Zeroday Cyber Academy
Format autonomie · 4 modules · Accès à vie

Syllabus du Bootcamp DevSecOps Autonomie

Mêmes contenus que la version live encadrée : 4 modules de 2 semaines équivalentes, capsules vidéo, labs Docker, projets à rendre. Vous gérez votre calendrier, on garde la rigueur du programme. Assistance par message pour débloquer les points critiques. Pas de cohorte, pas de RDV individuels imposés.

Accéder au bootcamp autonomie

Accès immédiat après inscription

Public visé & prérequis

Public visé

  • Profils techniques autonomes ou freelances qui veulent le contenu professionnel sans la contrainte d'une cohorte.
  • Développeurs ou DevOps qui savent apprendre seuls et qui préfèrent un programme structuré à un Slack live.
  • Alumni d'une formation Zeroday qui veulent compléter sur le périmètre DevSecOps.
  • Profils qui veulent boucler le bootcamp à leur rythme : 5 semaines en intensif, 12 semaines à 4 h hebdo, c'est vous qui décidez.

Prérequis

  • Au moins 1 an d'expérience en développement, DevOps ou administration système.
  • Bases solides en HTTP, API REST, ligne de commande Linux ou PowerShell.
  • Familiarité avec Docker et au moins un outil de CI (GitHub Actions, GitLab CI, Jenkins).
  • Capacité à apprendre en autonomie et à débloquer la majorité des problèmes seul (l'assistance est là pour les points critiques, pas pour du tutorat continu).

Modalités & objectif global

Format & durée

  • 4 modules de 2 semaines équivalentes, à votre rythme.
  • Capsules vidéo + labs Docker accessibles 24/7.
  • Pas de cohorte, pas de cours live, pas de RDV individuels imposés.
  • Assistance par message pour débloquer les points critiques (réponse sous quelques jours ouvrés).
  • Projet final à rendre avec retour technique.
  • Accès à vie + mises à jour du contenu.

Objectif global

  • Acquérir les mêmes compétences que la version live encadrée, sans la dimension cohorte.
  • Maîtriser threat modeling, SAST/DAST, supply chain, IaC scanning, secrets management, runtime security.
  • Construire un projet final présentable en entretien et exploitable en mission.
  • Format pensé pour les profils autonomes qui veulent garder le contrôle de leur calendrier.
Module 01 · Bloc 1 (équivalent semaines 1-2)

Threat modeling et SAST/DAST

STRIDE appliqué à vos propres applications, intégration d'outils statiques et dynamiques dans la CI.

Objectifs pédagogiques

  • Comprendre les vecteurs d'attaque qui visent les applications web et API modernes.
  • Maîtriser la méthode STRIDE et l'appliquer à un système réel.
  • Intégrer SAST et DAST dans une CI existante (GitHub Actions, GitLab CI, Jenkins).
  • Prioriser les findings et trier le bruit des vrais signaux.

Contenus & outils

  • Threat modeling STRIDE : décomposition d'un système, identification des trust boundaries, listing des menaces.
  • SAST : Semgrep (règles custom), SonarQube, intégration en CI, configuration des seuils de blocage.
  • DAST : OWASP ZAP en mode CLI, Burp Suite, scans authentifiés, gestion des sessions.
  • Lecture de rapports SAST/DAST : priorisation par exploitabilité, déduplication, gestion des faux positifs.
  • Mise en place d'un gate de sécurité dans la pipeline : quand bloquer un merge, quand signaler en avertissement.

Modalités pédagogiques

  • Capsules vidéo techniques + démonstration des outils.
  • Lab CI/CD dédié : pipeline préconfigurée à enrichir avec SAST et DAST.
  • Assistance par message pour débloquer les points critiques (réponse sous quelques jours ouvrés).
  • Pas de RDV individuel, pas de cohorte : vous avancez à votre rythme.

Évaluations & livrables

  • Mise en place SAST + DAST sur la chaîne de référence du lab.
  • Mini-rapport de threat modeling sur une application fournie (ou la vôtre si vous le souhaitez).
Module 02 · Bloc 2 (équivalent semaines 3-4)

Sécurité des dépendances et supply chain

SCA, signatures d'artefacts, attaques type SolarWinds décortiquées, hardening des registries.

Objectifs pédagogiques

  • Identifier et corriger les vulnérabilités introduites par les dépendances tierces.
  • Maîtriser la signature et la vérification d'artefacts (Sigstore, Cosign).
  • Comprendre les attaques modernes de supply chain et savoir s'en prémunir.
  • Durcir un registry d'images et un repository de paquets.

Contenus & outils

  • SCA : Snyk, Dependabot, Renovate, configuration des seuils de criticité.
  • Signatures d'artefacts : Sigstore, Cosign, Rekor, génération et vérification automatisée en CI.
  • Étude de cas : SolarWinds, ua-parser-js, event-stream — décomposition des vecteurs d'attaque.
  • Hardening des registries d'images : scan d'image à l'upload, signature obligatoire, contrôle d'accès.
  • Génération de SBOM (CycloneDX, SPDX) et exploitation pour l'audit de conformité.

Modalités pédagogiques

  • Capsules vidéo + documentation des outils.
  • Lab supply chain : pipeline qui signe ses artefacts et bloque tout déploiement non vérifié.
  • Assistance par message en cas de blocage.

Évaluations & livrables

  • Configuration SCA complète sur une application fournie : seuils, exceptions documentées, plan de remédiation.
  • Mise en place Cosign sur le pipeline de build avec vérification au déploiement.

Deux blocs pour mettre en place SAST, DAST et sécuriser votre supply chain. Démarrage immédiat dès inscription.

Accéder au bootcamp autonomie
Module 03 · Bloc 3 (équivalent semaines 5-6)

Infrastructure-as-Code et secrets management

Scan Terraform / Kubernetes / CloudFormation, HashiCorp Vault, gestion des secrets sans fuites.

Objectifs pédagogiques

  • Scanner systématiquement les définitions IaC avant déploiement.
  • Maîtriser un secret manager (HashiCorp Vault ou équivalent) en environnement réel.
  • Éliminer toute fuite de secret dans le code, l'historique Git et les logs CI.
  • Mettre en place une rotation automatique des secrets critiques.

Contenus & outils

  • Scan IaC : Checkov, tfsec, Trivy IaC, intégration en CI Terraform / Kubernetes / CloudFormation.
  • HashiCorp Vault : architecture, modes d'authentification (AppRole, Kubernetes auth), policies, audit logs.
  • Alternatives : AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, Doppler, 1Password Connect.
  • Détection de secrets : Gitleaks, TruffleHog, pre-commit hooks, scan d'historique.
  • Gestion des secrets en CI/CD : injection sécurisée, masquage des logs, rotation post-incident.

Modalités pédagogiques

  • Capsules vidéo + labs guidés sur Vault + Terraform.
  • Lab IaC dédié : infrastructure Terraform à durcir avec Checkov en pre-commit et tfsec en CI.
  • Assistance par message pour les points complexes.

Évaluations & livrables

  • Audit d'une infrastructure IaC fournie : identification des findings critiques, priorisation, remédiation.
  • Configuration d'un workflow secret de bout en bout (création, injection CI, rotation, révocation).
Module 04 · Bloc 4 (équivalent semaines 7-8)

Runtime security et observabilité

Container security (Falco, Sysdig), eBPF, monitoring de comportement anormal en production, projet final à rendre.

Objectifs pédagogiques

  • Surveiller le comportement runtime de containers en production.
  • Détecter et alerter sur des anomalies (exec dans un container, accès fichier inattendu, connexion sortante suspecte).
  • Comprendre les bases de eBPF pour la sécurité runtime.
  • Livrer un projet final qui sécurise une chaîne CI/CD complète.

Contenus & outils

  • Falco : règles standard, écriture de règles custom, intégration avec un SIEM ou un canal Slack.
  • Sysdig : runtime monitoring, profilage, intégration en cluster Kubernetes.
  • Bases eBPF : architecture, programmes simples, écosystème (Cilium, Tetragon, Tracee).
  • Hardening Kubernetes runtime : Pod Security Standards, NetworkPolicies, admission controllers (Kyverno, OPA Gatekeeper).
  • Projet final : sécurisation end-to-end d'une chaîne CI/CD (threat model + SAST + DAST + SCA + Cosign + IaC scan + secrets + runtime monitoring).

Modalités pédagogiques

  • Capsules vidéo + démos runtime sur cluster sandbox.
  • Lab Kubernetes durci pour la pratique runtime sécurisé.
  • Retour technique sur votre projet final via le canal d'assistance.

Évaluations & livrables

  • Projet final à rendre : chaîne CI/CD complète sécurisée, présentable en entretien.
  • Rapport final consolidé + plan de remédiation et amélioration continue.

IaC, secrets, runtime security et eBPF : la seconde moitié couvre l'infrastructure et la production. Accès à vie, à votre rythme.

Accéder au bootcamp autonomie

Évaluation & suivi

Validation par livrables à chaque bloc + projet final unique à rendre. Pas de RDV mentor, pas de notation continue individualisée : le format autonomie repose sur votre capacité à valider vos propres progrès, avec l'assistance par message comme filet de sécurité pour les points critiques.

Livrables continus

  • Livrables techniques à chaque bloc : configurations CI, rapports d'audit, infrastructure durcie, signatures vérifiées.
  • Assistance par message pour les blocages techniques.
  • Pas de cohorte, pas de cadence imposée : vous validez à votre rythme.

Projet final & validation

  • Projet final à rendre : chaîne CI/CD complète sécurisée end-to-end (threat model + SAST + DAST + SCA + Cosign + IaC scan + secrets + runtime monitoring).
  • Retour technique du mentor sur le projet final.
  • Validation finale basée sur le rendu du projet final.
Accès immédiat

Prêt·e à démarrer à votre rythme ?

Inscription et accès immédiat. Le contenu est disponible dès la validation. Vous gérez votre calendrier, on garde la rigueur du programme.

Accéder au bootcamp autonomie