Zeroday Cyber Academy
Self-service · 5 axes · Accès à vie

Syllabus du Cours DevSecOps self-service

Cinq axes synthétiques pour couvrir le minimum vital DevSecOps : SAST/DAST, dépendances et SCA, secrets management, container security, threat modeling. 15 à 25 heures de contenu condensé, lab inclus, quiz par axe, certificat de complétion automatique. Pas de mentor, pas de cohorte : juste le contenu pour avancer seul.

Accéder au cours DevSecOps

Accès immédiat, démarrage en 2 minutes

Public visé & prérequis

Public visé

  • Profils techniques expérimentés qui savent ce qu'ils cherchent et veulent juste le contenu.
  • Développeurs ou DevOps qui veulent valider rapidement que le DevSecOps leur parle, avant d'investir dans un format plus engageant.
  • Autodidactes confirmés qui savent avancer sans cadre.
  • Alumni Zeroday qui veulent compléter sur le périmètre DevSecOps de base.

Prérequis

  • Au moins 1 an d'expérience en développement, DevOps ou administration système.
  • Bases solides en HTTP, API REST, ligne de commande Linux ou PowerShell.
  • Familiarité avec Docker et au moins un outil de CI (GitHub Actions, GitLab CI, Jenkins).
  • Capacité à apprendre en autonomie complète : pas de mentor, pas de support, pas de cohorte.

Modalités & objectif global

Format & durée

  • 5 axes synthétiques, 15 à 25 heures de contenu vidéo.
  • Lab inclus pour la pratique de chaque axe.
  • Quiz de validation par axe.
  • Certificat de complétion automatique après les quiz.
  • Pas de support par message, pas de RDV mentor, pas de communauté.
  • Accès à vie + mises à jour du contenu.

Objectif global

  • Acquérir les fondamentaux DevSecOps suffisants pour appliquer dès lundi.
  • Valider l'intérêt pour le DevSecOps avant d'investir dans un format encadré.
  • Construire un socle technique pour un poste de security champion en équipe produit.
  • Format pensé pour les profils techniques autonomes qui n'ont besoin que du contenu.
Axe 01

SAST et DAST appliqués

Intégration concrète dans une CI/CD, choix des outils, lecture des rapports, priorisation des findings.

Objectifs pédagogiques

  • Comprendre la différence entre analyse statique (SAST) et dynamique (DAST) et savoir quand utiliser laquelle.
  • Intégrer un outil SAST et un outil DAST dans une pipeline CI/CD existante.
  • Lire un rapport de scan, identifier les vrais signaux, écarter les faux positifs.
  • Mettre en place un gate de sécurité raisonnable, qui bloque le critique sans bloquer le quotidien.

Contenus & outils

  • SAST : Semgrep (règles standard et custom), SonarQube, intégration en GitHub Actions / GitLab CI.
  • DAST : OWASP ZAP en mode CLI, scans authentifiés, gestion des sessions et des CSRF.
  • Lecture de rapports : priorisation par exploitabilité, déduplication, gestion des faux positifs.
  • Mise en place d'un gate CI : quand bloquer un merge, quand signaler en avertissement.

Modalités pédagogiques

  • Capsules vidéo techniques + démonstration des outils.
  • Lab inclus : pipeline préconfigurée à enrichir avec SAST et DAST.
  • Quiz de validation à la fin de l'axe.

Évaluations & livrables

  • Quiz technique sur SAST/DAST, lecture de rapports, gates CI.
  • Mise en place SAST + DAST sur le pipeline du lab.
Axe 02

Gestion des dépendances et SCA

Repérage des vulnérabilités CVE, hardening des dépendances, signatures d'artefacts (Sigstore, Cosign), bases de la supply chain.

Objectifs pédagogiques

  • Identifier les vulnérabilités CVE dans vos dépendances tierces.
  • Mettre en place une stratégie de mise à jour automatisée (Renovate, Dependabot).
  • Comprendre les bases de la signature d'artefacts (Sigstore, Cosign).
  • Repérer un comportement suspect de supply chain (typosquatting, dependency confusion).

Contenus & outils

  • SCA : Snyk, Dependabot, Renovate, configuration des seuils de criticité.
  • Signatures d'artefacts : Sigstore, Cosign, génération et vérification automatisée en CI.
  • Étude de cas : SolarWinds, ua-parser-js, event-stream — décomposition des vecteurs d'attaque.
  • Bonnes pratiques : pinning de versions, lockfiles, audit régulier, processus de mise à jour.

Modalités pédagogiques

  • Capsules vidéo + documentation des outils.
  • Lab inclus : application avec dépendances à auditer et durcir.
  • Quiz de validation à la fin de l'axe.

Évaluations & livrables

  • Quiz sur SCA, signatures, supply chain.
  • Audit d'une application fournie : identification des CVE critiques + plan de remédiation.

SAST, DAST et SCA maîtrisés : les deux premiers axes couvrent l'essentiel de l'AppSec moderne.

Accéder au cours DevSecOps
Axe 03

Secrets management dans le pipeline

Pratiques concrètes pour ne plus jamais commit un secret. Variables d'env, secret managers, scanners.

Objectifs pédagogiques

  • Comprendre les vecteurs de fuite de secrets dans une CI/CD.
  • Mettre en place un secret manager (Vault ou alternative cloud) dans un projet réel.
  • Détecter les secrets déjà fuités dans l'historique Git.
  • Concevoir un workflow de rotation de secret post-incident.

Contenus & outils

  • Variables d'environnement : bonnes pratiques d'injection, masquage des logs CI.
  • Secret managers : HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, Doppler.
  • Détection de secrets : Gitleaks, TruffleHog, pre-commit hooks, scan d'historique.
  • Gestion de l'incident : rotation, révocation, audit post-mortem.

Modalités pédagogiques

  • Capsules vidéo + labs guidés sur Vault et Gitleaks.
  • Lab inclus : workflow CI avec injection de secrets sécurisée.
  • Quiz de validation à la fin de l'axe.

Évaluations & livrables

  • Quiz sur les secret managers et la gestion d'incident.
  • Mise en place d'un scan Gitleaks en pre-commit sur le lab.
Axe 04

Container security : les bases

Les 5 erreurs critiques à ne pas commettre en Docker et Kubernetes. Rootless, distroless, scan d'image, runtime hardening.

Objectifs pédagogiques

  • Identifier les 5 erreurs de configuration les plus fréquentes en Docker et Kubernetes.
  • Construire des images Docker minimales et durcies (distroless, rootless).
  • Scanner systématiquement une image avant déploiement.
  • Comprendre les bases du runtime hardening Kubernetes.

Contenus & outils

  • Bonnes pratiques Dockerfile : multi-stage build, distroless, rootless, USER non-root.
  • Scan d'image : Trivy, Grype, intégration en CI au build.
  • Hardening Kubernetes : Pod Security Standards, NetworkPolicies, RBAC minimal.
  • Anti-patterns courants : container privileged, hostPath, secrets en clair.

Modalités pédagogiques

  • Capsules vidéo + démonstration des outils.
  • Lab inclus : Dockerfile à auditer + manifest Kubernetes à durcir.
  • Quiz de validation à la fin de l'axe.

Évaluations & livrables

  • Quiz sur les anti-patterns Docker et Kubernetes.
  • Refactor d'un Dockerfile et d'un manifest Kubernetes fournis selon les bonnes pratiques.
Axe 05

Threat modeling appliqué

Méthodes simples (STRIDE, abuse cases) à utiliser en revue de design. Quand le faire, comment le faire, comment le rendre actionnable.

Objectifs pédagogiques

  • Comprendre quand un threat modeling est utile dans un cycle produit.
  • Maîtriser la méthode STRIDE sur un système réel.
  • Documenter les abuse cases et les contremesures associées.
  • Présenter un livrable de threat model exploitable par une équipe produit.

Contenus & outils

  • STRIDE : décomposition d'un système, identification des trust boundaries, listing des menaces.
  • Abuse cases : formulation, priorisation par risque, mapping aux contremesures.
  • Outils : Microsoft Threat Modeling Tool, OWASP Threat Dragon, alternatives en Markdown.
  • Pratique : intégrer le threat modeling dans une revue de design produit récurrente.

Modalités pédagogiques

  • Capsules vidéo + études de cas commentées.
  • Lab inclus : système à threat-modeler en autonomie + correction commentée.
  • Quiz de validation à la fin de l'axe.

Évaluations & livrables

  • Quiz sur STRIDE et la pratique du threat modeling.
  • Threat model complet sur un système fourni, livrable au format markdown ou diagramme.

Secrets, containers, threat modeling : 5 axes pour couvrir le minimum vital DevSecOps. Accès immédiat dès inscription.

Accéder au cours DevSecOps

Évaluation & suivi

Validation par quiz à la fin de chaque axe + livrable pratique sur le lab. Pas de RDV mentor, pas de support individualisé : le format self-service repose sur votre capacité à valider vos propres progrès via les quiz et les exercices guidés.

Évaluations continues

  • Quiz de validation à la fin de chaque axe.
  • Exercices pratiques avec lab inclus.
  • Aucun support humain : auto-correction via les quiz et la documentation.

Validation finale

  • Certificat de complétion automatique après validation des 5 quiz.
  • Aucun projet final audité (voir le Bootcamp DevSecOps si vous cherchez ce niveau).
  • Validation finale basée sur les quiz et la complétion des labs.
Accès immédiat

Prêt·e à démarrer maintenant ?

Inscription et accès immédiat. Le contenu est disponible dès la validation. Vous avancez à votre rythme, sans contrainte de cohorte ni de calendrier.

Accéder au cours DevSecOps