Sécurité Applicative DevSecOps
Fiche Formation

Sécurité Applicative DevSecOps

Nous formons vos collaborateurs dans vos locaux selon votre rythme.

Tarifs de la formation

1750 €

par participant

Dates de la formation

09-10 mars 2026
08-09 juin 2026
02-03 novembre 2026

Durée de la formation

2 jours

Lieux de la formation

France, Suisse, Belgique, Luxembourg (intra-entreprise)
Paris (inter-entreprise)
A distance via Teams

Aménagement de la formation pour les personnes en situation de handicap

Aménagement de la formation pour les personnes en situation de handicap : cochez la case "Aménagement Handicap" du formulaire "Contactez-nous !"

OBJECTIFS

  • Identifier les vulnérabilités OWASP Top 10 et les risques spécifiques à .NET (injection SQL, XSS, authentification).
  • Implémenter des contrôles de sécurité dans le code : validation des entrées, encoding, gestion d'authentification RBAC.
  • Intégrer SAST (SonarQube, Checkmarx) et DAST dans les pipelines Azure DevOps.
  • Automatiser la détection de secrets et de dépendances vulnérables en CI/CD.
  • Configurer les security gates et appliquer une Policy as Code dans la pipeline.

PUBLIC

Développeurs C#/.NET, Tech Leads, Architectes logiciel, Responsables sécurité.

PRÉ-REQUIS

  • Maîtrise de C# et de l'écosystème .NET (ASP.NET, Entity Framework).
  • Notions de base en CI/CD et Azure DevOps pipelines.

MODALITÉS PÉDAGOGIQUES

  • Alternance de concepts théoriques (40%) et de travaux pratiques (60%), individuellement ou en sous-groupes.
  • La pédagogie active est privilégiée : mise en situation sous forme d'ateliers et cas pratiques, exercices, analyses collectives
  • Apports du formateur au regard de son expérience opérationnelle.
  • Support de formation fourni à chaque participant sous format numérique.
  • Questionnaire de satisfaction (Respect des objectifs, Contenu et déroulement de la formation, Formateur, Rythme d’apprentissage, Satisfaction globale)

MODALITÉS D'EVALUATION

  • Quizz préalable sur les pré-requis .NET et CI/CD.
  • Evaluation au cours de la formation : questions par le formateur, ateliers et travaux pratiques, études de cas.
  • En fin de formation, Quizz ou QCM afin d'apprécier la marge de progression.

AGENDA

Jour 1 – Fondamentaux et Contrôles de Sécurité


Fondamentaux de la Sécurité Applicative

Principes de sécurité et défense en profondeur
OWASP Top 10 : vulnérabilités critiques et impact
Vulnérabilités spécifiques à .NET (injection SQL, XSS, CSRF, authentification)
Shift Left : sécurité dès le développement
Démo : audit de sécurité initial d'une application

Contrôles de Sécurité dans le Code C#

Validation des entrées et sanitization
Encoding et échappement de données
Gestion sécurisée de l'authentification et RBAC
Protection contre l'injection SQL avec Entity Framework
Gestion sécurisée des secrets et credentials
Atelier : implémenter des contrôles de sécurité dans une application ASP.NET
Atelier : corriger les vulnérabilités OWASP Top 10

Chiffrement et Gestion des Secrets

Chiffrement des données au repos et en transit
Azure Key Vault pour la gestion des secrets
Bonnes pratiques de configuration sécurisée
Rotation des secrets et audit
Atelier : intégrer Azure Key Vault dans une application

Analyse de Code avec SAST

SonarQube : installation et configuration
Checkmarx et autres outils SAST
Règles de sécurité et qualité du code
Analyse des rapports et remédiation
Intégration dans la pipeline de développement
Atelier : configurer SonarQube et analyser du code
Atelier : interpréter les résultats SAST et corriger les issues

Jour 2 – DevSecOps et Automatisation


Intégration SAST et DAST dans Azure DevOps

Configuration de pipelines Azure DevOps sécurisées
Intégration de SonarQube dans les builds
Dynamic Application Security Testing (DAST)
OWASP ZAP pour les tests de sécurité dynamiques
Rapports de sécurité et dashboards
Atelier : implémenter SAST dans une pipeline Azure DevOps
Atelier : ajouter des tests DAST automatisés

Détection de Secrets et Dépendances Vulnérables

Détection automatique de secrets en CI/CD
Gestion des dépendances vulnérables (NuGet, npm)
GitHub Advanced Security et Microsoft Defender for Cloud
Audit et conformité des dépendances
Remédiation et gestion des CVE
Atelier : mettre en place la détection de secrets
Atelier : gérer les dépendances vulnérables

Security Gates et Policy as Code

Définition des security gates dans la pipeline
Politiques de blocage des déploiements non sécurisés
Azure Policies pour la conformité
Automating security compliance checks
Approche progressiste du renforcement
Atelier : configurer des security gates efficaces

Tests de Sécurité et Pentesting

Approches des tests de sécurité
Tests manuels et automatisés
Pentesting éthique et coordonné
Rapports de vulnérabilités et gestion des incidents
Remédiation et suivi
Atelier : réaliser des tests de sécurité sur une application

Cas Pratique et Culture DevSecOps

Mise en situation : sécuriser une application .NET complète du code à la production en passant par la détection et la remédiation
Implication des équipes dans la sécurité
Métriques et KPIs de sécurité
Retours d'expérience et bonnes pratiques
Atelier : audit de sécurité complet d'une application existante
Atelier : implémenter une stratégie DevSecOps progressive

Conclusion et Roadmap Sécurité

Récapitulatif des apprentissages clés
Mise en place d'une stratégie DevSecOps durable
Outils et ressources pour poursuivre
Questions/réponses finales
QCM de fin de formation