Aller au contenu
DevSecOps
Culture DevOps high
🔐 Alerte sécurité — Incident supply chain Trivy : lire mon analyse de l'attaque

Niveau 2 — DevSecOps opérationnel

Photo de Stéphane Robert
Stéphane Robert DevOps Engineer
5 min de lecture
#devsecops#pipeline-cicd#secrets#shift-left#observabilité#gitops

Ce niveau transforme les fondations du socle en pratiques opérationnelles. Vous savez déjà administrer Linux, utiliser Git et faire tourner des conteneurs. L’objectif ici est de sécuriser le flux de livraison de bout en bout : du code au déploiement en production, en passant par les tests, les secrets, les dépendances et l’observabilité.

Durée estimée : 80 à 100 heures selon votre expérience CI/CD initiale.

Ce que vous saurez faire en sortie

Section intitulée « Ce que vous saurez faire en sortie »
  • Expliquer et appliquer le shift-left sécurité dans un backlog et un pipeline
  • Construire un pipeline CI/CD avec SAST, DAST, SCA et secrets scanning
  • Modéliser les menaces d’un système avec STRIDE
  • Gérer les secrets avec Vault ou des solutions équivalentes
  • Générer et vérifier un SBOM, implémenter SLSA niveau 1–2
  • Déployer avec GitOps (ArgoCD ou Flux)
  • Mettre en place des SLO et des alertes basiques
  • Gérer un incident et rédiger un postmortem

Bloc 1 — Fondamentaux DevSecOps

Section intitulée « Bloc 1 — Fondamentaux DevSecOps »

Avant d’intégrer des outils, il faut comprendre pourquoi la sécurité échoue dans les équipes qui travaillent vite, et comment y remédier structurellement.

Introduction DevSecOps Ce que change le DevSecOps par rapport au DevOps classique. Pratiques, culture, outillage.
Menaces, risques et vulnérabilités Vocabulaire et cadre pour raisonner sur la sécurité : menaces, risques, surfaces d'attaque.
Pourquoi la sécurité échoue Les causes structurelles de l'échec sécurité dans les équipes DevOps.
Compromis et arbitrages sécurité Accepter, réduire, transférer : comment raisonner sous contrainte.
Responsabilités partagées Qui fait quoi dans un modèle DevSecOps : devs, ops, sécurité, management.
Security by Design Intégrer la sécurité dès la conception : threat modeling, SDL, privacy by design.

Bloc 2 — Shift-Left et threat modeling

Section intitulée « Bloc 2 — Shift-Left et threat modeling »

Le shift-left n’est pas une phrase creuse : c’est une décision d’organisation du travail. Savoir faire du threat modeling est la compétence clé qui rend le shift-left concret.

Shift-Left sécurité Comment déplacer les contrôles vers la gauche du pipeline. Feedback précoce, coût de correction réduit.
Threat modeling avec STRIDE Modéliser les menaces d'un système avec STRIDE. Guide pratique orienté backlog et sprint planning.
OWASP Top 10 appliqué au DevSecOps Utiliser l'OWASP Top 10 pour la sensibilisation dev, le code review et les quality gates.

Bloc 3 — Tests de sécurité

Section intitulée « Bloc 3 — Tests de sécurité »

Les tests de sécurité automatisés sont le cœur du pipeline DevSecOps. SAST, DAST, SCA et fuzzing ont chacun une place précise.

Tests de sécurité : SAST, DAST, SCA Les 4 types de tests, quand les utiliser, quels outils, comment les intégrer en CI.
Pipeline CI/CD sécurisé Security gates, quality thresholds, gestion des faux positifs, signature d'artefacts.

Outils de pipeline — choisissez la plateforme adaptée à votre contexte :

GitLab CI/CD Pipelines GitLab : jobs, stages, règles, environnements, sécurité intégrée.
GitHub Actions Workflows Actions : triggers, jobs, secrets, OIDC, security scanning.
Sécuriser les pipelines CI/CD Durcissement des runners, injection de variables, OIDC, supply chain attacks.

Bloc 4 — Gestion des secrets

Section intitulée « Bloc 4 — Gestion des secrets »

Les secrets exposés dans les logs, les dépôts ou les images sont une des causes les plus fréquentes de fuites. La gestion des secrets est un sujet opérationnel, pas théorique.

Secrets management Vault, SOPS, External Secrets Operator : choisir et implémenter.

Bloc 5 — Supply chain et SBOM

Section intitulée « Bloc 5 — Supply chain et SBOM »

La sécurité de la supply chain est incontournable depuis les attaques SolarWinds et Log4Shell. SBOM, SLSA et Sigstore sont devenus des standards.

Supply chain security SBOM, SLSA, Sigstore, attestations de build. Comprendre et implémenter.
Gestion des vulnérabilités et workflow CVE Triage, scoring CVSS/EPSS, SLA internes, exceptions, patching, lien avec SBOM/VEX.

Bloc 6 — GitOps

Section intitulée « Bloc 6 — GitOps »

GitOps structure le déploiement continu : Git est la source de vérité, les déploiements sont déclaratifs et auditables.

GitOps : Git comme source de vérité Principes GitOps, réconciliation, pull vs push, ArgoCD et Flux.

Bloc 7 — CI/CD : de l’idée à la production

Section intitulée « Bloc 7 — CI/CD : de l’idée à la production »

Au-delà des outils, comprendre la philosophie CI/CD, ses formes et ses pièges.

Définition CI/CD Ce que signifient vraiment l'intégration continue et la livraison continue.
CI vs CD : la différence Continuous Delivery vs Continuous Deployment : quand choisir quoi.
Formes de pipelines Pipelines séquentiels, parallèles, fan-out, matrix : quand utiliser quoi.
Pourquoi les pipelines échouent Flakiness, non-reproductibilité, temps de cycle trop long : causes et solutions.
Anti-patterns CI/CD Les erreurs classiques qui transforment un pipeline en obstacle.

Bloc 8 — Observabilité minimale

Section intitulée « Bloc 8 — Observabilité minimale »

Sans observabilité, on déploie à l’aveugle. L’objectif ici est de savoir mesurer ce qui compte.

Fondamentaux DevOps : observabilité Métriques, logs, traces : ce que chacun apporte, comment les combiner.
SLO, SLI et Error Budgets Définir des objectifs de fiabilité mesurables. Relier les SLO aux décisions opérationnelles.
Observabilité : parcours Prometheus, Grafana, Loki, Tempo, OpenTelemetry : guides pratiques.

Bloc 9 — Incidents et runbooks

Section intitulée « Bloc 9 — Incidents et runbooks »

La gestion des incidents est une compétence DevSecOps à part entière. Les équipes matures traitent les incidents comme des opportunités d’apprentissage, pas comme des fautes.

Incidents et postmortems Détection, escalade, résolution, blameless postmortem : la méthode SRE.
On-Call et astreintes Organiser une astreinte soutenable. Rotation, escalades, réduction du toil.
Éliminer le toil Identifier et automatiser le travail répétitif pour libérer du temps pour le travail à valeur ajoutée.

Livrable pratique — Projet opérationnel

Section intitulée « Livrable pratique — Projet opérationnel »

À retenir

Section intitulée « À retenir »
  • La sécurité intégrée dans le pipeline ne ralentit pas les livraisons si les gates sont bien calibrées : qualité sur les sévérités critiques, non-blocant sur les informations.
  • GitOps simplifie l’audit des déploiements : tout changement est tracé dans Git.
  • L’observabilité sans SLO n’est que du bruit. Définissez ce qui compte avant d’installer des dashboards.

Prochaines étapes

Section intitulée « Prochaines étapes »
Niveau 3 — Expert et spécialisations Gouvernance, Platform Engineering, Kubernetes security, architecture DevSecOps.
Retour au parcours complet Vue d'ensemble des 3 niveaux et des spécialisations.
Approfondir l'implémentation Team Topologies, Security Champions, KPIs sécurité, maturité DSOMM.

Ce site vous est utile ?

Sachez que moins de 1% des lecteurs soutiennent ce site.

Je maintiens +700 guides gratuits, sans pub ni tracing. Aujourd'hui, ce site ne couvre même pas mes frais d'hébergement, d'électricité, de matériel, de logiciels, mais surtout de cafés.

Un soutien régulier, même symbolique, m'aide à garder ces ressources gratuites et à continuer de produire des guides de qualité. Merci pour votre appui.

Abonnez-vous et suivez mon actualité DevSecOps sur LinkedIn