Le DevOps est une démarche qui réunit développement et exploitation autour d'objectifs communs : livrer plus vite, plus souvent, sans sacrifier la fiabilité ni la sécurité (définition complète et origine du terme dans Qu'est-ce que DevOps ?). La plupart des équipes qui s'y lancent reproduisent pourtant les mêmes erreurs : elles installent des outils sans transformation réelle, ajoutent la sécurité trop tard, subissent des incidents qu'elles auraient pu prévenir, et n'ont pas de métriques pour prioriser leurs efforts.
La CI/CD seule ne suffit plus. Le delivery, la sécurité et la fiabilité doivent être pensés ensemble, dès la conception, pas après coup.
Cette formation DevSecOps est construite autour de cette conviction. Elle ne liste pas des outils : elle construit le cadre mental, les pratiques et les trajectoires professionnelles qui permettent de travailler autrement.
Le problème que cette formation DevSecOps résout
Section intitulée « Le problème que cette formation DevSecOps résout »Avant de choisir un outil ou une certification, il faut nommer précisément ce qui bloque. Le tableau suivant met en regard les symptômes visibles (ceux qu'on remarque en réunion post-incident) et les causes profondes qu'ils cachent souvent. Cette lecture évite de traiter un problème de culture ou de flow avec une solution purement technique, l'erreur la plus fréquente chez les équipes qui débutent.
| Symptôme fréquent | Ce qui manque réellement |
|---|---|
| Des outils modernes, mais des incidents qui se répètent | Pas de culture de l'amélioration continue ni de postmortems sans blâme |
| Une CI/CD qui tourne, mais des mises en production encore stressantes | Flow mal conçu, lots trop gros, feedback trop tardif |
| Des failles de sécurité découvertes en production | Sécurité traitée comme un contrôle final, pas une contrainte de conception |
| Impossible de prioriser entre features, bugs et réduction de la dette | Pas de SLO, pas d'error budgets, pas de métriques DORA |
| Chaque équipe réinvente la roue | Pas de socle commun, pas de plateforme partagée |
Ce que vous allez vraiment apprendre
Section intitulée « Ce que vous allez vraiment apprendre »Ce programme ne propose pas une liste de thèmes à parcourir. Il vise des transformations concrètes :
- Concevoir un delivery plus fluide, en petits lots, avec des boucles de feedback courtes
- Intégrer la sécurité dès le début du cycle, dans les pipelines, les architectures, la supply chain
- Piloter la fiabilité avec des objectifs mesurables (SLO/SLI, des seuils de fiabilité cibles et les indicateurs qui les mesurent, error budgets, métriques DORA)
- Structurer une progression vers des rôles experts selon votre trajectoire
Le résultat attendu : être capable de prendre des décisions éclairées sur des sujets qui se croisent, sécurité, vélocité, fiabilité, organisation.
Prérequis minimaux
Section intitulée « Prérequis minimaux »Avant d'entrer dans ce programme, vous devez être à l'aise avec les bases techniques suivantes, indépendamment des outils précis que vous avez déjà pratiqués :
- Un terminal Linux (commandes de base, navigation, fichiers)
- Git (commit, branch, merge, pull request)
- La notion de programme qui s'exécute sur un serveur
Si ces bases manquent, commencez par les parcours Linux et Git.
Pour qui est ce programme ?
Section intitulée « Pour qui est ce programme ? »Le bon point d'entrée dépend de votre profil actuel et de vos objectifs de carrière, pas seulement de votre niveau technique du moment. Choisissez l'onglet qui correspond le mieux à votre situation pour éviter de revoir des bases déjà acquises ou, à l'inverse, de sauter des fondations qui manquent encore.
Vous entrez dans le sujet et vous ne savez pas par où commencer. Ce programme part de zéro, explique le « pourquoi » avant le « comment », et vous évite les erreurs classiques des premières années.
Commencez par : Fondamentaux, Culture DevOps
Vous gérez déjà de l'infrastructure mais vous voulez monter en compétence sur les pipelines, la sécurité et la fiabilité. Le Niveau 2 vous intéresse directement, après un passage rapide sur le socle.
Commencez par : SLO, SLI et Error Budgets
Vous maîtrisez le code mais vous voulez évoluer vers un rôle plus large : sécurité applicative, plateforme, delivery. Les Piliers 2 et 3 des fondamentaux sont votre point d'entrée, puis les spécialisations.
Commencez par : Introduction au DevSecOps
Vous structurez ou transformez une organisation. Les métriques DORA (revues en profondeur en 2025 avec l'arrivée de l'IA générative dans les équipes de développement), les modèles de maturité, Team Topologies (un modèle qui définit quatre types d'équipes et leurs modes d'interaction) et la logique des spécialisations sont vos leviers.
Commencez par : Métriques DORA
Les 3 niveaux du parcours
Section intitulée « Les 3 niveaux du parcours »Le programme suit une logique à trois étages. Chaque niveau s'appuie sur le précédent : sauter une étape crée des angles morts qui finissent toujours par coûter cher, en incident ou en dette technique.
-
Niveau 1, Socle : les fondations techniques indispensables. Culture DevOps, flow, sécurité fondamentale, SRE (Site Reliability Engineering, l'ingénierie de la fiabilité). Sans ce socle, le reste reste fragile.
-
Niveau 2, DevSecOps opérationnel : l'essentiel pour travailler dans une équipe DevSecOps : pipeline sécurisé, secrets, supply chain, GitOps, observabilité, gestion des incidents.
-
Niveau 3, Expertise et spécialisation : gouvernance, maturité, Platform Engineering, policy as code, SLO avancés. Ce niveau mène aux spécialisations métiers.
| Niveau | Durée estimée | Ce que vous savez faire en sortie |
|---|---|---|
| 1, Socle | 60–80 heures | Administrer un serveur, travailler en équipe avec Git, faire tourner des conteneurs |
| 2, Opérationnel | 80–100 heures | Construire un pipeline CI/CD sécurisé, gérer des incidents, intégrer sécurité dans le flux de dev |
| 3, Expert | 100–150 heures | Gouverner une plateforme, définir la stratégie sécurité, se spécialiser sur un domaine |
Niveau 1, Socle
Section intitulée « Niveau 1, Socle »Ce niveau pose les fondations techniques sans lesquelles tout le reste reste théorique : administrer un serveur, versionner du code en équipe, faire tourner des conteneurs. Beaucoup de développeurs sautent cette étape et se retrouvent bloqués dès qu'un incident touche l'infrastructure sous-jacente.
Niveau 2, DevSecOps opérationnel
Section intitulée « Niveau 2, DevSecOps opérationnel »C'est le niveau où le DevSecOps devient concret : un pipeline qui bloque les vulnérabilités critiques avant la production (classées selon l'OWASP Top 10:2025, le référentiel des risques de sécurité web les plus courants, première mise à jour majeure depuis 2021), des secrets qui ne traînent plus dans le code, une supply chain vérifiée du commit au déploiement. La majorité des postes DevSecOps juniors attendent cette maîtrise opérationnelle.
Niveau 3, Expertise
Section intitulée « Niveau 3, Expertise »À ce stade, la question n'est plus « comment faire » mais « comment faire tenir cette pratique à l'échelle d'une organisation entière ». La gouvernance, le Platform Engineering (plateformes internes en self-service pour les équipes de développement) et le policy as code (règles de sécurité appliquées automatiquement dans les pipelines) deviennent les leviers principaux. Selon les prévisions de Gartner, 80 % des grandes organisations d'ingénierie logicielle devraient disposer d'une équipe plateforme dédiée d'ici 2026, contre 45 % en 2022, un signe que ce niveau n'est plus réservé aux très grandes structures.
Les spécialisations disponibles
Section intitulée « Les spécialisations disponibles »Le DevSecOps n'est pas un métier unique. C'est un socle commun qui mène à des trajectoires distinctes selon que l'on privilégie la sécurité applicative, la fiabilité des systèmes, la construction de plateformes, le cloud ou les pipelines. Voici les 7 spécialisations couvertes :
| Spécialité | Mission | Certifications cibles |
|---|---|---|
| DevSecOps Engineer | Sécurité shift-left, SAST/DAST, supply chain | CKS, Certified AppSec |
| SRE | Fiabilité, SLO/SLI, on-call, réduction du toil | CKA, CKAD |
| Platform Engineer | IDP, Golden Paths, self-service infra | CKA, Terraform Associate |
| Ingénieur CI/CD | Pipelines, artefacts, déploiements continus | GitLab Certified, GitHub Actions |
| Cloud Engineer | Multi-cloud, IaC, migrations | AWS SAA, GCP ACE, AZ-104 |
| Architecte DevSecOps | Standards, gouvernance, design for failure | CKA + CKS + multi-cloud |
| FinOps Engineer | Coûts cloud, rightsizing, chargeback | FinOps Certified Practitioner |
Pour les fiches métier détaillées, voir la section Se spécialiser, Les métiers DevOps.
Certifications cohérentes avec ce parcours
Section intitulée « Certifications cohérentes avec ce parcours »Les certifications ne remplacent pas l'expérience terrain, mais elles valident un socle de connaissances reconnu par les recruteurs et structurent une progression claire. Le tableau ci-dessous aligne chaque certification sur le niveau du programme qui y prépare le mieux, pour éviter de viser un examen avancé sans les fondations nécessaires.
| Niveau | Certification | Organisme | Alignement |
|---|---|---|---|
| Socle | LFCS (Linux) | Linux Foundation | Niveau 1 |
| Socle | Docker Certified Associate | Docker / Mirantis | Niveau 1 |
| Opérationnel | CKA (Kubernetes Admin) | CNCF | Niveaux 1–2 |
| Opérationnel | GitLab Certified | GitLab | Niveau 2 |
| Expert | CKS (Kubernetes Security) | CNCF | Niveau 3 |
| Expert | Certified DevSecOps Professional | Practical DevSecOps | Niveaux 2–3 |
| Expert | AWS Security Specialty ou GCP Security | AWS/GCP | Niveau 3 |
| Expert | CISSP / CCSP | (ISC)² | Niveau 3 (architecture) |
Passerelles avec les autres parcours du site
Section intitulée « Passerelles avec les autres parcours du site »Ce programme ne couvre pas tout. D'autres sections du site complètent naturellement la progression, sur des sujets qui méritent un parcours dédié plutôt qu'un chapitre supplémentaire ici :
| Domaine | Lien | Pertinence |
|---|---|---|
| Linux administration | /docs/admin-serveurs/linux/ | Socle indispensable |
| Git & versioning | /docs/developper/version/git/ | Socle indispensable |
| Kubernetes | /docs/conteneurs/orchestrateurs/ | Niveaux 2–3 |
| Sécuriser (durcissement, RBAC, PKI…) | /docs/securiser/ | Niveaux 2–3 |
| Pipeline CI/CD (GitLab, GitHub, Dagger…) | /docs/pipeline-cicd/ | Niveau 2 |
| Observabilité (Prometheus, Grafana, Loki…) | /docs/observabilite/ | Niveaux 2–3 |
| Infrastructure as Code | /docs/infra-as-code/ | Niveaux 2–3 |
| Cloud | /docs/cloud/ | Niveaux 2–3 |
Contenu de cette section
Section intitulée « Contenu de cette section »Cette page d'orientation regroupe trois blocs de contenu complémentaires, accessibles directement depuis la barre latérale. Chacun répond à un besoin différent : comprendre les concepts, les mettre en œuvre dans une organisation, ou rester à jour sur un écosystème qui évolue vite, comme l'ont montré les mises à jour 2025 de DORA et de l'OWASP Top 10.
| Partie | Ce qu'elle apporte |
|---|---|
| Fondamentaux | Le cadre conceptuel : culture, flow, sécurité intégrée, fiabilité, sans outillage spécifique |
| Implémentation | La mise en pratique organisationnelle : maturité, équipes, métriques, delivery |
| Veille | Rester à jour sur l'écosystème DevSecOps |
À retenir
Section intitulée « À retenir »- Ce programme repose sur des contenus organisés en progression logique : commencer par les fondations évite de faire du copier-coller d'outils sans comprendre le contexte.
- Les trois niveaux correspondent à des étapes réelles de carrière : junior, confirmé, senior/spécialiste.
- La spécialisation arrive au niveau 3 ; trop tôt, elle crée des angles morts dangereux.
- Les métriques DORA ont changé de visage en 2025 : elles intègrent désormais l'impact de l'IA générative sur le delivery, pas seulement la vitesse de déploiement.
- L'OWASP Top 10:2025 est la première mise à jour majeure du référentiel depuis 2021, avec deux catégories inédites liées à la supply chain et à la gestion des erreurs.
- Le Platform Engineering n'est plus une spécialité de niche : selon Gartner, il concernera 80 % des grandes organisations d'ici 2026.
- Une certification valide un socle, elle ne remplace jamais la pratique terrain sur des incidents réels.