Niveau 3 — Expert DevSecOps et spécialisations

Ce niveau s’adresse aux ingénieurs qui ont de l’expérience en production et qui veulent prendre de la hauteur : gouvernancer une plateforme, définir des standards, piloter la maturité d’une organisation ou se spécialiser sur un domaine précis. L’expert DevSecOps n’est plus seulement un praticien — il structure le travail des autres.

Durée estimée : 100 à 150 heures selon la spécialisation choisie.

Prérequis

Ce niveau suppose que vous avez complété ou que vous maîtrisez le Niveau 2 — DevSecOps opérationnel : pipeline sécurisé, secrets, supply chain, GitOps, observabilité, incidents.

---

Ce que vous saurez faire en sortie

• Piloter un audit de maturité DevSecOps (DSOMM) et en déduire une roadmap
• Concevoir et opérer un Internal Developer Platform (IDP)
• Configurer et auditer la sécurité d’un cluster Kubernetes
• Implémenter du policy as code et des admission controllers
• Définir des standards d’architecture et des patterns réutilisables
• Contribuer au choix des certifications et à la formation des équipes
• Choisir et se préparer à une spécialisation parmi les 7 disponibles

---

Bloc 1 — Implémentation organisationnelle

L’expertise DevSecOps n’est pas que technique. Elle implique de comprendre comment structurer les équipes, mesurer les progrès et faire monter le niveau collectif.

Audit de maturité DSOMM Évaluer objectivement la maturité DevSecOps d'une organisation avec DSOMM.

Team Topologies Les 4 types d'équipes, les 3 modes d'interaction, comment adapter votre organisation.

Mapper rôles et topologies Comment faire correspondre les rôles DevSecOps aux patterns Team Topologies.

Security Champions Mettre en place un programme Security Champions : sélection, formation, animation.

Formation des équipes Former les développeurs à la sécurité : curriculums, labs, CTF, sensibilisation.

Maturité et roadmap DevSecOps Construire et piloter une roadmap de transformation DevSecOps sur 12 à 24 mois.

---

Bloc 2 — KPIs, métriques et monitoring sécurité

Sans mesure, la sécurité reste une affaire d’opinion. Ce bloc couvre comment piloter objectivement la progression et démontrer la valeur du DevSecOps.

KPIs sécurité Indicateurs de pilotage : MTTR, taux de faux positifs, dette de vulnérabilités, couverture.

DORA : mesurer et implémenter Mettre en place les 4 métriques DORA dans votre organisation.

SLO, SLI et Error Budgets Définir des SLO et utiliser les error budgets pour piloter les décisions de déploiement.

---

Bloc 3 — Platform Engineering

Le Platform Engineering est la réponse structurelle au problème de la scalabilité DevSecOps. Plutôt que de former chaque équipe sur chaque outil, on construit une plateforme qui rend les bonnes pratiques faciles.

Platform Engineering : fondamentaux Qu'est-ce qu'un IDP ? Différence avec un portail développeur. Modèle de plateforme.

Platform Engineering : implémentation Backstage, Crossplane, golden paths, self-service : les composants d'un IDP.

Collaboration Dev-Sec dans la plateforme Comment intégrer les contrôles de sécurité dans le self-service développeur.

---

Bloc 4 — Kubernetes security

Kubernetes est l’infrastructure cible de la majorité des déploiements Cloud Native. Sa sécurisation est un sujet à part entière.

Sécuriser Kubernetes : vue d'ensemble Surface d'attaque, RBAC, admission controllers, Network Policies, auditabilité.

Conteneurs : sécurité Images sécurisées, scan de vulnérabilités, Trivy, runtime security.

Internals conteneurs Linux cgroups, namespaces, capabilities : comprendre les primitives de sécurité.

---

Bloc 5 — Infrastructure as Code et policy as code

L’IaC non sécurisé est une porte d’entrée comme une autre. Policy as code permet d’appliquer les contrôles de gouvernance de manière automatisée.

Infrastructure as Code Terraform, Ansible, Pulumi : choisir, structurer, sécuriser.

---

Bloc 6 — Sécurisation avancée du pipeline et de la supply chain

Supply chain security avancée SLSA niveaux 2–4, Sigstore en production, in-toto, politique de vérification.

Gestion des vulnérabilités et CVE Workflow opérationnel : triage, SLA, exceptions, VEX, reporting.

Sécurité de la supply chain : outils Grype, Syft, Cosign, Rekor, SLSA Verifier : guide pratique.

---

Bloc 7 — Identité, secrets et accès

L’identité est la nouvelle frontière de la sécurité. Workload identity, SPIFFE/SPIRE, zero trust : ce bloc couvre les architectures de confiance moderne.

Secrets management avancé Vault Enterprise, rotation automatique, PKI dynamique, leases.

---

Bloc 8 — SRE avancé

SRE : concepts fondamentaux Revisiter SRE avec un regard expert : error budgets comme outil de décision, postmortems systémiques.

Observabilité avancée Distributed tracing, profiling continu, alerting sur symptômes vs causes.

---

Spécialisations au niveau 3

À ce niveau, vous pouvez vous orienter vers l’une des 7 spécialisations. Chaque spécialisation correspond à un profil métier réel sur le marché.

DevSecOps Engineer

Focus : Intégrer la sécurité dans tout le SDLC, de la conception au monitoring en production.

Compétences clés : Threat modeling, tests de sécurité automatisés, pipeline sécurisé, supply chain, gestion des secrets, Kubernetes security, pilotage des Security Champions.

Certifications conseillées :

• Certified DevSecOps Professional (Practical DevSecOps)
• CKS (Certified Kubernetes Security Specialist)

Fiche métier DevSecOps Engineer Compétences requises, salaire, ressources, certifications.

Ingénieur CI/CD

Focus : Concevoir et maintenir des pipelines complexes, sécurisés et maintenables.

Compétences clés : GitOps, pipelines multi-environnements, supply chain, OIDC, artefacts et registres, observabilité des pipelines, Dagger ou Tekton.

Certifications conseillées :

• GitLab Certified (Professional ou Expert)
• GitHub Actions Certification

Fiche métier Ingénieur CI/CD Compétences requises, ressources, certifications.

Platform Engineer

Focus : Construire et opérer une Internal Developer Platform (IDP) qui permet aux équipes de livrer vite et en sécurité.

Compétences clés : Backstage, Crossplane, golden paths, self-service, IaC, observabilité plateforme, gouvernance.

Certifications conseillées :

• CKA + CKS (base Kubernetes)
• Terraform Associate

Fiche métier Platform Engineer Compétences requises, ressources, certifications.

SRE

Focus : Garantir la fiabilité des systèmes en production. SLO, error budgets, postmortems, toil reduction.

Compétences clés : SLO/SLI, error budgets, observabilité avancée, on-call efficace, automatisation, capacity planning.

Certifications conseillées :

• CKA (Kubernetes pour SRE)
• Google Professional Cloud DevOps Engineer

Fiche métier SRE Compétences requises, ressources, certifications.

Cloud Engineer

Focus : Concevoir et opérer une infrastructure cloud sécurisée et optimisée.

Compétences clés : IAM cloud, VPC, FinOps, IaC, sécurité cloud (CIS, Well-Architected), multi-cloud.

Certifications conseillées :

• AWS Solutions Architect Associate + Security Specialty
• GCP Professional Cloud Architect
• Azure Solutions Architect

Fiche métier Cloud Engineer Compétences requises, ressources, certifications.

Architecte DevSecOps

Focus : Définir les standards, les patterns d’architecture et la gouvernance sécurité à l’échelle d’une organisation.

Compétences clés : Vision système, ADR, threat modeling à l’échelle, Zero Trust, standards NIST/ISO27001, gouvernance cloud.

Certifications conseillées :

• TOGAF (architecture d’entreprise)
• CISSP / CCSP
• AWS/GCP/Azure Architecture specialty

Fiche métier Architecte DevSecOps Compétences requises, ressources, certifications.

FinOps

Focus : Optimiser les coûts cloud tout en maintenant la performance et la gouvernance.

Compétences clés : Budgets cloud, right-sizing, reserved instances, tagging governance, showback/chargeback, FinOps Foundation framework.

Certifications conseillées :

• FinOps Certified Practitioner (FinOps Foundation)
• AWS Cost Optimization

Fiche métier FinOps Compétences requises, ressources, certifications.

---

Validation : quiz et projets

Contenu en préparation

Les labs et quiz pour ce niveau sont en cours de développement. Cette section sera enrichie progressivement.

Projet fil rouge niveau 3 : déployez une application complète sur Kubernetes avec :

• Pipeline CI/CD multi-environnements avec SLSA niveau 2
• RBAC Kubernetes + Network Policies + Pod Security Standards
• Vault pour la gestion des secrets
• SLO définis et alertes basées sur les symptômes
• Audit de maturité DSOMM initial + roadmap des actions prioritaires

Référence : Projets fil rouge DevSecOps

---

À retenir

• L’expert DevSecOps ne fait pas tout lui-même : il crée les conditions pour que les équipes fassent bien.
• La maturité se mesure, se pilote et se démontre avec des données concrètes.
• La spécialisation se fait toujours à partir d’une maîtrise des niveaux 1 et 2 : les experts qui ont sauté des étapes ont des angles morts qu’ils ne voient pas.

---

Prochaines étapes

Retour au parcours complet Vue d'ensemble des 3 niveaux, certifications et passerelles.

Implémentation DevSecOps Team Topologies, Security Champions, KPIs, audit de maturité.

Sécuriser : guides pratiques Durcissement, Kubernetes, conteneurs, supply chain, secrets, réseaux.

×

📖 Voir la documentation →