Comment lire cette documentation

Cette documentation couvre un large spectre de sujets DevSecOps. Pour en tirer le meilleur parti, il est utile de comprendre comment elle est organisée et comment l’aborder selon votre profil et vos objectifs.

Commencer ici

Si vous débutez, ces trois pages posent les bases :

1. Qu’est-ce que DevOps ?
2. Qu’est-ce que le DevSecOps ?
3. Menace, risque, vulnérabilité, attaque

Le but de ce site

Ce site existe pour une raison simple : réduire l’écart entre “j’ai entendu parler de DevSecOps” et “je sais l’appliquer concrètement”. L’objectif n’est pas de collecter des tutoriels, mais de construire une compréhension solide des principes avant de manipuler les outils.

La sécurité n’est pas une section à part : c’est un fil conducteur. Chaque guide intègre les considérations de sécurité dès le départ, pas comme un ajout tardif. Vous apprendrez à déployer, automatiser et opérer des systèmes en tenant compte des risques dès la conception.

Ce que vous obtiendrez concrètement :

• Comprendre pourquoi une pratique existe avant de voir comment l’implémenter
• Appliquer des principes de sécurité sans attendre d’être expert en cybersécurité
• Éviter les erreurs classiques documentées par ceux qui les ont faites
• Avoir des repères pour évaluer si une solution est adaptée à votre contexte

À qui s’adresse cette documentation

Débutant en DevOps

Vous découvrez le domaine. Les termes comme “CI/CD”, “conteneur” ou “infrastructure as code” sont encore flous. Cette documentation vous donne le vocabulaire, les concepts de base et une progression logique. Vous n’avez pas besoin de tout lire : commencez par les fondamentaux, puis explorez selon vos besoins.

Développeur souhaitant évoluer

Vous savez coder, mais l’environnement d’exécution reste une boîte noire. Vous voulez comprendre ce qui se passe après le git push. Ici, vous trouverez les ponts entre le code et l’infrastructure : conteneurisation, pipelines, déploiement automatisé.

Ops souhaitant intégrer la sécurité

Vous gérez des systèmes, mais la sécurité reste un sujet à part, traité “quand on a le temps”. Cette documentation vous montre comment intégrer la sécurité dans vos pratiques quotidiennes : durcissement, analyse, détection, sans devenir expert en pentesting.

Expert cherchant une référence

Vous connaissez le sujet. Vous cherchez une procédure précise, une commande, un rappel. Utilisez la recherche ou le glossaire. Les guides sont conçus pour être consultables individuellement, sans relire tout le contexte.

Ce que vous ne trouverez pas ici

• Des recettes magiques : pas de “déployez un orchestrateur en 5 minutes” sans comprendre ce que vous faites
• Du copier-coller sans explication : chaque commande est contextualisée, avec le “pourquoi” et le “comment vérifier”
• Des checklists hors-sol : les listes de bonnes pratiques sont accompagnées de scénarios réels
• Une exhaustivité encyclopédique : je documente ce que je pratique, pas tout ce qui existe
• De la théorie pure : chaque concept est illustré par un cas d’usage concret

Structure générale

La documentation est organisée en sections thématiques. Chacune répond à un besoin spécifique :

• Fondamentaux — Poser les bases : vocabulaire, principes, modèles mentaux. À lire en premier si vous débutez.
• Administration — Gérer des systèmes Linux au quotidien : services, réseaux, utilisateurs. Le socle technique.
• Conteneurisation — Isoler, packager, orchestrer des applications.
• Infrastructure as Code — Automatiser la création et la configuration d’infrastructure. Reproductibilité et versionnement.
• Pipelines CI/CD — Automatiser les tests, les builds, les déploiements. Le cœur de l’intégration continue.
• Sécurité — Durcir, analyser, détecter. Intégrer la sécurité à chaque étape.
• Observabilité — Comprendre ce qui se passe en production : logs, métriques, alertes.

Chaque section peut être lue indépendamment, mais des liens internes connectent les sujets liés.

Parcours selon votre profil

Parcours débutant

Objectif : acquérir le vocabulaire et les concepts de base pour ne plus être perdu dans une conversation DevOps.

1. Qu’est-ce que DevOps ?
2. Qu’est-ce que le DevSecOps ?
3. Menace, risque, vulnérabilité, attaque

Critère de réussite : vous pouvez expliquer la différence entre DevOps et DevSecOps à un collègue, et vous savez pourquoi la sécurité doit être intégrée tôt.

Parcours développeur → DevOps

Objectif : comprendre ce qui se passe entre votre code et la production.

1. Les pipelines CI/CD — vous connaissez déjà le code, partez de là
2. La conteneurisation — comprendre les environnements d’exécution
3. L’Infrastructure as Code — automatiser ce qui était manuel

Critère de réussite : vous pouvez configurer un pipeline qui teste, build et déploie votre application sans intervention manuelle.

Parcours Ops → DevSecOps

Objectif : intégrer la sécurité dans vos pratiques d’exploitation.

1. Les principes de sécurité — comprendre le “pourquoi” avant le “comment”
2. L’analyse de code et de dépendances — détecter les vulnérabilités automatiquement
3. Le durcissement — appliquer les référentiels (CIS, ANSSI)

Critère de réussite : vous savez identifier les points de contrôle sécurité dans votre pipeline et vous avez mis en place au moins un scan automatisé.

Parcours “Je veux sécuriser mon CI/CD”

Objectif : réduire les risques liés à votre chaîne de livraison logicielle.

Explorez la section sécurité en vous concentrant sur : gestion des secrets, analyse des dépendances, signature des artefacts, politiques d’admission. Les guides sont liés entre eux pour former un parcours cohérent.

Critère de réussite : votre pipeline détecte les secrets committés par erreur et bloque les dépendances avec des CVE critiques.

Conventions utilisées

Blocs de code

Les commandes sont présentées avec le langage indiqué. Les commentaires expliquent le contexte :

# Vérifier que le service est actif avant de continuer
systemctl is-active --quiet nginx && echo "OK" || echo "Service arrêté"

Encadrés

Attention

Ne jamais stocker de secrets (mots de passe, clés API) dans le code source. Même “temporairement”. Les hooks pre-commit existent pour ça.

Les encadrés signalent : informations complémentaires (note), bonnes pratiques (tip), risques courants (caution), erreurs critiques (danger).

Liens internes

Les liens vers d’autres pages utilisent des chemins absolus /docs/.... Ils permettent de naviguer entre sujets connexes sans perdre le fil.

Comment contribuer

Vous avez repéré une erreur, une information obsolète ou vous souhaitez proposer une amélioration ? Rejoignez le Discord pour échanger et contribuer.

À retenir

• Commencez par comprendre avant d’outiller — les concepts d’abord, les outils ensuite
• La documentation est modulaire — chaque guide peut être lu indépendamment
• Adaptez votre lecture à votre profil — les points d’entrée diffèrent selon votre expérience
• La sécurité est intégrée, pas ajoutée — c’est un fil conducteur, pas une section optionnelle
• Utilisez le glossaire — le vocabulaire DevSecOps est riche, le glossaire clarifie les termes

Liens utiles

• Glossaire — Définitions des termes techniques
• Qu’est-ce que DevOps ? — Point de départ conceptuel
• Qu’est-ce que le DevSecOps ? — Intégrer la sécurité dans la boucle
• Vue d’ensemble de la sécurité — Entrée vers les guides de sécurisation