Dernière mise à jour le 22/11/2024

Management du DevSecOps

Informations générales

Type de formation : Formation continue
Domaine : Cybersécurité - sécurité informatique
Filière : Pilotage de la sécurité organisationnelle
Rubrique : Certifications ISO
Formation éligible au CPF : Non
Formation Action collective : Non

Objectifs & compétences

Cette formation présente les concepts du management en DevSecOps. L’objectif pour l’apprenant est d’acquérir une méthode ESD, des outils afin de pouvoir créer un cycle de développement sécurisé.

Public visé

manager en sécurité de l'information.

Pré-requis

connaissances généralistes en sécurité de l'information, gestion des risques, conformité SSI.

Programme

Programme détaillé
 
Jour 1 matin  
 
Section 1
 
Les enjeux du DevSecOps pour les organisations
Qu’est-ce que le DevOps ?
Pourquoi séparer le Dev et les Ops ?
DevOps versus modèle classique Le DevOps pour qui ?
Philosophie de l’agile Et le DevSecOps ?
 
Section 2
 
Problèmes de compréhension du DevSecOps par les managers de la SSI Château fort et défense en profondeur
DevSecOps, quel modèle de sécurité?
Intégrer le DevSecOps dans un SMSI  
 
Section 3
 
Problèmes de compréhension du DevSecOps par les techniciens de la SSI
Sécurité de l’information est une contrainte
Donner un sens à la SSI
 
Jour 1 après-midi  
 
Section 4
 
Intégrer le DevSecOps dans la gouvernance d’une organisation
Les principales missions d’un manager en sécurité de l’information
Mission 1 – l’approche par les risques
Mission 2 – la conformité avec le socle normatif
Mission 3 – la mise en condition de sécurité (MCS)
 
Section 5
 
Quel modèle, référentiel choisir pour le DevSecOps Microsoft SDL OWASP SAMM BSIMM OWASP ASVS
 
Jour 2 matin  
 
Section 6
 
Phase 1, préparer un SDLC adapté  
Activité 1.1 – budgétiser un SDLC
Activité 1.2 – Identifier un équipe pour le SDLC
 
Section 7
 
Phase 2, former l’équipe au DevSecOps
Activité 2.1 – créer une formation “tous les profils”
Activité 2.2 – créer une formation “technique”
 
Jour 2 après-midi  
 
Section 8
 
Phase 3, analyser les risques Fonctionnement d’une analyse de risque
Activité 3.1 – obtenir les besoins de sécurité et les scénarios graves STRIDE et DIC(T) Spoofing, tampering, repudiation, information disclosure, denial of service, elevation of privilege Adapter les méthodes d’analyses de risques classiques au DevSecOps avec le Bugs bar
Activité 3.2 – modéliser les menaces Qu’est-ce que la modélisation des menaces (Threat modeling) Créer un diagramme Identifier les menaces Utilisation de Microsoft Threat modeling tools Obtenir la vraisemblance des risques avec la modélisation des menaces Construire la matrice des risques via les objectifs de sécurité et la vraisemblance des menaces
Activité 3.3 – calcul des risques
Activité 3.4 – choisir une option de traitement
Activité 3.5 – créer un plan de traitement des risques Ne pas oublier les données à caractère personnel
 
Jour 3 matin  
 
Section 9
 
Phase 4, mise en conformité & intégration d’outils Aller plus loin avec l’implémentation d’un référentiel de conformité adapté au DevSecOps
Activité 4.1 – Identifier les référentiels, normes, lois
Activité 4.2 – appliquer l’analyse des écarts L’OWASP AVSV
Activité 4.3 – intégration d’un SAST Activité 4.4 – intégration d’un DAST
 
Jour 3 après-midi  
 
Section 10
 
Phase 5, auditer et améliorer la sécurité
Activité 5.1 – planifier un test d’intrusion
Activité 5.2 – adapter le système de suivi des bugs du SDLC à STRIDE
Activité 5.3 – préparer un tableau de bord
Activité 5.4 – préparer un plan de réponse à incident
Activité 5.5 – aller plus loin avec un modèle de maturité  Activité 5.6 – veille SSI
 

Modalités

Jusqu'a 8 jours avant le début de la formation, sous condition d'un dossier d'insciption complet

Méthodes

Fin de formation : entretien individuel.
Satisfaction des participants : questionnaire de satisfaction réalisé en fin de formation.
Assiduité : certificat de réalisation.
Validations des acquis : grille d'evalution  des acquis établie par le formateur en fin de formation.
Code de formation : MDSOPS

Tarifs

Prix public : 2889
Tarif & financement :
Nous vous accompagnons pour trouver la meilleure solution de financement parmi les suivantes :
Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
Le dispositif FNE-Formation.
L’OPCO (opérateurs de compétences) de votre entreprise.
France Travail: sous réserve de l’acceptation de votre dossier par votre conseiller Pôle Emploi.
CPF -MonCompteFormation
Contactez nous pour plus d’information : contact@aston-institut.com

Lieux & Horaires

Durée : 21 heures
Délai d'accès :
Jusqu’à 8 jours avant le début de la formation

Prochaines sessions

Handi-accueillante Accessible aux personnes en situations de handicap. Pour toutes demandes, contactez notre référente, Mme Rizlene Zumaglini Mail : rzumaglini@aston-ecole.com

à voir aussi dans le même domaine...

Formation continue

Pilotage de la sécurité organisationnelle

MG208

Lead Implementer – certification ISO 27001

Connaître et savoir interpréter les exigences de la norme ISO/CEI 27001 Savoir planifier et mettre en place un SMSI : direction, pilotage, contrôles, gestion du risque, etc. Acquérir les compétences nécessaires pour conseiller des structures dans la mise en place et la gestion d’un SMSI Préparer et passer la certification Lead Implementer ISO 27001 dans des conditions de succès

35 heures de formations sur 5 Jours
En savoir plus

Formation continue

Pilotage de la sécurité organisationnelle

MG209

Risk Manager – certification ISO 27005

Connaître les exigences de la norme ISO 27005 sur la gestion des risques sur la sécurité de l’information Être capable de gérer une appréciation des risques dans le cadre d’un SMSI Savoir établir un processus de gestion des risques conforme à la norme ISO 27005 Préparer et passer la certification Risk Manager ISO 27005 dans de bonnes conditions de succès

21 heures de formations sur 3 Jours
En savoir plus

Formation continue

Pilotage de la sécurité organisationnelle

MG214

Risk Manager – Méthode EBIOS

Comprendre les concepts et les principes de la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) Cartographier les risques Maîtriser les éléments de gestion des risques de base pour la sécurité de l'information en utilisant la méthode EBIOS Analyser et communiquer les résultats d’une étude EBIOS

14 heures de formations sur 2 Jours
En savoir plus

Formation continue

Pilotage de la sécurité organisationnelle

MG215

Lead Auditor – certification ISO 27001

Comprendre le rôle d’un auditeur et acquérir les compétences nécessaires à l’exercice de ce métier Savoir interpréter les exigences d’ISO/CEI 27001 dans le contexte d’un audit du SMSI. Connaître les différentes normes ISO et leur cadre règlementaire Appréhender le fonctionnement d’un SMSI Savoir préparer et diriger un audit ou une équipe d’audit (audit interne, de certification, à blanc) Préparer et passer la certification Lead Auditor ISO 27001 dans de bonnes conditions de succès

35 heures de formations sur 5 Jours
En savoir plus

Formation continue

Pilotage de la sécurité organisationnelle

MG216

Gestion des risques avec ISO/IEC 27005 & EBIOS

Le programme de cette formation est axé essentiellement sur la norme ISO 27005 pour aborder les bases de la gestion des risques. Ultérieurement les méthodes EBIOS 2010 et EBIOS Risk Manager sont étudiées en détails pour une mise en pratique à la suite de la formation.

35 heures de formations sur 5 Jours
En savoir plus