Les étapes pour devenir DevSecOps : plan complet

Devenir DevSecOps junior se fait en 12 mois pour un profil dev backend ou DevOps avec 2+ ans d'expérience IT, à raison de 15-20 heures hebdomadaires. Le plan s'étale à 15-18 mois pour un admin système et à 18-24 mois pour une reconversion totale sans DevOps. Contrairement au pentest junior (18 mois minimum, marché en goulot), le marché DevSecOps junior est favorable avec un ratio offres/candidats de l'ordre de 1 pour 2-3 selon Apec 2024 — moins besoin de différenciation extrême. Les 7 étapes structurantes : socle DevOps (M0-M2), fondamentaux cyber (M2-M3), SAST/SCA/IaC security (M3-M5), CompTIA Security+ (M5-M7), pipeline CI/CD sécurisé complet + certification cloud (M7-M9), portfolio consolidé et contribution open source (M9-M10), candidatures ciblées et premier poste (M10-M12). Cet article détaille chaque étape avec livrables vérifiables, outils à maîtriser, points de décision, et fournit un template YAML complet à adapter selon profil initial.

1. Les 7 étapes du plan DevSecOps 12 mois (vue d'ensemble)

Pour le contexte marché DevSecOps (demande en forte croissance, NIS 2, DORA) et la réalité d'entrée, voir le pillar Peut-on devenir DevSecOps sans expérience cyber ?. Cet article présente les étapes opérationnelles une fois la décision de viser DevSecOps confirmée.

Les 12 mois supposent un rythme de 15-20 heures hebdomadaires en parallèle d'un emploi dev ou DevOps. Les profils en bascule interne (rester dans la même entreprise et transitionner du rôle dev ou DevOps vers DevSecOps) compriment à 6-9 mois avec une pression moindre, parce que la valeur transverse est immédiate pour l'équipe sécurité.

2. Étapes 1-2 : Socle DevOps et fondamentaux cyber (M0-M3)

Étape 1 — Socle DevOps consolidé (M0-M2)

Objectif : valider qu'on couvre le socle DevOps attendu au premier jour d'un poste DevSecOps junior. Sans ce socle, l'étape 3 (SAST/SCA/IaC) devient inabordable.

Livrables auto-mesurables

• Git avancé : branches, rebase, cherry-pick, résolution de conflit sans outil GUI, workflow GitFlow ou trunk-based.
• Docker : Dockerfile multi-stage, docker-compose, optimisation taille d'image, registry privé.
• Kubernetes basics : Pods, Deployments, Services, ConfigMaps, Secrets, Ingress, kubectl quotidien.
• Terraform : providers, modules, state remote, workspaces, dépendances.
• CI/CD : au moins un pipeline GitHub Actions OU GitLab CI complet construit de zéro (build, test, deploy).
• Cloud : exposition AWS, Azure ou GCP — lancer une application en production, gérer IAM basique.

Ressources

• Pour le socle technique en général avant DevOps, voir Quelles bases techniques avant de se lancer en cybersécurité ?.
• Kubernetes : CNCF documentation officielle, killercoda.com (labs gratuits).
• Terraform : HashiCorp Learn (gratuit), certification HashiCorp Associate.
• CI/CD : documentation officielle GitHub Actions ou GitLab CI, projets personnels déployés.

Signal de validation : un profil dev confirmé couvre cette étape en 4-6 semaines, un admin sys en 8-12 semaines, une reconversion totale en 16-24 semaines.

Étape 2 — Fondamentaux cyber (M2-M3)

Objectif : acquérir le vocabulaire cyber, comprendre OWASP Top 10 et MITRE ATT&CK, introduire le threat modeling.

Livrables

• OWASP Top 10 2021 compris en profondeur, avec exploitations pratiques sur PortSwigger Web Security Academy.
• 10 labs PortSwigger complétés (couvrant injection SQL, XSS, SSRF, access control, deserialization).
• Threat modeling : 1 threat model STRIDE rédigé pour une application simple.
• MITRE ATT&CK Navigator : maîtrise de la navigation et compréhension des tactiques.
• Vocabulaire cyber : CIA, CVE, CVSS, CWE, TTPs, SIEM, EDR, XDR.

Ressources

• PortSwigger Web Security Academy (gratuit, référence absolue).
• OWASP Cheat Sheet Series.
• MITRE ATT&CK training officiel (gratuit).

3. Étapes 3-4 : SAST/SCA/IaC security et Security+ (M3-M7)

Étape 3 — SAST, SCA, IaC security et container security (M3-M5)

Objectif : maîtriser la stack DevSecOps de base, savoir intégrer chaque catégorie d'outil dans un pipeline CI/CD.

Livrables

• SAST (Static Application Security Testing) : Semgrep en priorité (règles OWASP + règles personnalisées), SonarQube en complément, CodeQL pour contexte GitHub Advanced Security.
• SCA (Software Composition Analysis) : Trivy pour scan filesystem et images, Snyk pour contexte entreprise, Dependabot ou Renovate pour automation.
• IaC security : Checkov (référence open source), tfsec, Trivy Config.
• Container security build-time : Trivy image scan, Docker Bench for Security.
• Secrets scanning : gitleaks, TruffleHog.

Livrables GitHub publics

• 5 à 10 règles Semgrep personnalisées publiées dans un dépôt dédié, ciblant des anti-patterns d'une stack précise (Python, Go, TypeScript ou Java selon profil).
• 1 projet Terraform durci avec Checkov validé (0 anomalie HIGH ou CRITICAL).
• 1 image Docker hardening complet avec scan Trivy propre.

Pour approfondir SAST vs DAST spécifiquement, voir SAST vs DAST : comparatif et choix.

Étape 4 — CompTIA Security+ (M5-M7)

Objectif : obtenir la certification passage marché FR, structurée autour des 5 domaines du CBK (Common Body of Knowledge).

Livrables

• Cours complet Security+ : Professor Messer (gratuit sur YouTube) ou Sybex Study Guide (livre).
• 5 QCM blancs complets avec score ≥ 80 % régulier.
• CompTIA Security+ SY0-701 réussie (examen en ligne proctored, ≈ 400 €).

Pourquoi Security+ est critique

Les services RH français filtrent quasi-systématiquement les CV DevSecOps junior sur la présence d'au moins une certification cyber reconnue. Security+ est le passage marché le plus coûts-efficace : 400 € et 2 à 4 mois de préparation pour un jalon qui double le taux de rappel d'entretien.

4. Étape 5 : Pipeline CI/CD sécurisé complet et certification cloud (M7-M9)

Objectif : livrer le livrable signature du DevSecOps junior (pipeline complet end-to-end) et obtenir une certification cloud ciblée.

Pipeline CI/CD complet

Construire et publier sur GitHub un pipeline CI/CD complet qui démontre la maîtrise de la stack.

# .github/workflows/security-pipeline.yml
# Pipeline signature : SAST + SCA + secrets + IaC + container scan.
 
name: Security CI
 
on:
  pull_request:
    branches: [main]
  push:
    branches: [main]
 
permissions:
  contents: read
  security-events: write
 
jobs:
  sast:
    name: SAST - Semgrep
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: returntocorp/semgrep-action@v1
        with:
          config: >-
            p/python
            p/security-audit
            p/owasp-top-ten
 
  sca:
    name: SCA - Trivy filesystem
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: aquasecurity/trivy-action@master
        with:
          scan-type: fs
          severity: HIGH,CRITICAL
          exit-code: 1
 
  secrets:
    name: Secrets scan - gitleaks
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
        with:
          fetch-depth: 0
      - uses: gitleaks/gitleaks-action@v2
 
  iac:
    name: IaC - Checkov
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: bridgecrewio/checkov-action@master
        with:
          directory: infrastructure/
          framework: terraform
          soft_fail: false
 
  container-build-and-scan:
    name: Container scan - Trivy image
    runs-on: ubuntu-latest
    needs: sast
    steps:
      - uses: actions/checkout@v4
      - run: docker build -t app:${{ github.sha }} .
      - uses: aquasecurity/trivy-action@master
        with:
          image-ref: app:${{ github.sha }}
          severity: HIGH,CRITICAL
          exit-code: 1
 
  dast:
    name: DAST - OWASP ZAP baseline
    runs-on: ubuntu-latest
    needs: container-build-and-scan
    steps:
      - uses: actions/checkout@v4
      - name: Start app in background
        run: docker compose up -d && sleep 10
      - uses: zaproxy/action-baseline@v0.13.0
        with:
          target: 'http://localhost:8080'

Certification cloud

Ajouter une certification spécialisée selon le cloud dominant de la cible de poste :

5. Étape 6 : Portfolio consolidé et contribution open source (M9-M10)

Objectif : finaliser les 4 livrables portfolio, contribuer à un projet open source, lancer le blog technique.

Les 4 livrables du portfolio DevSecOps junior

1. Pipeline CI/CD complet (section précédente) dans un dépôt public.
2. Règles Semgrep personnalisées : 5-10 règles pour une stack précise, dépôt dédié avec documentation claire.
3. Projet Terraform ou Kubernetes durci : infrastructure cloud complète avec politiques OPA/Gatekeeper, validation Checkov, documentation des choix.
4. Blog technique : 3 à 6 articles publiés sur GitHub Pages, Dev.to ou Medium, documentant les arbitrages (faux positifs gérés, seuils bloquants choisis).

Contribution open source

Au moins 1 pull request mergée sur un projet DevSecOps reconnu :

• Semgrep : ajout d'une règle ou correction de documentation.
• Trivy : amélioration d'une détection de vulnérabilité.
• Checkov : ajout d'un check Terraform.
• Kyverno ou OPA/Gatekeeper : nouvelle policy.
• OWASP ZAP : template scan amélioration.

L'acceptation d'une PR par un projet open source reconnu pèse lourd en entretien — elle démontre la capacité à contribuer dans un contexte professionnel.

6. Étape 7 : Candidatures ciblées et premier poste (M10-M12)

Objectif : signer un premier poste DevSecOps junior en 2-4 mois post-étape 6 (délai médian observé sur un marché favorable).

Stratégie de candidature

Où candidater en priorité

• Scale-ups tech : Doctolib, Swile, Alan, Dataiku, Algolia, Mistral AI, Shift Technology. Profil type : 3-8 personnes DevSecOps, junior bienvenu avec portfolio démontrable.
• ESN tech ingénierie : Octo Technology, Zenika, Theodo, Sfeir. Cultures orientées ingénierie, recrutent sur compétences plus que sur diplôme.
• Banques et assurances en migration cloud : SG, BNP Paribas, Crédit Agricole, AXA, Allianz. Forte demande post-DORA.
• Secteur public DSI : DINUM, DGFiP, CHU. Postes souvent en alternance ou titulaire.
• Éditeurs SaaS cyber ou cloud : GitGuardian, Snyk, OVHcloud, Scaleway, Sekoia.io.

Rythme : 20-30 candidatures ciblées sur 3 mois. Qualité > quantité : une lettre de motivation de 2-3 paragraphes qui démontre la compréhension du métier client, pas un CV réécrit.

Préparation entretien technique

Trois exercices classiques sur un entretien DevSecOps junior :

• Review d'un pipeline CI/CD existant et identification des faiblesses (pas de SAST, secrets en clair, pas de politique d'admission K8s).
• Écriture d'une règle Semgrep ou d'une politique OPA en direct à partir d'un pattern donné.
• Arbitrage technique : expliquer pourquoi bloquer sur HIGH mais pas sur MEDIUM dans un pipeline Trivy, défendre le choix.

Préparation dédiée : 2-4 semaines avec révision de tous les livrables portfolio, entraînement à expliquer à voix haute en 10 minutes la structure du pipeline CI/CD signature.

7. Template YAML complet du plan 12 mois

Template à copier, adapter selon profil initial, relire chaque fin de semaine pour validation d'avancement.

plan_devenir_devsecops_12_mois:
  version: "2026-04-23"
  profil_cible: "DevSecOps junior en scale-up tech, banque ou ESN ingenierie"
  rythme_hebdomadaire_heures: 18
  volume_total_cible_heures: 900
  profil_pret: "dev backend ou DevOps 2+ ans"
 
  etape_1_socle_devops:              # M0-M2
    duree_semaines: 8
    livrables:
      - "Git avance : rebase, cherry-pick, resolution conflit a la main"
      - "Docker multi-stage + compose + registry prive"
      - "Kubernetes : pods, deployments, services, kubectl quotidien"
      - "Terraform : modules + state remote + workspaces"
      - "1 pipeline CI/CD personnel (GitHub Actions ou GitLab CI)"
 
  etape_2_fondamentaux_cyber:        # M2-M3
    duree_semaines: 4
    livrables:
      - "OWASP Top 10 2021 compris avec exploitation pratique"
      - "10 labs PortSwigger Web Security Academy termines"
      - "1 threat model STRIDE redige pour app simple"
      - "vocabulaire : CIA, CVE, CVSS, MITRE ATT&CK"
 
  etape_3_sast_sca_iac:              # M3-M5
    duree_semaines: 8
    livrables:
      - "Semgrep maitrise + 5-10 regles personnalisees sur GitHub"
      - "Trivy filesystem + image operationnel"
      - "Checkov sur Terraform operationnel"
      - "gitleaks dans un pipeline personnel"
      - "1 projet Terraform durci avec Checkov valide (0 HIGH/CRITICAL)"
 
  etape_4_security_plus:             # M5-M7
    duree_semaines: 8
    livrables:
      - "cours Professor Messer Security+ complet"
      - "5 QCM blancs >= 80 %"
      - "CompTIA Security+ SY0-701 REUSSIE"
    budget_eur: 400
 
  etape_5_pipeline_et_cloud:         # M7-M9
    duree_semaines: 8
    livrables:
      - "pipeline CI/CD signature complet sur GitHub public"
      - "certification cloud (AWS Security Specialty OU AZ-500 OU CKS)"
    budget_eur: "165-395 USD selon cloud"
 
  etape_6_portfolio_oss:             # M9-M10
    duree_semaines: 4
    livrables:
      - "4 livrables portfolio consolides et documentes"
      - "blog technique avec 3-6 articles publies"
      - "1 pull request mergee sur projet open source reconnu"
      - "profil LinkedIn et GitHub synchronises"
 
  etape_7_candidatures_poste:        # M10-M12
    duree_semaines: 8
    livrables:
      - "20-30 candidatures ciblees (scale-ups + ESN + banques)"
      - "5-10 entretiens techniques decroches"
      - "premier poste signe"
    salaire_cible_eur: "48-60 k brut IDF, 42-55 k province"
 
  phase_post_embauche_m12_m24:
    - "certification cloud complementaire (multi-cloud)"
    - "OSCP optionnel si appetence pentest (M18-M24)"
    - "contribution open source continuee"
    - "palier salarial a 18-24 mois negocie par ecrit a l'embauche"
 
  criteres_ajustement:
    si_retard_etape_1_devops:
      - "etendre M0-M4, accepter un plan 14-15 mois total"
    si_security_plus_echouee:
      - "repassage sous 6 semaines, ne pas attendre"
    si_aucune_reponse_apres_10_candidatures:
      - "reviser CV et portfolio avec mentor ou pair DevSecOps"
      - "ajouter une contribution open source marquante"

Points clés à retenir

• 7 étapes sur 12 mois : socle DevOps (M0-M2), cyber basics (M2-M3), SAST/SCA/IaC (M3-M5), Security+ (M5-M7), pipeline complet + cert cloud (M7-M9), portfolio (M9-M10), candidatures (M10-M12).
• Marché DevSecOps junior favorable en 2026 : ratio offres/candidats ≈ 1 pour 2-3, délai de signature médian 2-4 mois post-portfolio prêt.
• Socle DevOps non négociable : Git avancé, Docker, Kubernetes basics, Terraform, CI/CD. Sauter cette étape = échec en entretien technique.
• Certifications dans l'ordre : Security+ en premier, puis AWS Security Specialty OU AZ-500 OU CKS selon stack. Multi-cloud de plus en plus demandé.
• Portfolio GitHub : 4 livrables (pipeline signature, règles Semgrep perso, projet Terraform durci, blog), plus 1 PR open source mergée.
• Candidater dès M+9-M+10 : pas avant portfolio consolidé, pas après M+15 (rythme qui se relâche).

Pour le cadrage marché et la réalité d'entrée DevSecOps, consulter le pillar Peut-on devenir DevSecOps sans expérience cyber ?. Pour approfondir SAST vs DAST spécifiquement, voir SAST vs DAST : comparatif et choix. Pour un plan apprentissage cyber généraliste (avant ou en parallèle), voir Plan d'apprentissage cyber sur 6 mois : méthode et template. Pour la bascule depuis profil développeur spécifiquement, voir Quel métier cyber viser quand on vient du développement ?. Le bootcamp DevSecOps de Zeroday applique directement cette méthode : socle DevOps consolidé, pipeline signature complet, préparation Security+ et certification cloud intégrée, mentorat hebdomadaire sur portfolio public.