Module – Sécurité DevSecOps

Fiche pédagogique

• Objectifs SMART : intégrer SAST/DAST/SCA, générer une SBOM CycloneDX et automatiser un contrôle CIS dans le pipeline en moins de 3 semaines.
• Durée : 9 h (4 h théorie, 5 h labs)
• Prérequis : Git, CI/CD, conteneurs.
• Niveau : Intermédiaire → Avancé.

Sommaire

1. Principes DevSecOps & gouvernance
2. Chaîne de confiance & SBOM
3. Sécurité applicative (SAST/DAST/SCA)
4. Policy as Code & conformité
5. Cas réel : audit SecNumCloud
6. Labs, quiz, checklist
7. Ressources et synthèse

1. Principes DevSecOps & gouvernance

Shift-left, rôles Security Champions, RACI, KPIs sécurité (temps remédiation, vulnérabilités critiques).

• Frameworks : OWASP SAMM, NIST 800-53, guides ANSSI.
• Process : blameless postmortem sécurité, threat modeling STRIDE, backlog vulnérabilités.

2. Chaîne de confiance & SBOM

• Supply chain : SCM → CI → registry → déploiement (référence SLSA).
• SBOM CycloneDX avec Syft, CycloneDX tool center.
• Signature & attestations : Cosign, Sigstore, provenance.

syft packages . -o cyclonedx-json > sbom.json
cosign sign --key cosign.key $IMAGE
cosign attest --predicate sbom.json --type cyclonedx $IMAGE

3. Sécurité applicative

1. SAST : Semgrep, SonarQube
2. SCA / vulnérabilités : Trivy, Grype
3. Secrets scanning : Gitleaks
4. DAST : OWASP ZAP, StackHawk
5. Infra as Code : Checkov, tfsec

stages:
  - lint
  - sast
  - build
  - dast
security-sast:
  stage: sast
  image: returntocorp/semgrep
  script:
    - semgrep --config auto --error --json > semgrep.json
  artifacts:
    when: always
    paths: [semgrep.json]

4. Policy as Code & conformité

• OPA/Conftest : Conftest pour valider Terraform/Helm.
• Kyverno/PSA : Kyverno + Pod Security Admission.
• Contrôles CIS/Kubernetes Bench (kube-bench).

5. Cas réel : audit SecNumCloud

Fournisseur SaaS bancaire : SBOM obligatoire, journaux WORM, séparation rôles, pipeline renforcé (Cosign, OPA). Résultat : audit accéléré, label ANSSI.

6. Labs, quiz, checklist

Lab	Objectif	Livrable
SBOM & signature	Générer SBOM + Cosign	sbom.json + log cosign
Pipeline sécurité	Intégrer Semgrep/Trivy/Gitleaks	Pipeline YAML + captures
Policies	OPA pour Terraform/Helm	Repo + tests conftest

Quiz : SLSA vs SBOM, différence SAST/DAST, rôle Security Champion, exemple de règle Kyverno.
Checklist revue pair : rapports archivés, seuils de blocage, plan remédiation, runbook incident.

7. Ressources & synthèse

• OWASP SAMM, CISA KEV, ANSSI
• Outils : Cosign, Kyverno, OPA, Trivy.
• Veille : Chainguard Blog, CNCF Security TAG, newsletter TL;DR Sec.
• Certifications : CCSK, CKS.

À retenir : stockez les preuves (rapports, attestations), automatisez la conformité, animez un réseau de champions. Ce module rejoint les suivants (IaC, Observabilité).