Une exploration des diverses sécurités informatiques et de leurs impacts sur le fonctionnement des équipes au sein d'une entreprise, illustrée d'exemples concrets. Les outils Docker et Kubernetes sont détaillés (installation, configuration, utilisation) ainsi que la sécurité du développement avec le Threat Modeling et la Secure Coding Checklist, et les notions de cybersécurité sont explicitées. ©Electre 2025

DevSecOps

Développez et administrez vos services en toute sécurité

Cet ouvrage sur l'approche DevSecOps est destiné à tout membre d'une équipe IT ou de développement souhaitant intégrer la sécurité dans sa pratique quotidienne et disposer des bons outils pour sécuriser ses développements à chaque étape du cycle de vie des services.

L'auteur commence par expliquer l'impact de l'implémentation de la sécurité sur le fonctionnement des équipes, avant de présenter les notions d'intégration continue et de déploiement continu (CI/CD). En guise de mise en pratique, il propose notamment l'implémentation d'un pipeline d'intégration continue en Python avec Gitlab-CI.

L'ouvrage détaille ensuite l'utilisation de Docker et Kubernetes dans une approche DevSecOps. À travers plusieurs exemples, il montre comment déployer un site Wordpress avec Docker Compose, analyser la sécurité des images Docker avec Dockle et Trivy, sécuriser un cluster Kubernetes avec Kube-Bench, Kube-Hunter et les CIS Benchmark et analyser la sécurité des fichiers YAML décrivant les objets Kubernetes avec KubeLinter et Checkov. Les limitations connues de Docker et les contraintes spécifiques de Kubernetes sont également abordées.

Les notions importantes de cybersécurité sont explicitées, avec un accent sur les Dénial of Service, les attaques Man-in-the-Middle, les injections et le Brute Force. Les concepts de cryptographie sont explorés en détail, couvrant le chiffrement symétrique et asymétrique, les algorithmes de hash, les PKI et l'intégration de TLS 1.3. Des pratiques modernes de gestion des clés avec des KMS et des approches avancées comme l'architecture Zéro Trust et la cryptographie post-quantique sont introduites.

Un chapitre explore la sécurité du développement avec le SDLC et le SSDLC, le Threat Modeling, la publication d'une Secure Coding Checklist et l'utilisation de WebGoat pour créer un environnement de Pentest. Les bonnes pratiques liées à la gestion des événements et la supervision de la stack applicative sont abordées avec des outils comme Prometheus et Grafana.

Enfin, un nouveau chapitre est dédié à l'intelligence artificielle générative et à la manière dont elle s'intègre dans une démarche DevSecOps. Après avoir abordé le fonctionnement général de la GenAI, l'auteur montre comment l'utiliser pour mettre en oeuvre un pipeline utilisant GitLab-CI et Gemini, capable de détecter et de corriger automatiquement les vulnérabilités d'un code.