Vous êtes arrivé ici pour vous former au DevSecOps. Vaste sujet. Pas de formule magique : il faudra du travail, beaucoup de travail. L’objectif est clair : comprendre les concepts avant de toucher aux outils. On lit, on assimile, on pratique, on valide. Dans cet ordre. Ce parcours vous donne la structure pour y arriver.
Apprendre → Pratiquer → Valider → Certifier
Section intitulée « Apprendre → Pratiquer → Valider → Certifier »Avec la diffusion des copilots, des agents et des LLM, produire un livrable technique qui ressemble à quelque chose de correct devient accessible à tous. Un manifest Kubernetes, un module Terraform, un playbook Ansible : l’IA peut les générer en quelques secondes. Mais cela ne prouve pas qu’on comprend ce qu’on exécute, ni qu’on saura corriger quand les choses dévieront.
Ce parcours repose sur une conviction : la compétence réelle se prouve par la pratique, pas par la production apparente. La progression suit quatre étapes :
- Apprendre — Comprendre les concepts, les principes, les arbitrages.
- Pratiquer — Appliquer en lab, casser, debugger, recommencer.
- Valider — Quiz, exercices chronométrés, examens blancs.
- Certifier — Passer une certification reconnue pour prouver ses acquis.
Chaque domaine de ce parcours est relié à cette logique. Pas d’empilement d’outils : une montée en compétence structurée, avec une preuve à la clé.
Le parcours DevSecOps, concrètement
Section intitulée « Le parcours DevSecOps, concrètement »Le DevSecOps, c’est la capacité à livrer plus vite un logiciel, un service, une infrastructure tout en gardant un niveau de sécurité et de fiabilité maîtrisé. Ce parcours est la page centrale : elle vous donne un ordre de progression, des repères, et des liens vers les guides détaillés.
Vous y trouverez :
- une roadmap interactive pour explorer les domaines et dépendances (gros travail en cours)
- un chemin recommandé (ordre conseillé) pour éviter de partir dans tous les sens
- des projets fil rouge pour pratiquer avec un objectif concret
- des points d’entrée selon votre profil : débutant, développeur, ops
Roadmap interactive
Section intitulée « Roadmap interactive »Cette roadmap vous aide à visualiser les blocs de compétences (DevOps, Administration de serveurs, Réseaux, Sécurtié, IaC, CI/CD, Conteneurs). Conseil : si vous débutez, ne cherchez pas “le meilleur outil”. Suivez plutôt le chemin recommandé juste après. (Elle s’enrichir dans les prochaines semaines.)
Chemin recommandé
Section intitulée « Chemin recommandé »Voici l’ordre conseillé pour construire des fondations solides. L’idée : maîtriser les fondements et concepts puis seulement passer à la pratique..
1) Culture et principes (indispensable)
Section intitulée « 1) Culture et principes (indispensable) »Pourquoi : vous évitez le “cargo cult” (faire des pipelines sans savoir pourquoi) et vous comprenez les arbitrages (vitesse, qualité, risque). Preuve attendue : savoir expliquer la boucle de feedback DevOps et les principes de sécurité shift-left.
2) Socle système : Linux et réseau
Section intitulée « 2) Socle système : Linux et réseau »Pourquoi : la production, c’est du système, des logs, du réseau, des permissions. Sans socle, le troubleshooting devient du hasard. Preuve attendue : diagnostiquer un service cassé, interpréter des logs, corriger un problème réseau — en conditions réelles. Certifications associées : RHCSA, LFCS.
3) Sécurité & production-ready
Section intitulée « 3) Sécurité & production-ready »Pourquoi : durcissement, analyse, détection, bonnes pratiques. Et une veille minimale pour rester pertinent.
Preuve attendue : durcir un système, réduire une surface d’attaque, analyser une alerte de sécurité dans un pipeline.
4) Conteneurs : packager et exécuter
Section intitulée « 4) Conteneurs : packager et exécuter »Pourquoi : vous standardisez l’exécution et vous maîtrisez les briques runtime (images, build, volumes, réseau, ressources). Preuve attendue : construire une image optimisée, diagnostiquer un conteneur en échec, expliquer l’isolation et les limites de ressources.
5) Infrastructure as Code : rendre reproductible
Section intitulée « 5) Infrastructure as Code : rendre reproductible »Pourquoi : vous passez de “je configure à la main” à “je décris et j’automatise”, avec une approche industrialisable. Preuve attendue : structurer un projet Terraform avec modules, écrire des playbooks Ansible idempotents, gérer le state et les secrets. Certifications associées : Terraform Associate, RHCE (Ansible).
6) CI/CD : automatiser tests, build et déploiement
Section intitulée « 6) CI/CD : automatiser tests, build et déploiement »Pourquoi : c’est le cœur du delivery. C’est aussi l’endroit idéal pour intégrer la sécurité “shift-left” (contrôles tôt, coût de correction réduit). Preuve attendue : concevoir un pipeline complet avec tests, scan de sécurité et déploiement, diagnostiquer un pipeline cassé.
7) Kubernetes : orchestrer et opérer
Section intitulée « 7) Kubernetes : orchestrer et opérer »Pourquoi : vous apprenez l’orchestration, la scalabilité, les déploiements déclaratifs et les patterns d’exploitation modernes. Preuve attendue : administrer un cluster, debugger un pod, gérer les accès et le réseau. Certifications associées : CKA, CKAD, CKS.
Valider son niveau
Section intitulée « Valider son niveau »La progression ne se mesure pas au nombre de guides lus. Elle se mesure à ce que vous savez faire sous contrainte. Voici les certifications qui structurent les domaines couverts par ce parcours :
| Domaine | Certifications | Ce qu’elles prouvent |
|---|---|---|
| Linux | RHCSA, LFCS | Administrer, diagnostiquer et sécuriser un système Linux en conditions réelles |
| Kubernetes | CKA, CKAD, CKS | Opérer un cluster, déployer et sécuriser des workloads |
| Terraform | Associate, Professional | Structurer, versionner et industrialiser l’infrastructure |
| Ansible | RHCE | Automatiser la configuration et la gestion de systèmes à l’échelle |
Ces certifications ne sont pas des décorations. Ce sont des examens pratiques (performance-based pour RHCSA, RHCE, CKA, CKAD, CKS) qui valident des compétences réelles. Plus l’IA facilite la production de surface, plus ce type de preuve reprend de la valeur.
Labs en cours de constitution
Section intitulée « Labs en cours de constitution »Les labs pratiques sont le chaînon entre les guides et les certifications. Je les construis progressivement dans des dépôts compagnons :
- Linux : linux-training —
labs, challenges et capstones pilotés par la CLI
dsoxl. - Kubernetes : labs de préparation CKA, CKAD et CKS (en cours).
- Terraform : scénarios progressifs avec libvirt (en cours).
- Ansible : exercices de préparation RHCE (en cours).
Ces labs demandent du temps à concevoir, tester et rendre cohérents avec les objectifs de chaque examen. Ils avancent régulièrement.
Section intitulée « Ces labs demandent du temps à concevoir, tester et rendre cohérents avec les objectifs de chaque examen. Ils avancent régulièrement. »Compétences que vous allez acquérir
Section intitulée « Compétences que vous allez acquérir »Ce parcours vise des compétences pratiques, pas seulement “connaître des outils”.
Livraison logicielle
Section intitulée « Livraison logicielle »- construire une image, versionner, publier des artefacts
- mettre en place une chaîne CI/CD avec tests et déploiements
Exploitation (ops)
Section intitulée « Exploitation (ops) »- diagnostiquer une panne via logs/metrics/trace (au minimum logs + metrics)
- gérer la configuration, les secrets, les accès, et les permissions
Sécurité DevSecOps (bases)
Section intitulée « Sécurité DevSecOps (bases) »- intégrer des contrôles dans le pipeline (qualité, dépendances, images, config)
- appliquer des principes de durcissement et réduire la surface d’attaque
- comprendre la différence entre sécurité préventive, détective et corrective
Pratique et validation
Section intitulée « Pratique et validation »Une fois les concepts compris et validés par des quizz, rien ne remplace la pratique. Lire un guide sur Docker ne fait pas de vous quelqu’un qui sait conteneuriser. C’est en cassant, en debuggant, en recommençant que les choses s’ancrent. Montez un environnement de test et faites des erreurs : c’est le chemin le plus court vers la maîtrise.
- Examens : valider les acquis et identifier les trous de connaissance
- Homelab : votre terrain d’entraînement (et d’erreurs utiles)
Prochaines étapes
Section intitulée « Prochaines étapes »Vous avez lu cette page ? Bien. Maintenant, remontez à la roadmap et choisissez votre premier sujet. Pas besoin de tout planifier : un domaine, un guide, un test. Puis revenez ici pour passer au suivant.
FAQ (les questions qui reviennent tout le temps)
Section intitulée « FAQ (les questions qui reviennent tout le temps) »L'ordre recommandé
Le piège classique est de foncer sur les outils sans comprendre les fondamentaux. Voici l'ordre conseillé :| Étape | Sujet | Pourquoi |
|---|---|---|
| 1 | Culture DevOps/DevSecOps | Comprendre les arbitrages vitesse/qualité/risque |
| 2 | Linux et réseau | Le socle de toute production |
| 3 | Sécurité de base | Durcissement, bonnes pratiques |
| 4 | Docker | Standardiser l'exécution |
| 5 | IaC (Terraform/Ansible) | Rendre reproductible |
| 6 | CI/CD | Automatiser la livraison |
| 7 | Kubernetes | Orchestrer à l'échelle |
Règle d'or
Concepts d'abord, outils ensuite. Un ingénieur qui comprend les principes s'adapte à n'importe quel outil. Celui qui ne connaît que l'outil est perdu dès qu'il change.Estimation réaliste
| Objectif | Durée estimée | Condition |
|---|---|---|
| Premiers résultats | 2-4 semaines | Pratique quotidienne (1-2h) |
| Autonomie de base | 3-6 mois | Projets concrets + homelab |
| Maîtrise solide | 6-12 mois | Expérience terrain |
| Expertise | 2-3 ans | Production réelle |
Le facteur clé : la répétition
Lire un guide sur Docker ne fait pas de vous quelqu'un qui sait conteneuriser. C'est en cassant, en debuggant, en recommençant que les choses s'ancrent.Accélérateurs
- Homelab : environnement de test personnel
- Mini-projets : objectifs concrets et atteignables
- Quizz : valider les acquis avant de pratiquer
Réponse courte
Vous pouvez sauter Linux, mais vous le regretterez.Pourquoi Linux est incontournable
| Aspect | Impact sans Linux |
|---|---|
| Debugging | Impossible de lire les logs correctement |
| Conteneurs | Pas de compréhension du runtime |
| Réseau | Diagnostic DNS/firewall impossible |
| Permissions | Erreurs incomprises sur fichiers/processus |
| Production | Incidents = panique |
Ce que vous devez maîtriser
# Navigation et fichiers
ls, cd, cat, grep, find, chmod, chown
# Processus et services
ps, top, systemctl, journalctl
# Réseau
ip, ss, curl, dig, ping
Verdict
Linux n'est pas glamour, mais c'est un multiplicateur d'efficacité. Investissez 2-4 semaines sur les bases, vous gagnerez des mois plus tard.Réponse nuancée
Non obligatoire, mais fortement recommandé à terme.Ce qui fonctionne sans Kubernetes
| Compétence | Valable sans K8s ? |
|---|---|
| Linux/système | ✅ Oui |
| Docker | ✅ Oui |
| CI/CD | ✅ Oui |
| Terraform/Ansible | ✅ Oui |
| Sécurité applicative | ✅ Oui |
| Observabilité | ✅ Oui |
Pourquoi apprendre Kubernetes quand même
- Employabilité : présent dans 70%+ des offres DevOps
- Patterns modernes : déploiements déclaratifs, autoscaling
- Écosystème riche : Helm, ArgoCD, Istio
Recommandation
Maîtrisez d'abord Docker + CI/CD + IaC. Kubernetes viendra naturellement comme la suite logique pour l'orchestration à l'échelle.DevOps : livrer vite et bien
DevOps combine développement (Dev) et opérations (Ops) pour :- Accélérer les livraisons
- Automatiser les déploiements
- Améliorer la collaboration
DevSecOps : ajouter la sécurité dès le départ
DevSecOps = DevOps + Security intégrée, pas ajoutée.| Approche | Quand intervient la sécurité ? |
|---|---|
| Traditionnelle | À la fin (audit avant prod) |
| DevOps | Souvent oubliée ou tardive |
| DevSecOps | Dès le début (shift-left) |
Le shift-left en pratique
┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐
│ Code │ → │ Build │ → │ Test │ → │ Prod │
└────┬────┘ └────┬────┘ └────┬────┘ └────┬────┘
│ │ │ │
Scan Scan Scan Scan
SAST dépendances DAST runtime
Bénéfice clé
Une faille détectée en développement coûte 10x moins cher à corriger qu'en production.Outils essentiels par domaine
| Domaine | Outil recommandé | Alternative |
|---|---|---|
| Versionning | Git | - |
| Conteneurs | Docker | Podman |
| CI/CD | GitLab CI | GitHub Actions, Jenkins |
| IaC Config | Ansible | Puppet, Chef |
| IaC Provision | Terraform | Pulumi, OpenTofu |
| Orchestration | Kubernetes | Docker Swarm |
| Scan vulns | Trivy | Grype, Snyk |
| Observabilité | Prometheus + Grafana | Datadog |
Conseil important
Les outils changent, les concepts restent.Apprenez :- Le concept de conteneurisation (pas juste Docker)
- Le concept d'Infrastructure as Code (pas juste Terraform)
- Le concept de pipeline CI/CD (pas juste GitLab)
Le homelab : votre terrain d'entraînement
Pas besoin d'environnement professionnel pour apprendre. Un homelab suffit.Options de démarrage
| Option | Coût | Idéal pour |
|---|---|---|
| VM locale (VirtualBox) | Gratuit | Débuter |
| WSL2 (Windows) | Gratuit | Docker sur Windows |
| Raspberry Pi | ~50€ | Cluster K3s |
| VPS cloud | ~5€/mois | Expérience réseau réel |
| Vieux PC | Récup | Homelab complet |
Projets concrets à réaliser
- Conteneuriser une application web simple
- Créer un pipeline CI/CD sur GitHub Actions (gratuit)
- Déployer avec Ansible sur une VM
- Provisionner une infra avec Terraform (cloud gratuit tier)
- Scanner vos images avec Trivy
Règle d'or
Cassez des choses. Les erreurs sur votre homelab sont le meilleur apprentissage, sans risque pour la production.Réponse pragmatique
Pas obligatoires, mais peuvent faciliter l'accès à certains postes.Certifications utiles
| Certification | Domaine | Valeur marché |
|---|---|---|
| CKA / CKAD | Kubernetes | ⭐⭐⭐ Très reconnue |
| AWS Solutions Architect | Cloud AWS | ⭐⭐⭐ Standard |
| Azure Administrator | Cloud Azure | ⭐⭐⭐ Standard |
| Terraform Associate | IaC | ⭐⭐ Bonne base |
| RHCSA | Linux | ⭐⭐ Solide |
Ce qui compte vraiment
- Portfolio GitHub avec projets concrets
- Expérience démontrable (même sur homelab)
- Capacité à expliquer ce que vous avez fait
- Résolution de problèmes en entretien technique
Recommandation
Investissez d'abord dans la pratique. Une certification sans compétence réelle ne tient pas face à un entretien technique.La méthode qui fonctionne
- Choisissez un sujet précis
- Pas "apprendre Kubernetes"
- Mais "déployer un pod et comprendre les manifests"
- Vérifiez les prérequis
- Avez-vous les bases nécessaires ?
- Sinon, revenez en arrière
- Validez par un quizz
- Avant de pratiquer, testez vos connaissances
- Identifiez les trous
- Faites un mini-projet
- Objectif concret, atteignable en quelques heures
- Même petit, même imparfait
- Notez les blocages
- 3 points maximum
- Revenez aux guides ciblés
- Re-testez jusqu'à stabilité
- Le résultat doit être reproductible
Règles d'or
| Principe | Application |
|---|---|
| Petites étapes | Un sujet bien compris > dix survolés |
| Pratique régulière | 1h/jour > 7h le dimanche |
| Documenter | Reformuler aide à ancrer |
| Accepter l'échec | Les erreurs enseignent plus que les succès |
Pourquoi les certifications reprennent de la valeur
L'IA génère du YAML, du HCL, des playbooks. Tout le monde peut produire du code. La question devient : qui sait vérifier, diagnostiquer et corriger ce code en production ?| Ce que l'IA fait bien | Ce qu'elle ne fait pas |
|---|---|
| Générer du code syntaxiquement correct | Diagnostiquer un cluster planté |
| Proposer des templates | Arbitrer entre deux architectures |
| Répondre à des questions | Résoudre un incident à 2h du matin |
Les certifications performance-based
Certaines certifications testent votre capacité à faire, pas à réciter :- CKA / CKS : résoudre des problèmes K8s en temps limité
- RHCSA / RHCE : administrer et automatiser sur un vrai système
- Terraform Professional : labs pratiques sur des scénarios réels
Verdict
Une certification prouve que vous, pas votre copilot, savez résoudre le problème.Théorie sans pratique = oubli rapide
| Méthode | Rétention à 30 jours |
|---|---|
| Lire un guide | ~20% |
| Regarder une vidéo | ~30% |
| Faire un exercice guidé | ~50% |
| Résoudre un problème seul | ~75% |
| Enseigner / documenter | ~90% |
Le bon combo
- Lire le guide pour comprendre le concept
- Faire le lab pour ancrer la compétence
- Passer le quiz/examen pour identifier les lacunes
- Refaire le lab sans le guide pour valider
Sur ce site
- Les guides donnent la théorie et les commandes
- Les labs (linux-training, containers-training) font pratiquer
- Les examens mesurent la compréhension
- Les certifications valident officiellement
La progression naturelle
Ansible automatise l'administration Linux. Sans les bases Linux, Ansible ne sert à rien.| Étape | Compétence | Certification |
|---|---|---|
| 1. Fondamentaux Linux | Terminal, fichiers, services | LFCS |
| 2. Administration avancée | Stockage, réseau, sécurité | RHCSA |
| 3. Ansible | Playbooks, rôles, inventaires | — |
| 4. Ansible avancé | Collections, vault, Tower | RHCE (EX294) |
Pourquoi cet ordre ?
- RHCSA : prouve que vous savez administrer un système Red Hat
- RHCE : prouve que vous savez automatiser cette administration avec Ansible
- La RHCSA est un prérequis de la RHCE