Un DevSecOps (Development Security Operations) est un ingénieur cybersécurité qui intègre la sécurité dans les pipelines de développement et de déploiement logiciel. Il automatise les contrôles sécurité dans la CI/CD — SAST, DAST, SCA, IaC security, container security, secrets scanning — et gère les faux positifs à l'échelle pour ne pas bloquer les équipes dev. Le métier s'inscrit à l'intersection Dev, Ops et Sécurité et ne se confond ni avec l'AppSec (sécurité applicative hands-on) ni avec le Security Engineer (construction d'outils sécurité internes). Demande en forte croissance 2026 : +30-40 % d'offres YoY selon Apec 2024, portée par NIS 2 (transposition oct. 2024) et le Cyber Resilience Act (applicable 2027). Salaires juniors 48-65 k€ bruts IDF, progression +5 ans à 80-100 k€, senior lead 90-125 k€. Cet article détaille la définition précise, les activités quotidiennes sur une semaine type, la distinction avec AppSec et Security Engineer, la stack d'outils, les compétences clés, les certifications et le profil qui réussit réellement dans le métier.
1. Définition précise : qu'est-ce qu'un DevSecOps ?
Le DevSecOps est né de la fusion de trois cultures : Dev (équipes qui construisent le produit), Ops (équipes qui opèrent l'infrastructure), Sec (équipes qui protègent l'organisation). Historiquement ces trois mondes étaient en conflit : les devs voulaient livrer vite, les ops voulaient la stabilité, la sécu voulait bloquer. Le DevSecOps est la fonction qui réconcilie ces objectifs en automatisant la sécurité dans la livraison continue.
Trois dimensions définissent précisément le métier
-
Intégration pipeline CI/CD : le DevSecOps configure, maintient et fait évoluer les pipelines GitHub Actions, GitLab CI, Jenkins ou Azure DevOps qui intègrent les scans de sécurité. Chaque commit déclenche SAST + SCA + secrets scan ; chaque merge sur main déclenche en plus DAST + container scan. Les seuils bloquants sont tunés pour ne bloquer que les vulnérabilités critiques, sans casser la productivité dev.
-
Automation à l'échelle : contrairement à l'AppSec qui audite une application à la fois, le DevSecOps conçoit des politiques transverses qui s'appliquent à 50, 200 ou 1000 repositories simultanément. Il écrit des règles Semgrep personnalisées réutilisées par toute l'organisation, des politiques OPA/Kyverno appliquées sur tous les clusters Kubernetes, des baselines Checkov qui valident tout Terraform.
-
Culture et pédagogie interne : le DevSecOps forme les équipes dev aux enjeux sécurité, documente les patterns sécurisés, anime des meetups internes. Une partie significative du métier est politique : convaincre sans imposer.
2. Les activités quotidiennes d'un DevSecOps
Semaine type d'un DevSecOps junior dans une scale-up tech (équipe 5-10 personnes, 50-100 repositories gérés).
| Jour | Activité dominante | Livrables intermédiaires |
|---|---|---|
| Lundi matin | Daily sécurité + revue alertes SAST/SCA du week-end | Triage findings, tickets prioritaires créés |
| Lundi après-midi | Ajout d'un scan DAST OWASP ZAP à un nouveau service | PR pipeline + démo à l'équipe dev |
| Mardi | Tuning règles Semgrep personnalisées (gestion faux positifs) | 5 règles ajustées, documentation mise à jour |
| Mercredi matin | Réunion avec une équipe dev pour faire accepter des gates bloquants | Alignement + plan de migration 4 semaines |
| Mercredi après-midi | Audit d'un Terraform avec Checkov + PR de remédiation | PR corrective + docs RFC interne |
| Jeudi | Investigation sur une dépendance compromise (supply chain) | Rapport d'impact + plan de patch |
| Vendredi matin | Démo interne sur un nouvel outil (ex. Wiz, Orca) | Présentation 30 min, support écrit |
| Vendredi après-midi | Veille CVE + mise à jour runbook incident | CVE tracker + runbook v2 |
Ce rythme alterne construction (pipelines, règles custom), opération (tri d'alertes, patching), pédagogie (démos, documentation) et investigation (incidents, supply chain). Un DevSecOps purement technique sans volet pédagogique est rare en 2026 — la plupart des équipes attendent ce mix transverse.
3. DevSecOps vs AppSec vs Security Engineer : distinctions
La confusion entre ces trois rôles est fréquente. Tableau comparatif opérationnel.
| Dimension | DevSecOps | AppSec | Security Engineer |
|---|---|---|---|
| Focus temporel | Build et CI/CD | Application en production et en review | Construction d'outils sécurité internes |
| Cible primaire | Pipelines et automation | Applications et code produit | Infrastructure, detection, internal tools |
| Activité dominante | Outillage sécurité scalable | Audit, revue de code, exploitation | Ingénierie sécurité, détection, response automation |
| Interaction dominante | Équipes dev via PR et docs | Équipes produit via audits | Équipes sécu via internal tools |
| Hands-on code | 30-40 % du temps | 40-50 % (code review, tests) | 60-80 % (dev d'outils) |
| Profil type d'entrée | Dev backend ou DevOps 2+ ans | Dev backend 3+ ans | Dev senior 5+ ans (staff level) |
| Salaire junior IDF | 48-65 k€ | 50-70 k€ | 60-90 k€ (rarement junior pur) |
Recouvrements réels : dans une scale-up de 50-100 personnes, une seule personne peut cumuler DevSecOps + AppSec + Security Engineer. Dans un grand groupe, ces trois rôles sont bien distincts avec équipes dédiées. Le CV doit s'adapter au contexte ciblé.
4. La stack d'outils DevSecOps
Cinq catégories structurent l'outillage DevSecOps en 2026. Maîtriser un outil par catégorie minimum pour un junior, l'équivalent de 2-3 par catégorie pour un senior.
SAST - Static Application Security Testing
- Semgrep : référence open source en 2026, rules écrites en YAML, facile à personnaliser.
- SonarQube : standard entreprise, également qualité de code.
- CodeQL : GitHub Advanced Security, langages multiples, requêtes avancées.
- Bandit : spécifique Python.
- Brakeman : spécifique Ruby on Rails.
SCA - Software Composition Analysis
- Trivy : référence open source, couvre filesystem, images, config.
- Snyk : standard entreprise SaaS, IDE plugins.
- Dependabot : intégré GitHub, PR automatiques.
- Renovate : équivalent open source de Dependabot.
- OWASP Dependency-Check : gratuit, intégrable Maven ou Gradle.
DAST - Dynamic Application Security Testing
- OWASP ZAP : référence open source, mode baseline CI-compatible.
- Burp Suite Enterprise : standard payant, scans planifiés et reporting.
IaC Security
- Checkov : référence open source pour Terraform, CloudFormation, Kubernetes, ARM.
- tfsec : Terraform spécifique.
- Trivy Config : polyvalent.
- Kube-linter : Kubernetes manifests et Helm charts.
Container et Kubernetes Security
- Trivy : scan d'images.
- Falco : détection runtime Kubernetes via eBPF.
- OPA/Gatekeeper : politiques d'admission Kubernetes.
- Kyverno : alternative OPA plus accessible.
- Tetragon : detection runtime eBPF moderne.
Secrets Scanning
- gitleaks : scan de l'historique Git.
- TruffleHog : scan avec vérification de validité en temps réel.
Pour approfondir la distinction SAST vs DAST spécifiquement, voir SAST vs DAST : comparatif et choix.
5. Compétences techniques et non techniques
Compétences techniques fondamentales
- Git avancé : branches, rebase, cherry-pick, résolution de conflit à la main.
- Docker et Kubernetes : Dockerfile multi-stage, pods, deployments, services, admission controllers.
- Terraform : providers, modules, state, workspaces.
- CI/CD : GitHub Actions, GitLab CI, Jenkins — un minimum en maîtrise, les autres en lecture.
- Python intermédiaire : scripts d'automation, parsing JSON, interactions API.
- OWASP Top 10 compris en profondeur, avec exploitation pratique.
- Cloud : AWS, Azure ou GCP — au moins un en maîtrise opérationnelle.
Compétences non techniques
- Pédagogie et vulgarisation : expliquer une vulnérabilité à un dev qui ne la voit pas, sans condescendance.
- Gestion des faux positifs : savoir supprimer un finding qui n'est pas pertinent pour ne pas noyer le signal.
- Diplomatie inter-équipes : faire accepter un gate bloquant sans générer de conflit.
- Priorisation CVSS : savoir pourquoi bloquer sur
CVE-2021-44228 Log4Shellet pas sur unMEDIUMgénérique SCA. - Rédaction documentaire : RFC internes, runbooks d'incident, documentation pipeline.
6. Certifications et salaires
| Certification | Éditeur | Coût | Prérequis | Pertinence FR 2026 |
|---|---|---|---|---|
| CompTIA Security+ SY0-701 | CompTIA | ≈ 400 € | Aucun | Très forte (passage marché) |
| AWS Certified Security Specialty | AWS | ≈ 300 $ | AWS SAA recommandé | Forte (AWS dominant) |
| Microsoft AZ-500 (Azure Security) | Microsoft | ≈ 165 $ | Aucun formel | Forte (Azure en croissance) |
| CKS (Certified Kubernetes Security) | CNCF | ≈ 395 $ | CKA préalable | Forte si K8s |
| Practical DevSecOps | Practical DevSecOps | ≈ 500 € | Aucun | Moyenne-forte |
| GIAC GCSA (Cloud Security Automation) | SANS | ≈ 949 $ | Aucun formel | Forte à moyen terme |
| CCSP (Certified Cloud Security Professional) | (ISC)² | ≈ 599 $ | 5 ans expérience | Forte pour seniors |
Ordre recommandé pour un junior : CompTIA Security+ → AWS Security Specialty OU AZ-500 OU CKS selon stack → spécialisations ensuite. Pas de certification unique de référence type OSCP dans le paysage DevSecOps.
Trajectoire salariale
| Niveau | Expérience | Salaire brut annuel (province) | Salaire brut annuel (IDF) |
|---|---|---|---|
| DevSecOps junior | 0-2 ans cyber | 42-55 k€ | 48-65 k€ |
| DevSecOps confirmé | 2-4 ans | 55-70 k€ | 62-80 k€ |
| DevSecOps senior | 4-7 ans | 65-85 k€ | 75-100 k€ |
| Lead DevSecOps / Platform Security | 7+ ans | 80-105 k€ | 90-125 k€ |
| Consulting indépendant TJM | 4+ ans | 600-1 000 € | 700-1 200 € |
Fourchettes Apec Cadres Cybersécurité 2023-2024, Numeum, LinkedIn Salary France. Les profils avec expérience cloud prononcée (AWS + Azure) tirent systématiquement la fourchette haute à tous les niveaux (+3 à 8 k€).
Pour la trajectoire complète (4 profils d'entrée, market reality, competencies cumulatives), voir le pillar Peut-on devenir DevSecOps sans expérience cyber ?. Pour le plan opérationnel 12 mois étape par étape, voir Les étapes pour devenir DevSecOps : plan complet.
7. Pour qui le métier de DevSecOps convient-il ?
Le DevSecOps attire massivement les profils dev et DevOps qui veulent basculer cyber. Il ne convient réellement qu'à un profil précis.
Traits qui fonctionnent en DevSecOps
- Maintien du plaisir de coder sur la durée (scripts, règles, automation) sans stagner sur la production pure.
- Tolérance forte à l'interaction transverse : coordination avec 10-30 équipes dev par trimestre.
- Appétit pour la pédagogie : expliquer, documenter, former.
- Rigueur sur les faux positifs : ni tout accepter ni tout bloquer, trouver le curseur.
- Veille technique active : les outils évoluent vite (nouveaux SAST, nouveaux runtime K8s).
Traits qui signalent un mauvais match
- Rejet de la coordination transverse et préférence pour le travail en solo.
- Besoin de résultats visibles à court terme (la valeur DevSecOps se mesure sur 12-24 mois, pas sur 2 semaines).
- Mauvaise tolérance aux ambiguïtés contextuelles (un finding peut être vrai dans un contexte et faux dans un autre).
- Rejet de la politique interne (faire accepter un gate bloquant relève du politique).
Bifurcations naturelles à 3-5 ans
- Security Engineer : plus de code, moins de coordination, construction d'outils internes.
- AppSec senior : focus sur applications critiques, moins d'outillage pipelines.
- Cloud Security Engineer : bascule vers les environnements cloud purs.
- Platform Security : au croisement platform engineering et cyber.
- Management DevSecOps : manager d'une équipe de 3-8 DevSecOps.
Pour les trajectoires senior au-delà, voir notamment Les étapes pour devenir Cloud Security Analyst et Les étapes pour devenir RSSI.
Points clés à retenir
- DevSecOps = intégration sécurité dans pipelines CI/CD à l'intersection Dev, Ops, Sec. Automation à l'échelle, pas audit ponctuel.
- Répartition du temps : environ 40 % tooling + 30 % coordination + 30 % code. La pédagogie interne est une dimension centrale, pas optionnelle.
- Distinction AppSec : AppSec = audit applications ; DevSecOps = automatisation de la sécurité à l'échelle.
- Stack d'outils : SAST (Semgrep), SCA (Trivy), DAST (ZAP), IaC (Checkov), secrets (gitleaks), container (Falco), CI/CD (GitHub Actions, GitLab CI).
- Certifications : CompTIA Security+ + cert cloud (AWS Security Specialty, AZ-500) + CKS pour K8s. Pas de cert unique type OSCP.
- Salaires juniors 48-65 k€ IDF. Progression senior 80-100 k€. Lead 90-125 k€. TJM freelance 700-1 200 €.
- Forte demande 2026 : +30-40 % offres YoY selon Apec, portée par NIS 2 et Cyber Resilience Act.
Pour l'ensemble des métiers cyber avec salaires et accessibilité par profil, voir Les métiers de la cybersécurité : guide complet. Pour comparer avec pentester et consultant, voir Qu'est-ce qu'un pentester ? Fiche métier complète et Qu'est-ce qu'un consultant cybersécurité ? Fiche métier. Pour le cadrage marché et l'accès depuis dev ou DevOps, voir Peut-on devenir DevSecOps sans expérience cyber ?. Pour le plan de bascule 12 mois, voir Les étapes pour devenir DevSecOps : plan complet. Le bootcamp DevSecOps de Zeroday applique directement cette méthode avec pipeline signature complet, préparation CompTIA Security+ et certification cloud intégrée.
