Zeroday Cyber Academy
Bootcamp · 8 semaines · 4 RDV individuels mentor

Syllabus du Bootcamp DevSecOps

Huit semaines intensives pour intégrer la sécurité dans vos pipelines, sans quitter votre poste. Threat modeling, SAST/DAST, supply chain, IaC, secrets management, runtime security. Lab CI/CD dédié, 4 RDV individuels avec un mentor, projet final audité. Objectif : être opérationnel dès la 4ᵉ semaine sur les outils de votre stack.

Candidater au bootcamp

Sélection sur dossier

Public visé & prérequis

Public visé

  • Développeurs avec 2 ans et plus d'expérience qui veulent monter en sécurité applicative.
  • DevOps et Site Reliability Engineers qui veulent durcir leurs pipelines CI/CD.
  • Ingénieurs cloud qui veulent intégrer la sécurité dans leurs déploiements.
  • Tech leads qui doivent piloter la sécurité de leur équipe produit.

Prérequis

  • Au moins 1 an d'expérience en développement, DevOps ou administration système.
  • Bases solides en HTTP, API REST, ligne de commande Linux ou PowerShell.
  • Familiarité avec Docker et au moins un outil de CI (GitHub Actions, GitLab CI, Jenkins).
  • Disponibilité de 5 à 6 heures par semaine pendant 8 semaines, compatible avec un poste à temps plein.

Modalités & objectif global

Format & durée

  • Programme intensif sur 8 semaines, 4 modules de 2 semaines.
  • Capsules vidéo techniques + lab CI/CD dédié accessible 24/7.
  • 4 RDV individuels avec un mentor (un par module) pour valider votre trajectoire et débloquer vos points de friction.
  • Slack actif pour les questions techniques entre les RDV.
  • Projet final audité par le mentor : chaîne CI/CD complète sécurisée end-to-end.
  • Replays et supports disponibles pendant 12 mois.

Objectif global

  • Devenir opérationnel sur les outils DevSecOps de votre stack dès la 4ᵉ semaine.
  • Maîtriser threat modeling, SAST/DAST, supply chain, IaC scanning, secrets management, runtime security.
  • Construire un projet final présentable en entretien et exploitable en mission.
  • Décrocher une montée en compétences reconnue par votre employeur ou être armé pour candidater sur des postes DevSecOps / AppSec.
Semaines 1-2 · Module 01

Threat modeling et SAST/DAST

STRIDE appliqué à vos propres applications, intégration d'outils statiques et dynamiques dans la CI.

Objectifs pédagogiques

  • Comprendre les vecteurs d'attaque qui visent les applications web et API modernes.
  • Maîtriser la méthode STRIDE et l'appliquer à un système réel.
  • Intégrer SAST et DAST dans une CI existante (GitHub Actions, GitLab CI, Jenkins).
  • Prioriser les findings et trier le bruit des vrais signaux.

Contenus & outils

  • Threat modeling STRIDE : décomposition d'un système, identification des trust boundaries, listing des menaces.
  • SAST : Semgrep (règles custom), SonarQube, intégration en CI, configuration des seuils de blocage.
  • DAST : OWASP ZAP en mode CLI, Burp Suite, scans authentifiés, gestion des sessions.
  • Lecture de rapports SAST/DAST : priorisation par exploitabilité, déduplication, gestion des faux positifs.
  • Mise en place d'un gate de sécurité dans la pipeline : quand bloquer un merge, quand signaler en avertissement.

Modalités pédagogiques

  • Capsules vidéo techniques + démonstration live des outils.
  • Lab CI/CD dédié : pipeline préconfigurée à enrichir avec SAST et DAST.
  • Premier RDV individuel avec le mentor : audit de la posture initiale, validation de la trajectoire personnelle.
  • Slack actif pour les questions techniques entre les RDV.

Évaluations & livrables

  • Mise en place SAST + DAST sur la chaîne de référence du lab.
  • Mini-rapport de threat modeling sur une application fournie (ou la vôtre si autorisé).
Semaines 3-4 · Module 02

Sécurité des dépendances et supply chain

SCA, signatures d'artefacts, attaques type SolarWinds décortiquées, hardening des registries.

Objectifs pédagogiques

  • Identifier et corriger les vulnérabilités introduites par les dépendances tierces.
  • Maîtriser la signature et la vérification d'artefacts (Sigstore, Cosign).
  • Comprendre les attaques modernes de supply chain et savoir s'en prémunir.
  • Durcir un registry d'images et un repository de paquets.

Contenus & outils

  • SCA : Snyk, Dependabot, Renovate, configuration des seuils de criticité.
  • Signatures d'artefacts : Sigstore, Cosign, Rekor, génération et vérification automatisée en CI.
  • Étude de cas : SolarWinds, ua-parser-js, event-stream — décomposition des vecteurs d'attaque.
  • Hardening des registries d'images : scan d'image à l'upload, signature obligatoire, contrôle d'accès.
  • Génération de SBOM (CycloneDX, SPDX) et exploitation pour l'audit de conformité.

Modalités pédagogiques

  • Capsules vidéo + documentation des outils.
  • Lab supply chain : pipeline qui signe ses artefacts et bloque tout déploiement non vérifié.
  • Deuxième RDV individuel avec le mentor : revue de votre chaîne supply chain réelle (avec votre accord).

Évaluations & livrables

  • Configuration SCA complète sur une application fournie : seuils, exceptions documentées, plan de remédiation.
  • Mise en place Cosign sur le pipeline de build avec vérification au déploiement.

Quatre semaines pour mettre en place SAST, DAST et sécuriser votre supply chain. Tu veux faire partie de la prochaine promotion ?

Candidater au bootcamp
Semaines 5-6 · Module 03

Infrastructure-as-Code et secrets management

Scan Terraform / Kubernetes / CloudFormation, HashiCorp Vault, gestion des secrets sans fuites.

Objectifs pédagogiques

  • Scanner systématiquement les définitions IaC avant déploiement.
  • Maîtriser un secret manager (HashiCorp Vault ou équivalent) en environnement réel.
  • Éliminer toute fuite de secret dans le code, l'historique Git et les logs CI.
  • Mettre en place une rotation automatique des secrets critiques.

Contenus & outils

  • Scan IaC : Checkov, tfsec, Trivy IaC, intégration en CI Terraform / Kubernetes / CloudFormation.
  • HashiCorp Vault : architecture, modes d'authentification (AppRole, Kubernetes auth), policies, audit logs.
  • Alternatives : AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, Doppler, 1Password Connect.
  • Détection de secrets : Gitleaks, TruffleHog, pre-commit hooks, scan d'historique.
  • Gestion des secrets en CI/CD : injection sécurisée, masquage des logs, rotation post-incident.

Modalités pédagogiques

  • Capsules vidéo + labs guidés sur Vault + Terraform.
  • Lab IaC dédié : infrastructure Terraform à durcir avec Checkov en pre-commit et tfsec en CI.
  • Troisième RDV individuel avec le mentor : revue centrée sur votre infra réelle et votre stratégie secrets.

Évaluations & livrables

  • Audit d'une infrastructure IaC fournie : identification des findings critiques, priorisation, remédiation.
  • Configuration d'un workflow secret de bout en bout (création, injection CI, rotation, révocation).
Semaines 7-8 · Module 04

Runtime security et observabilité

Container security (Falco, Sysdig), eBPF, monitoring de comportement anormal en production, projet final audité.

Objectifs pédagogiques

  • Surveiller le comportement runtime de containers en production.
  • Détecter et alerter sur des anomalies (exec dans un container, accès fichier inattendu, connexion sortante suspecte).
  • Comprendre les bases de eBPF pour la sécurité runtime.
  • Livrer un projet final qui sécurise une chaîne CI/CD complète, audité par le mentor.

Contenus & outils

  • Falco : règles standard, écriture de règles custom, intégration avec un SIEM ou un canal Slack.
  • Sysdig : runtime monitoring, profilage, intégration en cluster Kubernetes.
  • Bases eBPF : architecture, programmes simples, écosystème (Cilium, Tetragon, Tracee).
  • Hardening Kubernetes runtime : Pod Security Standards, NetworkPolicies, admission controllers (Kyverno, OPA Gatekeeper).
  • Projet final : sécurisation end-to-end d'une chaîne CI/CD (threat model + SAST + DAST + SCA + Cosign + IaC scan + secrets + runtime monitoring).

Modalités pédagogiques

  • Capsules vidéo + démos runtime sur cluster sandbox.
  • Lab Kubernetes durci pour la pratique runtime sécurisé.
  • Quatrième RDV individuel avec le mentor : audit du projet final, retours, plan de remédiation.

Évaluations & livrables

  • Projet final audité : chaîne CI/CD complète sécurisée, présentable en entretien.
  • Rapport final consolidé + plan de remédiation et amélioration continue.

IaC, secrets, runtime security et eBPF : la deuxième moitié du bootcamp couvre l'infrastructure et la production. La sélection se fait sur dossier.

Candidater au bootcamp

Évaluation & suivi

Validation par contrôle continu : chaque module est jalonné de livrables techniques et d'un RDV mentor. Pas d'examen unique en fin de programme. L'objectif est de bâtir un projet final auditable, présentable en entretien et reproductible dans votre contexte professionnel réel.

Évaluations continues

  • Livrables techniques à chaque module : configurations CI, rapports d'audit, infrastructure durcie, signatures vérifiées.
  • 4 RDV individuels mentor (un par module) avec retours personnalisés.
  • Slack pour les questions techniques entre les RDV.

Livrables & validation

  • Projet final audité : chaîne CI/CD complète sécurisée end-to-end (threat model + SAST + DAST + SCA + Cosign + IaC scan + secrets + runtime monitoring).
  • Rapport final consolidé + plan de remédiation et amélioration continue.
  • Validation finale basée sur le contrôle continu et l'audit du projet final.
Sélection sur dossier

Prêt·e à intégrer la prochaine cohorte ?

La candidature prend quelques minutes : on étudie ton profil tech et tes objectifs DevSecOps. Si tu corresponds, on planifie un échange court pour valider la suite.

Candidater au bootcamp