Accueil
Podcasts
Expert CyberSecurité & DevSecOps : Développer, PenTester et Déployer des applications sécurisées
Expert CyberSecurité & DevSecOps : Développer, PenTester et Déployer des applications sécurisées
Ce podcast vous forme aux métiers de la cybersécurité et du DevSecOps. Vous apprendrez à comprendre les risques applicatifs, réaliser des tests d'intrusion (PenTest) sur des applications Web et API, et maîtriser des outils comme Nmap, Wireshark, Metasploit. Il couvre également la correction des vulnérabilités, la mise en place de tests de non-régression, et l'intégration de la sécurité dans les chaînes CI/CD avec SAST, DAST et SCA.
Épisodes
Bienvenue, objectifs et parcours du chapitre
Bienvenue dans ce cursus consacré à la cybersécurité et au DevSecOps. Ce chapitre introductif a pour but de vous donner une vision claire et complète de ce que vous allez apprendre, pourquoi vous allez l'apprendre, et comment le parcours est structur...
Vocabulaire essentiel : sécurité, menace, vulnérabilité, risque
Avant de plonger dans les techniques de test d'intrusion, la correction de failles ou la mise en place de pipelines sécurisés, il est indispensable de parler la même langue que les professionnels de la cybersécurité. Ce cours pose les fondations conc...
Atelier guidé : associer chaque terme à un cas concret
**Rappel théorique** Avant de plonger dans l'atelier, voici un rappel des quatre piliers conceptuels que tu as abordés dans le chapitre précédent. La **sécurité** désigne l'ensemble des mesures mises en place pour protéger un système d'information co...
Les piliers CIA : confidentialité, intégrité, disponibilité
En cybersécurité, tout repose sur trois piliers fondamentaux regroupés sous l'acronyme CIA, qui signifie Confidentialité, Intégrité et Disponibilité (en anglais : Confidentiality, Integrity, Availability). Ces trois concepts forment le socle de toute...
Atelier guidé : identifier le pilier CIA menacé
--- RAPPEL THÉORIQUE --- Le modèle CIA (Confidentiality, Integrity, Availability) est le socle conceptuel de toute démarche de cybersécurité. Il définit trois propriétés fondamentales que tout système d'information doit protéger. La Confidentialité g...
Atelier de variation : créer vos propres exemples de menaces
**Rappel théorique** Avant de plonger dans l'atelier, voici un rappel des concepts essentiels abordés dans les sessions précédentes. Une **menace** est tout événement ou acteur susceptible d'exploiter une **vulnérabilité** (faille ou faiblesse dans u...
Menaces web courantes présentées simplement
Dans les activités précédentes, vous avez découvert les concepts fondamentaux de la cybersécurité : sécurité, menace, vulnérabilité, risque, ainsi que les trois piliers que sont la confidentialité, l'intégrité et la disponibilité. Il est maintenant t...
Atelier guidé : reconnaître la menace sur une capture d'écran
## Rappel théorique Avant d'entrer dans le vif du sujet, revenons rapidement sur les concepts essentiels vus dans les activités précédentes. Une **menace** est un événement ou une action potentiellement nuisible qui cible un système, une donnée ou un...
Synthèse visuelle intermédiaire : carte mentale des concepts
Vous avez parcouru les premières notions fondamentales de la cybersécurité : le vocabulaire de base, les trois piliers CIA, et les menaces web courantes. Il est maintenant temps de consolider tout cela en une vision d'ensemble cohérente. Cette synthè...
Introduction à DevOps et au concept DevSecOps
Avant d'entrer dans le vif du sujet de la cybersécurité appliquée au développement, il est indispensable de comprendre deux concepts fondamentaux qui structurent le travail des équipes techniques modernes : DevOps et DevSecOps. Ces deux approches ne ...
Atelier guidé : visualiser un pipeline CI/CD simplifié
**Rappel théorique** Avant d'entrer dans le vif du sujet, revenons sur les fondamentaux abordés dans le chapitre précédent sur DevOps et DevSecOps. Le CI/CD (Continuous Integration / Continuous Delivery ou Deployment) est un ensemble de pratiques qui...
Le rôle de la sécurité à chaque étape du pipeline
Dans le module précédent, tu as découvert ce qu'est un pipeline d'intégration et de livraison continues (CI/CD) et tu as appris à le distinguer d'une approche DevSecOps. Aujourd'hui, on va aller plus loin : on va examiner concrètement ce que la sécur...
Atelier guidé : placer des contrôles sécurité dans un pipeline imaginaire
**Rappel théorique** Un pipeline CI/CD (Continuous Integration / Continuous Delivery) est une chaîne automatisée qui va du code source jusqu'au déploiement en production. Dans une approche DevSecOps, la sécurité n'est pas ajoutée à la fin : elle est ...
Atelier de variation : adapter un pipeline sécurisé à un projet e-commerce
**Rappel théorique** Un pipeline CI/CD (Intégration Continue / Déploiement Continu) est une chaîne automatisée qui va du code source jusqu'à la mise en production. Dans une approche DevSecOps, la sécurité n'est pas ajoutée à la fin : elle est intégré...
Points de contrôle et artefacts dans le pipeline
Dans les activités précédentes, tu as découvert ce qu'est un pipeline d'intégration et de livraison continues, et tu as appris à y placer des contrôles de sécurité à chaque étape. Maintenant, il est temps d'aller plus loin : comprendre précisément ce...
Storyboard : incident évité grâce à DevSecOps
Dans ce chapitre, nous allons suivre un scénario fictif mais réaliste, inspiré de situations réelles rencontrées dans des entreprises en pleine transformation numérique. Ce storyboard vous permettra de visualiser concrètement comment l'approche DevSe...
Mini-projet : écrire une user-story orientée sécurité
## Présentation du mini-projet Ce mini-projet clôture la section d'introduction au DevSecOps. Après avoir manipulé des pipelines CI/CD, intégré des points de contrôle sécurité et simulé des incidents, il est temps de formaliser les exigences de sécur...
Récapitulatif de la socle et checklist personnelle
Ce cours est un récapitulatif structuré de tout ce que tu as appris depuis le début de cette introduction à la CyberSécurité et au DevSecOps. Son objectif est double : consolider les connaissances acquises et te fournir une checklist personnelle que ...
Préparer son environnement de test sécurisé (VM, comptes, navigateur)
Avant de réaliser le moindre test de sécurité ou de manipuler des outils offensifs, il est indispensable de mettre en place un environnement de travail adapté, isolé et contrôlé. Cette étape n'est pas optionnelle : elle conditionne la légalité, la sé...
Atelier : installer et vérifier la machine virtuelle de lab
**Rappel théorique** Une machine virtuelle (VM) est un environnement d'exécution isolé, émulé par un hyperviseur (VirtualBox, VMware, Hyper-V) sur votre machine physique appelée « hôte ». La VM, appelée « invitée », se comporte comme un vrai ordinate...
Introduction très haut niveau à Git comme socle du pipeline
Git est un système de gestion de versions distribué. Concrètement, il permet de suivre l'évolution d'un ensemble de fichiers au fil du temps, de conserver l'historique complet de toutes les modifications apportées à un projet, et de permettre à plusi...
Atelier : premières manipulations Git (clone, commit)
**Rappel théorique** Git est un système de gestion de versions distribué. Chaque développeur ou ingénieur DevSecOps dispose d'une copie complète de l'historique du projet (le dépôt ou 'repository'). Trois concepts fondamentaux à maîtriser immédiateme...
Git et traçabilité : l'historique au service de la sécurité
Git est bien plus qu'un simple outil de sauvegarde de code. C'est un système de contrôle de versions distribué qui enregistre chaque modification apportée à un projet, avec une précision chirurgicale. Dans un contexte de cybersécurité et de DevSecOps...
Atelier : simuler un secret committé et le corriger
## Rappel théorique Un 'secret' dans le contexte du développement logiciel désigne toute donnée sensible qui ne doit jamais apparaître dans un dépôt de code : mots de passe, clés API, tokens d'authentification, chaînes de connexion à une base de donn...
Politiques de branche sécurisées : concepts clés
Dans les activités précédentes, tu as découvert Git, ses commandes de base, et surtout pourquoi l'historique Git est un outil précieux pour la traçabilité et la sécurité. Tu as même simulé un secret committé par erreur et appris à le corriger. Mainte...
Atelier : configurer une règle pre-commit basique
**Rappel théorique** Un hook Git est un script qui s'exécute automatiquement à un moment précis du cycle de vie d'un dépôt Git : avant un commit, après un push, etc. Le hook pre-commit est déclenché juste avant que Git enregistre le commit. C'est le ...
Fiche mémo imprimable : pipeline sécurisé minimal
Cette fiche mémo est conçue pour synthétiser, de façon claire et actionnable, les éléments essentiels d'un pipeline de livraison logicielle sécurisé. Elle reprend les notions abordées dans les activités précédentes (Git, traçabilité, politiques de br...
Présentation de l'OWASP Top 10 (vue d'ensemble)
L'Open Web Application Security Project, connu sous le nom d'OWASP, est une fondation internationale à but non lucratif dédiée à l'amélioration de la sécurité des logiciels et des applications web. Elle rassemble des chercheurs, des développeurs, des...
Atelier : cartographier l'OWASP Top 10 sur le pipeline
**Rappel théorique** L'OWASP Top 10 est une liste de référence publiée par l'Open Web Application Security Project recensant les dix catégories de vulnérabilités les plus critiques des applications web. Elle est mise à jour périodiquement (dernière v...
Les trois shifts : Shift-Left, Shift-Right, Feedback Loop
Dans le monde du développement logiciel moderne, la sécurité n'est plus une étape que l'on réalise à la fin d'un projet, juste avant la mise en production. Cette approche ancienne a montré ses limites : les failles découvertes tardivement coûtent che...
Atelier : placer les tests sécurité dans un workflow existant
**Rappel théorique** Un workflow de développement (ou pipeline CI/CD) est une chaîne d'étapes automatisées qui transforme du code source en application déployée. L'enjeu du DevSecOps est d'intégrer les contrôles de sécurité à chaque étape de cette ch...
Mini-projet : créer un mini-pipeline YAML avec étapes sécurité commentées
## Description du projet Ce mini-projet constitue le premier jalon concret de votre parcours DevSecOps. Vous allez concevoir et documenter un pipeline CI/CD minimal, écrit en YAML (compatible GitHub Actions ou GitLab CI), intégrant explicitement des ...
Guide pas-à-pas : checklist avant commit
Avant d'envoyer du code dans un dépôt partagé, chaque développeur ou ingénieur DevSecOps doit s'assurer que ce code ne constitue pas une porte d'entrée pour un attaquant. C'est précisément l'objectif d'une checklist avant commit : un ensemble de véri...
Lecture d'un rapport fictif de vulnérabilités : structure et terminologie
Un rapport de vulnérabilités est un document structuré produit à l'issue d'un test de sécurité (aussi appelé test d'intrusion ou audit de sécurité). Il constitue la livraison principale d'un spécialiste en cybersécurité : c'est ce document qui justif...
Atelier : extraire les informations clés du rapport
## Rappel théorique Un rapport de vulnérabilités est un document structuré qui consigne les failles découvertes lors d'un audit ou d'un pentest. Il ne s'agit pas d'une simple liste de bugs : chaque entrée contient des informations précises qui permet...
Atelier : Rédiger un micro-rapport sur un bug imaginaire
**Rappel théorique** Un rapport de vulnérabilités est un document structuré qui permet de communiquer une faille de sécurité de manière claire, reproductible et exploitable par les équipes de développement et de management. Il ne s'agit pas simplemen...
Synthèse générale et ouverture vers le prochain chapitre
Ce cours constitue la synthèse de l'ensemble du chapitre d'introduction au cursus Expert CyberSécurité et DevSecOps. Il s'agit ici de consolider tous les concepts abordés, de les relier entre eux de manière cohérente, et d'ouvrir la voie vers les cha...
Bienvenue et objectifs du chapitre
Bienvenue dans ce chapitre consacré aux fondamentaux des réseaux, des protocoles et du modèle OSI. Ce chapitre constitue la pierre angulaire de toute votre progression dans le domaine de la cybersécurité et du DevSecOps. Sans une compréhension solide...
Vocabulaire de base d'un réseau (hôte, lien, paquet)
Un réseau informatique est un ensemble de dispositifs interconnectés qui peuvent échanger des données entre eux. Avant de comprendre comment sécuriser un réseau, comment réaliser un test d'intrusion ou comment déployer une application sécurisée, il e...
Cartographier son réseau domestique
**Rappel théorique** Avant de commencer cet atelier, revenons sur les concepts fondamentaux abordés dans les cours précédents. Un réseau informatique est un ensemble d'hôtes (ordinateurs, smartphones, imprimantes, box internet, objets connectés) reli...
Concepts d'adresse IP et de paquet
Dans les activités précédentes, tu as découvert ce qu'est un réseau, les notions d'hôte, de lien et de paquet. Tu as cartographié ton réseau domestique et manipulé le vocabulaire de base. Il est maintenant temps d'approfondir deux concepts absolument...
Observer un paquet ICMP avec ping
**Rappel théorique** Avant de commencer, revenons sur les concepts essentiels. Un paquet est l'unité de base de communication sur un réseau : c'est un bloc de données encapsulé avec des informations d'en-tête (adresse source, adresse destination, pro...
Associer adresses IP à l'équipement
--- RAPPEL THÉORIQUE --- Une adresse IP (Internet Protocol) est un identifiant logique attribué à chaque interface réseau d'un équipement. En IPv4, elle se présente sous la forme de 4 octets séparés par des points (ex. : 192.168.1.42). Il existe deux...
Notion de topologie, switch vs routeur
Jusqu'ici, vous avez découvert ce qu'est un hôte, un lien, un paquet, une adresse IP. Vous avez cartographié votre réseau domestique et observé des paquets circuler avec la commande ping. Il est maintenant temps d'aller plus loin : comprendre comment...
Visualiser un flux réseau avec simulateur en ligne
RAPPEL THÉORIQUE Avant de plonger dans l'atelier, voici les notions essentielles à avoir en tête. Un réseau est un ensemble d'équipements (hôtes, routeurs, switches) reliés entre eux par des liens, qui communiquent en échangeant des paquets. Chaque p...
Introduction au modèle OSI et encapsulation
Le modèle OSI (Open Systems Interconnection, soit Interconnexion des Systèmes Ouverts) est un cadre de référence conceptuel créé par l'Organisation Internationale de Normalisation en 1984. Son objectif est de standardiser la façon dont les équipement...
Empiler les couches (activité Lego virtuelle)
**Rappel théorique** Le modèle OSI (Open Systems Interconnection) est un cadre conceptuel qui découpe la communication réseau en 7 couches distinctes, chacune ayant un rôle précis. De bas en haut : Physique (1), Liaison de données (2), Réseau (3), Tr...
Couche 1 Physique – supports et signaux
La couche 1 du modèle OSI, appelée couche Physique, est le fondement absolu de toute communication réseau. Sans elle, aucun bit de données ne peut circuler entre deux équipements. Comprendre cette couche, c'est comprendre comment l'information, sous ...
Choisir le bon câble (scénario interactif)
**Rappel théorique – Couche 1 Physique : câbles, supports et signaux** La couche 1 du modèle OSI, la couche Physique, définit comment les bits sont transmis d'un équipement à un autre via un support matériel. Ce support peut être électrique (câble cu...
Couche 2 Liaison de données – trame Ethernet & MAC
La couche 2 du modèle OSI s'appelle la couche Liaison de données. Elle se situe juste au-dessus de la couche 1 Physique, que tu viens d'étudier, et juste en dessous de la couche 3 Réseau. Son rôle est fondamental : elle prend les bits bruts transmis ...
Lire une trame Ethernet capturée
**Rappel théorique** Une trame Ethernet est l'unité de transmission de la couche 2 (Liaison de données) du modèle OSI. Elle encapsule les données provenant des couches supérieures et les transporte d'une interface réseau à une autre sur un même résea...
Repérer les erreurs dans une trame
**Rappel théorique** Une trame Ethernet (couche 2 du modèle OSI) est une unité de données structurée transmise sur un réseau local. Elle se compose de plusieurs champs obligatoires : le préambule (7 octets de synchronisation), le Start Frame Delimite...
Couche 3 Réseau – rôle des routeurs et IP
La couche 3 du modèle OSI est appelée la couche Réseau. Elle intervient juste au-dessus de la couche Liaison de données (couche 2) que vous avez déjà étudiée avec les trames Ethernet et les adresses MAC. Si la couche 2 permet la communication entre d...
Utiliser traceroute pour voir les sauts
**Rappel théorique** Dans les activités précédentes, vous avez exploré la couche 3 du modèle OSI : la couche Réseau, responsable du routage des paquets IP d'une source vers une destination. Un paquet ne va jamais directement d'un ordinateur A à un or...
Analyser une sortie traceroute
**Rappel théorique** Traceroute (ou tracert sous Windows) est un outil de diagnostic réseau qui cartographie le chemin emprunté par les paquets IP entre votre machine et une destination. Il exploite le champ TTL (Time To Live) de l'en-tête IP : chaqu...
Mini-projet ramp-up : documenter le chemin d'un paquet vers un site web
## Présentation du projet Ce mini-projet de consolidation clôture la section 'Fondamentaux des réseaux, protocoles et modèles OSI'. Vous avez acquis des bases solides sur les couches OSI 1 à 3, les trames Ethernet, les adresses MAC, les paquets IP et...
Protocoles de transport : idées clés de TCP vs UDP
La couche transport est la quatrième couche du modèle OSI. Son rôle est d'assurer la communication entre deux applications situées sur des machines différentes. Elle prend les données produites par la couche application, les découpe si nécessaire en ...
Établir un handshake TCP via netcat
**Rappel théorique** TCP (Transmission Control Protocol) est un protocole de transport orienté connexion de la couche 4 du modèle OSI. Contrairement à UDP, TCP garantit la livraison ordonnée et fiable des données grâce à un mécanisme d'établissement ...
Ports et multiplexage : pourquoi 80, 443, 53 ?
Lorsqu'un paquet arrive sur une machine, la couche réseau sait à qui il est destiné grâce à l'adresse Internet Protocol. Mais cette machine fait tourner simultanément un navigateur web, un client de messagerie, un serveur de fichiers, une application...
Scanner des ports avec Nmap (niveau débutant)
--- RAPPEL THÉORIQUE --- Avant de plonger dans la pratique, rappelons les bases. Un port est un identifiant numérique (de 0 à 65535) associé à un service réseau sur une machine. Lorsqu'un paquet TCP ou UDP arrive sur une machine, le système d'exploit...
Introduction à Wireshark : interface et flux de travail
Wireshark est un analyseur de trafic réseau (aussi appelé « sniffer » ou analyseur de paquets) open source, gratuit et multiplateforme. Il permet de capturer en temps réel les paquets qui transitent sur une interface réseau et d'en inspecter le conte...
Capturer un handshake TCP avec Wireshark
**Rappel théorique** Le handshake TCP (ou « poignée de main à trois voies ») est le mécanisme fondamental qui établit une connexion fiable entre deux hôtes avant tout échange de données. Il repose sur trois étapes séquentielles : SYN (le client annon...
Filtres Wireshark courants (BPF)
Wireshark est un analyseur de paquets réseau (communément appelé « sniffer ») qui permet de capturer et d'inspecter le trafic qui circule sur une interface réseau. Tu as déjà utilisé Wireshark pour capturer un handshake TCP lors de l'activité précéde...
Filtrer trafic UDP DNS
**Rappel théorique** DNS (Domain Name System) est le protocole qui traduit les noms de domaine lisibles (ex. : google.com) en adresses IP. Il fonctionne principalement sur UDP, port 53, car UDP est sans connexion, léger et rapide — idéal pour des éch...
Sous-réseaux et notation CIDR
Un réseau informatique regroupe des machines qui communiquent entre elles. Mais à mesure que le nombre de machines augmente, il devient nécessaire de diviser ce réseau en portions plus petites et plus gérables. C'est précisément l'objet du concept de...
Calculer la plage d'adresses /24 et /26
**Rappel théorique** Un sous-réseau (subnet) est une subdivision logique d'un réseau IP. La notation CIDR (Classless Inter-Domain Routing) exprime simultanément une adresse IP et son masque de sous-réseau sous la forme adresse/préfixe (ex. : 192.168....
Ajuster le sous-réseau pour un besoin
**Rappel théorique** Un sous-réseau (subnet) est une subdivision logique d'un réseau IP. La notation CIDR (Classless Inter-Domain Routing) exprime cette subdivision sous la forme adresse/préfixe, par exemple 192.168.1.0/24. Le préfixe indique combien...
Routage et tables de routage simplifiées
Le routage est le mécanisme fondamental qui permet à un paquet de données de voyager d'un réseau source vers un réseau de destination, potentiellement en traversant plusieurs équipements intermédiaires. Comprendre ce mécanisme est indispensable pour ...
Lire la table de routage d'une VM Linux
**Rappel théorique** Une table de routage est la carte de navigation d'un système réseau. Elle indique à la machine vers quel prochain saut (next hop) envoyer un paquet en fonction de l'adresse IP de destination. Chaque entrée comporte au minimum : u...
Concept d'état de connexion et firewall simple
Un réseau informatique est traversé en permanence par des milliers de paquets de données. Certains de ces paquets sont légitimes, d'autres peuvent être malveillants ou non sollicités. Le rôle d'un pare-feu (firewall) est de filtrer ce trafic selon de...
NAT et translation d'adresses réseau
La translation d'adresses réseau, connue sous le nom de Network Address Translation (NAT), est un mécanisme fondamental qui permet à un routeur ou à un pare-feu de modifier les adresses IP contenues dans les en-têtes des paquets qui transitent par lu...
Suivre une connexion NATée avec iptables logs
**Rappel théorique** Le NAT (Network Address Translation) est le mécanisme par lequel un routeur ou un pare-feu modifie l'adresse source ou destination d'un paquet IP au passage. Dans le cas le plus courant (SNAT/masquerade), une machine du réseau pr...
DNS : résolution de noms et protocoles associés
Le Système de Noms de Domaine (Domain Name System, abrégé DNS) est l'un des protocoles les plus fondamentaux d'Internet. Son rôle est simple : traduire un nom humainement lisible (comme www.google.com) en une adresse IP numérique (comme 142.250.74.68...
Résoudre et sniffer un lookup DNS
**Rappel théorique** Le DNS (Domain Name System) est le système qui traduit un nom de domaine lisible par un humain (ex : google.com) en adresse IP routable sur le réseau (ex : 142.250.74.46). Sans DNS, chaque connexion nécessiterait de connaître l'a...
Manipuler le fichier hosts pour override
**Rappel théorique** Le fichier hosts est l'un des mécanismes de résolution de noms les plus anciens et les plus fondamentaux d'un système d'exploitation. Avant même que le système ne consulte un serveur DNS, il interroge ce fichier pour vérifier si ...
Couches 4 à 7 OSI et focus sur HTTP
Le modèle OSI (Open Systems Interconnection) décrit comment les données transitent entre deux systèmes en réseau. Tu as déjà travaillé sur les couches basses : physique, liaison de données, réseau (adressage IP, routage, NAT) et une partie de la couc...
Analyser une requête HTTP dans Wireshark
**Rappel théorique** HTTP (HyperText Transfer Protocol) est un protocole de la couche application (couche 7 du modèle OSI) qui fonctionne en mode requête/réponse. Le client envoie une requête HTTP (méthode GET, POST, PUT, DELETE…) vers un serveur, qu...
Trafic complet – de la requête HTTP à la réponse (diagramme annoté)
## Présentation du projet Ce mini-projet est la synthèse pratique des compétences acquises tout au long du chapitre 'Fondamentaux des réseaux, protocoles et modèles OSI'. Vous avez travaillé le subnetting, le routage, NAT, DNS, TCP/UDP et HTTP. Il s'...
Stratégies de révision personnelle et ressources
Vous venez de traverser un chapitre dense et fondamental : les réseaux, les protocoles et le modèle OSI. Vous avez manipulé des outils concrets comme Wireshark, iptables, et des fichiers de configuration système. Vous avez observé des échanges DNS, d...
Conclusion & checklist de maîtrise
Ce chapitre de conclusion a pour but de consolider l'ensemble des notions abordées tout au long de la section "Fondamentaux des réseaux, protocoles et modèles OSI". Il ne s'agit pas d'une simple liste de rappels, mais d'une synthèse structurée et com...
