Vous avez compris la théorie DevSecOps. Vous connaissez les Three Ways, CALMS, les métriques DORA. Maintenant, comment passer à la pratique ? Ce guide répond à cette question avec un parcours structuré, des exemples concrets et des outils actionnables.
Vue d’ensemble du parcours
Section intitulée « Vue d’ensemble du parcours »Le parcours suit une progression logique : évaluer où vous en êtes, organiser vos équipes, former vos collaborateurs, mesurer les résultats, puis livrer en continu.
| Partie | Objectif | Durée lecture | Chapitres |
|---|---|---|---|
| 1 — Évaluer | Établir votre baseline | 30 min | 2 chapitres |
| 2 — Organiser | Structurer vos équipes | 45 min | 4 chapitres |
| 3 — Former | Développer les compétences | 30 min | 2 chapitres |
| 4 — Mesurer | Piloter par les données | 30 min | 2 chapitres |
| 5 — Livrer | Automatiser le delivery | 30 min | 3 chapitres |
| Annexe | Comprendre les rôles | 20 min | 9 fiches métiers |
Partie 1 — Évaluer
Section intitulée « Partie 1 — Évaluer »Objectif : Savoir d’où vous partez pour prioriser vos actions.
Avant de lancer une transformation, vous devez mesurer votre maturité actuelle. Sans baseline, impossible de mesurer le progrès ni de justifier les investissements. Cette partie vous donne les outils pour établir un diagnostic objectif.
-
Audit de maturité DSOMM
Évaluez votre niveau sur 5 dimensions avec le modèle OWASP DSOMM. Identifiez vos forces et vos lacunes.
-
Les 4 piliers qualité
Comprenez les 4 piliers d’un système de qualité (Sécurité, Fiabilité, Exploitabilité, Maintenabilité) et identifiez vos priorités.
Partie 2 — Organiser
Section intitulée « Partie 2 — Organiser »Objectif : Structurer vos équipes pour maximiser le flux de valeur.
La structure de vos équipes détermine la qualité de vos logiciels (loi de Conway). Cette partie vous apprend à appliquer Team Topologies, à mapper les rôles, et à construire une plateforme interne.
-
Team Topologies
Les 4 types d’équipes et les 3 modes d’interaction. Comment passer de la théorie à la pratique.
-
Mapper rôles × topologies
Où placer le SRE, le Platform Engineer, le Security Champion selon le contexte.
-
Collaboration Dev-Sec
Boucles de feedback, culture blameless, réduire la friction entre équipes.
Partie 3 — Former
Section intitulée « Partie 3 — Former »Objectif : Développer les compétences sécurité dans toute l’organisation.
Les outils ne suffisent pas. Sans transformation culturelle, vous aurez une CI/CD parfaite et toujours des silos. Cette partie vous apprend à former vos équipes et à créer un réseau de Security Champions.
-
Security Champions
Créer un réseau d’ambassadeurs sécurité dans chaque équipe. Recrutement, formation, animation.
-
Formation des équipes
Parcours de formation, CTF, gamification, montée en compétences progressive.
Partie 4 — Mesurer
Section intitulée « Partie 4 — Mesurer »Objectif : Piloter votre transformation par les données.
Ce qui ne se mesure pas ne s’améliore pas. Cette partie vous apprend à implémenter les métriques DORA et les KPIs sécurité pour démontrer la valeur de vos efforts et prioriser les actions.
-
Métriques DORA
Implémenter les 4 métriques clés : Deployment Frequency, Lead Time, Change Failure Rate, MTTR.
-
KPIs Sécurité
Métriques sécurité : MTTD, MTTR vulnérabilités, couverture scan, dette sécurité.
Partie 5 — Livrer
Section intitulée « Partie 5 — Livrer »Objectif : Automatiser le delivery pour livrer de la valeur en continu.
C’est la mise en pratique technique. Cette partie couvre le CI/CD, GitOps et les SLO pour livrer rapidement et de manière fiable.
-
CI/CD
Du code à la production. Architecture de pipeline, security gates, déploiement continu.
-
GitOps
Git comme source de vérité. ArgoCD, Flux, réconciliation automatique.
-
SLI, SLO & Error Budgets
Définir et piloter la fiabilité avec des objectifs mesurables.
Annexe — Carrières DevOps
Section intitulée « Annexe — Carrières DevOps »Objectif : Comprendre les différents rôles et leurs responsabilités.
Cette annexe présente les fiches métiers de l’écosystème DevOps. Pour chaque rôle : missions, compétences, parcours d’évolution.
Par où commencer ?
Section intitulée « Par où commencer ? »| Votre situation | Parcours recommandé |
|---|---|
| Débutant complet | Lire d’abord les Fondamentaux, puis revenir ici |
| Nouveau projet | Partie 5 (CI/CD) → Partie 1 (4 piliers) |
| Organisation existante | Partie 1 (Audit) → Partie 2 (Team Topologies) |
| Problème de collaboration | Partie 2.4 (Collaboration) → Partie 3 (Formation) |
| Besoin de justifier le ROI | Partie 4 (Métriques) → Partie 1 (Audit) |
| Recruter ou évoluer | Annexe Carrières |
Liens avec les Fondamentaux
Section intitulée « Liens avec les Fondamentaux »Ce parcours d’implémentation s’appuie sur les concepts des Fondamentaux :
| Concept (Fondamentaux) | Application (Implémentation) |
|---|---|
| Three Ways & CALMS | Structure des équipes (Partie 2) |
| Métriques DORA | Implémentation DORA (Partie 4) |
| Shift-Left | Pipeline sécurisé (Partie 5) |
| SLO, SLI & Error Budgets | SRE en pratique (Partie 5) |