Concepts DevSecOps
Maîtrisez les concepts fondamentaux de la sécurité intégrée au cycle DevOps.
SAST - Static Application Security Testing
Analyse statique du code source pour détecter les vulnérabilités sans exécuter l'application. Le SAST est intégré dès la phase de développement.
Quand ?
Pendant le développement et dans le CI
Détecte
SQL Injection, XSS, Buffer Overflow, Secrets exposés
Outils
SonarQube, Checkmarx, Snyk Code, Semgrep
DAST - Dynamic Application Security Testing
Analyse dynamique de l'application en cours d'exécution. Le DAST simule des attaques réelles pour identifier les vulnérabilités exploitables.
Quand ?
En staging, pré-production
Détecte
Failles de configuration, Auth issues, CORS, Headers
Outils
OWASP ZAP, Burp Suite, Acunetix, Nuclei
SCA - Software Composition Analysis
Analyse des dépendances tierces (open source) pour identifier les vulnérabilités connues (CVE) et les problèmes de licence.
Quand ?
Build time et monitoring continu
Détecte
CVE dans les dépendances, licences incompatibles
Outils
Snyk, Dependabot, OWASP Dependency-Check
Container Security
Sécurisation des images de conteneurs : scan des vulnérabilités, vérification des configurations, signature et validation des images.
Quand ?
Build, Registry, Runtime
Détecte
Vulnérabilités OS/packages, misconfigurations, secrets
Outils
Trivy, Grype, Snyk Container, Aqua Security
Secrets Management
Gestion sécurisée des secrets (API keys, mots de passe, certificats). Ne jamais les stocker dans le code ou les fichiers de configuration.
Principes
Rotation automatique, least privilege, audit
Détection
GitLeaks, TruffleHog, detect-secrets
Outils
HashiCorp Vault, AWS Secrets Manager, Azure Key Vault
Infrastructure as Code Security
Scan des templates IaC (Terraform, CloudFormation, Kubernetes) pour détecter les misconfigurations avant le déploiement.
Quand ?
Pre-commit, CI/CD, PR review
Détecte
Ports ouverts, permissions excessives, encryption manquante
Outils
Checkov, tfsec, Terrascan, KICS
Threat Modeling
Identification proactive des menaces potentielles dès la phase de conception. Anticiper les risques avant d'écrire du code.
Méthodologies
STRIDE, PASTA, DREAD
Processus
Diagrammes, identification menaces, mitigation
Outils
Microsoft Threat Modeling Tool, OWASP Threat Dragon
IAST - Interactive Application Security Testing
Analyse sécurité en temps réel pendant l'exécution des tests. Combine le meilleur du SAST et DAST en instrumentant l'application pour voir tant les données qu'elles traversent le code.
Quand ?
Testing et QA
Détecte
Runtime vulnerabilities, data flow issues
Avantage clé
Moins de faux positifs que SAST
Secrets Management
Gestion centralisée et sécurisée des secrets (clés API, tokens, mots de passe). Rotation automatique, audit trails, et contrôle d'accès granulaire.
Bonnes pratiques
Jamais en dur, rotation régulière, RBAC, audit logging
Menaces
Secrets exposés dans git, fichiers config, logs
Outils
HashiCorp Vault, AWS Secrets Manager, Azure Key Vault
SBOM - Software Bill of Materials
Inventaire complet de tous les composants, dépendances et leurs versions utilisés dans une application. Essentiel pour la supply chain security et la conformité.
Format
CycloneDX, SPDX
Utilisations
Audit vulnérabilités, conformité, ransomware tracking
Outils
Syft, CycloneDX, SPDX generators
IaC Security - Configuration Security
Scanning et validation des fichiers Infrastructure as Code (Terraform, CloudFormation, Kubernetes) pour détecter les misconfigurations sécurité avant déploiement.
Problèmes courants
S3 publics, SG trop permissifs, encryption désactivée
Quand ?
Pre-commit, CI pipeline
Outils
Checkov, Terraform Validate, OPA/Rego
Supply Chain Security
Sécurisation de l'ensemble de la chaîne d'approvisionnement logicielle : dépendances open source, artifacts build, images container, signataire et vérification.
Risques
Dépendances compromises, artifacts tamponnés, attaques typosquatting
Protections
Code signing, artifact verification, SLSA framework
Outils
Sigstore, in-toto, Snyk, Dependabot
Compliance & Regulatory Compliance
Automatisation des contrôles de conformité face aux régulations (GDPR, HIPAA, PCI-DSS, SOC2). Logging, audit trails, data residency, retention policies.
Régulations clés
GDPR (UE), HIPAA (santé), PCI-DSS (cartes)
Automation
CSPM, Policy as Code, continuous monitoring
Outils
CloudGuard, Prisma Cloud, Rapid7 InsightCloudSec
Runtime Security & Behavioral Analysis
Monitoring et détection des menaces en temps d'exécution. Analyse du comportement pour détecter les anomalies et les attaques zéro-day que les signatures ne peuvent pas catching.
Détecte
Exploits zéro-day, insider threats, lateral movement
Techniques
Syscall monitoring, process analysis, ML-based detection
Outils
Falco, Sysdig, CrowdStrike, Datadog Security
Security Awareness & Developer Training
Formation continue des développeurs sur les pratiques sécurité et les TOP OWASP. SAST/DAST hands-on, secure coding patterns, incident response.
Topics
OWASP Top 10, secure coding, API security, secrets management
Formats
Workshops, labs pratiques, simulations, certifications
Impact
Réduit 60-80% des vulnérabilités détectables au code review
API Security
Sécurisation des APIs : authentification robuste, authorization, rate limiting, input validation, logging/monitoring. Les APIs sont des vecteurs d'attaque majeurs.
Risques API
Authentication bypass, Injection, excessive data exposure, CORS misconfiguration
Défenses
OAuth2/OIDC, API gateway, WAF, API monitoring
Standards
OWASP API Top 10, OpenAPI contracts
Incident Response & Forensics
Plan et processus pour répondre aux incidents sécurité. Containment, investigation, remediation, et lessons learned. Forensics pour comprendre comment l'attaque s'est produite.
Phases
Preparation, Detection, Containment, Investigation, Recovery
Key players
Soc team, incident commander, developers, ops
Tools
SOAR platforms, log analysis, threat intel feeds
KPIs & Metrics DevSecOps
Mesures orientées pipeline pour piloter la sécurité sans freiner la vélocité. Seuils et gates à chaque étape pour déclencher des actions (fix, rollback, approbation).
Exemples
MTTD/MTTR, vulnérabilités par build, couverture des scans
Pratiques
KPIs pilotés par application/pipeline, seuils configurables
Alignement
Objectifs partagés GRC, résultats mesurables
KPIs & Metrics DevSecOps
Des métriques actionnables pilotées par le pipeline et le produit permettent de mesurer la performance et d’instaurer des security gates à chaque étape (Code → Build → Test → Deploy → Monitor).
Exemples
MTTD/MTTR, taux de vulnérabilités, couverture des scans, % corrections
Gates
Seuils de sévérité, qualité minimale, politiques as code
Backlog
Comblage des « gaps » d’intégration et sorties du pipeline
DevSecOps Pipeline
Code
- Pre-commit hooks
- IDE plugins
- Secrets scanning
Build
- SAST
- SCA
- Container scan
Test
- DAST
- IAST
- Fuzzing
Deploy
- IaC security
- Config validation
- Signing
Monitor
- SIEM
- CSPM
- Runtime protection
🔄 CALMS Framework
CALMS est le cadre fondamental pour implémenter DevSecOps avec succès. Chaque pilier renforce la capacité de délivrer la sécurité à grande échelle.
Culture
La responsabilité de la sécurité est partagée par tous les rôles. Créer une mentalité où chacun contribue à la sécurité.
- Tout le monde est responsable de la sécurité
- Communication et collaboration entre équipes
- Feedback constructif et apprentissage continu
Automation
Automatiser les tests, scans et contrôles de sécurité dans le pipeline CI/CD.
- Tests de sécurité automatisés (SAST, DAST, SCA)
- Policies as Code
- Monitoring et alertes en continu
Lean
Éliminer les gaspillages, accélérer la livraison sécurisée et maximiser la valeur.
- Éliminer les faux positifs et bruit d'alerte
- Processus streamlinés et efficaces
- Feedback rapide sur les problèmes
Measurement
Mesurer et monitorer les métriques de sécurité pour évaluer l'efficacité et l'impact.
- MTTD (Mean Time To Detect)
- MTTR (Mean Time To Remediate)
- Couverture des scans, taux de corrections
Sharing
Partager la connaissance et les menaces à travers l'organisation.
- Threat intelligence partagée
- Retours d'expérience et lessons learned
- Best practices communautaires
⚡ The Three Ways of DevSecOps
Les Three Ways appliquent les principes de flux, feedback et expérimentation au contexte de la sécurité intégrée.
Way 1: Flow
Maximiser le flux d'informations de sécurité à travers tout le SDLC.
- Intégration sécurité dès le départ
- Feedback rapide aux développeurs
- Éliminer les goulets d'étranglement
- Visibility sur l'état de sécurité
Way 2: Feedback
Créer et amplifier le feedback rapide sur les problèmes de sécurité et leur résolution.
- Monitoring et observabilité en continu
- Feedback boucles courtes (CI/CD)
- Alerte sur anomalies détectées
- Déploiement et correction rapides
Way 3: Experimentation
Apprendre et améliorer continuellement les pratiques de sécurité par l'expérimentation.
- Culture d'apprentissage et innovation
- Tester nouvelles techniques de sécurité
- Accepter les "failures" comme apprentissage
- Iterative improvement
🎯 CIA Triad & DIE Model
Deux modèles fondamentaux qui définissent ce que nous protégeons et comment nous le protégeons.
CIA Triad - What do we protect?
Confidentiality
Seuls les utilisateurs autorisés peuvent accéder aux données. Protéger contre la divulgation non autorisée.
Integrity
Les données ne peuvent être modifiées que par les personnes autorisées. Garantir l'authenticité et l'exactitude.
Availability
Les données et services doivent être accessibles quand ils sont nécessaires. Protéger contre les interruptions.
DIE Model - How do we protect?
Distributed
Sécurité décentralisée, distribuée à chaque point. Pas de périmètre unique. Zéro Trust.
Immutable
Infrastructure immuable et infrastructure-as-code. Facilite la détection d'anomalies et la conformité.
Ephemeral
Ressources de courte durée de vie, régénérées fréquemment. Réduit la surface d'attaque, simplifie la gestion.