéma d’architecture du pipeline.

  3. Développement et Intégration des Contrôles de Sécurité

    • Intégration de SAST (ex. Fortify, SonarQube).

    • Ajout de tests DAST et fuzzing (ex. OWASP ZAP).

    • Utilisation de scanners pour IaC (tfsec, Checkov).

    • Gestion sécurisée des dépendances et secrets.

  4. Déploiement de l’Application

    • Stratégies de déploiement sécurisé (Blue/Green, Rolling Update).

    • Intégration avec les plateformes Cloud (cf. Leçon 18).

  5. Automatisation et Gating du Pipeline

    • Configuration des jobs pour bloquer le pipeline en cas de vulnérabilités critiques.

    • Exemples de scripts pour vérifier les rapports de scan et décider du déploiement.

  6. Mise en Œuvre du Projet – Étape par Étape

    • Développement des scripts et des configurations.

    • Déploiement et tests en environnement de staging.

    • Correction des failles détectées via des retours d’expérience.

  7. Études de Cas et Retours d’Expérience

    • Retour sur des projets réels ayant intégré un pipeline CI/CD sécurisé.

    • Analyse des gains en termes de sécurité et de réactivité.

  8. Exercices Pratiques et Corrigés Détaillés

    • Exercice : Déployer un pipeline CI/CD complet sur un projet fictif.

    • Analyse et validation des configurations de sécurité dans le pipeline.

  9. Quiz de Révision

  10. Conclusion et Discussion Finale

Exemple de Contenu (Extraits)

Schéma d’Architecture du Pipeline CI/CD :

csharp
[Code Source]


[Pipeline CI]
├─ Build → SAST → IaC Scan
├─ DAST / Tests → Sécurité des Conteneurs
├─ Gestion des Secrets
└─ Déploiement sur le Cloud


[Environnement de Production]

Extrait de Jenkinsfile pour le Pipeline Complet :

groovy
pipeline {
agent any

stages {
stage('Build') {
steps {
echo 'Compilation du code...'
sh './build.sh'
}
}
stage('Analyse SAST') {
steps {
echo 'Scan statique du code avec Fortify...'
sh 'fortify_scan --source ./src --ruleset fortify-python'
}
}
stage('Scan IaC') {
steps {
echo 'Vérification des templates IaC avec tfsec...'
sh 'tfsec .'
}
}
stage('Tests DAST') {
steps {
echo 'Exécution du scan DAST avec OWASP ZAP...'
sh 'zap-cli quick-scan --self-contained http://staging.myapp.com'
}
}
stage('Gestion des Secrets') {
steps {
echo 'Injection des secrets depuis Vault...'
sh 'export API_KEY=$(vault kv get -field=value secret/api_key)'
}
}
stage('Déploiement') {
steps {
echo 'Déploiement sécurisé sur le Cloud...'
sh './deploy.sh'
}
}
}
post {
always {
echo "Pipeline terminé."
}
}
}

Conclusion de la Leçon 19

Dans cette leçon, vous avez mis en œuvre un projet complet qui intègre tous les concepts DevSecOps – des scans de sécurité à la gestion des secrets en passant par le déploiement sécurisé dans le cloud – dans un pipeline CI/CD. Ce projet pratique vous permet d’expérimenter l’enchaînement des contrôles et d’observer comment chaque étape contribue à réduire les risques. Vous êtes ainsi mieux préparés à déployer des applications de manière sécurisée dans des environnements réels.

Précédent
Suivant