Comment enseigner le DevSecOps
Pipeline CI/CD sécurisé, shift-left en équipe projet
Pourquoi enseigner ce domaine
Le DevSecOps est la réponse au défi de la vélocité : comment livrer vite sans compromettre la sécurité. Former les étudiants à intégrer la sécurité dans le pipeline de développement, c'est former les profils les plus recherchés du marché : ceux qui parlent à la fois dev et sécurité.
Prérequis étudiants
- ✓Développement logiciel (au moins un langage)
- ✓Git et contrôle de version
- ✓Notions de CI/CD (GitHub Actions ou GitLab CI)
- ✓Docker (bases)
Progression pédagogique recommandée
Culture DevSecOps
Comprendre le shift-left, la responsabilité partagée et le changement culturel
SAST et code review sécurité
Intégrer l'analyse statique (Semgrep, SonarQube) dans le pipeline
SCA et gestion des dépendances
Analyser les dépendances avec npm audit, Snyk, Trivy
DAST et tests dynamiques
Intégrer ZAP/Nuclei dans le pipeline pour tester l'application déployée
Container security et secrets management
Scanner les images Docker, gérer les secrets, sécuriser Kubernetes
Erreurs courantes des formateurs
Présenter le DevSecOps comme « ajouter des outils au pipeline » sans aborder le changement culturel
Utiliser des exemples déconnectés du projet des étudiants : intégrez la sécurité dans LEUR projet
Noyer les développeurs sous les alertes sans trier les vrais risques : la priorisation est clé
TP et exercices concrets
Pipeline sécurisé from scratch
Ajouter 4 étapes de sécurité à un pipeline CI/CD existant (SAST, SCA, DAST, container scan)
Fix the vulnerabilities
Corriger les 10 vulnérabilités remontées par le pipeline dans le code d'un projet
Outils et environnement de lab
Comment évaluer les étudiants
Projet : les étudiants prennent un projet logiciel existant, mettent en place un pipeline DevSecOps complet et corrigent les vulnérabilités trouvées. Évaluation sur la couverture des contrôles, la pertinence des gates et la qualité des corrections.
Questions fréquentes
Comment structurer un cours de devsecops ?
Un cours de devsecops se structure en 5 blocs progressifs : Culture DevSecOps, SAST et code review sécurité, SCA et gestion des dépendances, DAST et tests dynamiques, Container security et secrets management. Chaque bloc doit combiner théorie et pratique avec des exercices concrets.
Quels outils utiliser pour enseigner le devsecops ?
Les outils recommandés incluent : GitHub Actions / GitLab CI, Semgrep, Snyk / npm audit / pip-audit, OWASP ZAP, Trivy, HashiCorp Vault. Privilégiez les outils open source accessibles aux étudiants.
Quelles erreurs éviter en enseignant le devsecops ?
Présenter le DevSecOps comme « ajouter des outils au pipeline » sans aborder le changement culturel