# 🛡️ Guide Pratique du DevSecOps par Barry Thien (maj 26/06/25) > 📚 Synthèse claire, pédagogique et détaillée sur les concepts fondamentaux, la culture, les outils et les bonnes pratiques DevSecOps. --- ## 💡 Pourquoi DevSecOps ? ### 🧠 Concepts-clés - **DevOps** : Collaboration Dev + Ops pour des livraisons rapides et fiables. - **DevSecOps** : Intégration de la sécurité dès le début du développement logiciel. - **Shift Left** : Déplacer les activités de sécurité en amont (conception, code). - **Security as Code** : Automatisation des contrôles sécurité dans le code. - **Continuous Security** : Intégration continue des tests de sécurité dans le CI/CD. ### 🚀 Pourquoi c’est crucial ? - 💰 Correction précoce = 10–100x moins chère. - 📦 Livraison rapide sans sacrifier la sécurité. - 🛡️ Posture de sécurité renforcée. - ⚖️ Conformité facilitée (ex : RGPD, NIS2). - 📉 Moins de fuites de données. ### 🔁 Trois axes DevSecOps 1. **Security by Design** 2. **Responsabilité partagée** 3. **Automatisation sécurité** ### 🔑 Principes fondamentaux - 🤝 Collaboration Dev / Sec / Ops - 🤖 Automatisation des tests - 📡 Monitoring & alerting continus - 🎓 Sensibilisation constante - 🔁 Amélioration itérative --- ## 👥 Culture & Management ### Modèles culturels - **Westrum** : Pathologique ❌ / Bureaucratique ⚠️ / Générative ✅ - **LaLoux** : 🔴 Rouge (Impulsive) : Basée sur le pouvoir et la peur. 🟠 Ambre (Conformiste) : Hiérarchique et procédurale. 🔶 Orange (Axée résultats) : Orientée innovation et performance. 💚 Verte (Centrée valeurs) : Pluraliste, orientée consensus. 💧 Opale (Évolutive) : Auto-organisée, avec une raison d'être évolutive. ### 🔄 Règles clés - ✅ Responsabilité partagée & récompensée - ✅ Feedback loop continue - ❌ Pas de culture du blâme ### 💥 Résilience organisationnelle > "Les incidents arriveront. Soyons prêts." - Simulations d’incidents (Game Days) - Détection + réponse efficaces - RETEX post-incident --- ## 🎯 Considérations Stratégiques ### Concepts essentiels - **Surface d’attaque**, **appétit au risque**, **défense en profondeur**, **sécurité adaptative** ### 🔍 Modélisation des menaces - `STRIDE`, `DREAD`, `PASTA`, Arbres d’attaque ### 📏 Indicateurs utiles - MTTR, vulnérabilités critiques, adoption SAST/DAST, taux de tests CI --- ## 🔐 IAM – Gestion des identités ### Fondamentaux - MFA obligatoire - Moindre privilège (RBAC/ABAC) - Provisionnement/déprovisionnement automatique - Revue régulière des accès ### Intégration dans DevSecOps - Intégrer l’IAM dans le pipeline - Surveillance des anomalies d’accès --- ## 💻 Sécurité Applicative (AST & OWASP) ### Types de tests - **SAST** : Analyse statique (code) - **DAST** : Analyse dynamique (runtime) - **IAST** : Interactif (dans l’app) - **SCA** : Dépendances tierces - **RASP** : Protection runtime embarquée ### Outils pratiques - `SonarQube`, `Semgrep`, `OWASP ZAP`, `Trivy`, `Snyk`, `Dependency-Check` - `Juice Shop` pour la pratique vulnérabilités ### 📦 Intégration CI/CD - Scans à chaque commit, merge ou déploiement - Feedback immédiat au développeur --- ## ⚙️ Sécurité Opérationnelle ### Bonnes pratiques - Durcissement OS et conteneurs - Patching régulier - Monitoring & alerting (logs, métriques, traces) - Sauvegardes testées - Contrôle d’accès strict (RBAC, IAM) ### 📋 Pipeline sécurisé 1. Commit → Scans secrets / lint 2. Build → SAST / SCA / Docker scan 3. Test → DAST / IAST / Intégration 4. Deploy → Scan configuration / analyse de conteneur 5. Run → Monitoring, alertes, RASP --- ## 📋 GRC – Gouvernance, Risque, Conformité ### Concepts - Gouvernance = alignement stratégique - Risque = menaces x impact - Conformité = RGPD, NIS2, LPM, ISO 27001 ### 🔍 Politique as Code - Règles exprimées en YAML/OPA/etc. - CI/CD = vérification automatique - Auditabilité native via Git ### ❌ Mythes à éviter 1. Pas de séparation des rôles → Faux : contrôles automatiques 2. L’automatisation est risquée → Faux : cohérence renforcée 3. Auditeurs = ennemis → Faux : partenaires amélioration --- ## 📊 Journalisation & réponse aux incidents - Centralisation + corrélation des logs (SIEM) - SOC : surveillance 24/7 - Forensics : analyse post-attaque - Playbooks : détection → confinement → réponse → apprentissage --- ## 🇪🇺 Cadres & recommandations - **RGPD** : Privacy by Design / minimisation / AIPD - **ANSSI** : CI/CD sécurisé, gestion des secrets, durcissement - **NIS2 / LPM** : OIV / OSE → supervision renforcée - **SecNumCloud** : certification cloud français sécurisé --- ## 🎓 Pour les étudiants ### 💡 Compétences clés - Sécurité OWASP Top 10 - Pipeline CI/CD sécurisé - Analyse AST + conteneurs - Scripting Python/Bash - Sécurité Cloud (IAM, bucket, VM) ### 🧰 Outils à tester - `SonarLint`, `Semgrep`, `GitGuardian`, `Trivy`, `Snyk` - `Juice Shop`, `TryHackMe`, `Hack The Box` - `GitHub Actions`, `GitLab CI`, `Docker`, `Kubernetes` ### ✅ Premiers pas concrets 1. Sécuriser un projet perso (SAST, SCA, secrets) 2. Créer un pipeline avec tests sécurité 3. Participer à un CTF / lab vulnérable 4. Contribuer open-source sur un fix sécurité --- > 🧭 *Le DevSecOps n’est pas une fin en soi, mais un chemin continu vers la sécurité, la qualité et la collaboration.*