DevSecOps DevSecOps
Métiers

DevSecOps

Vous avez un sens du détail à toute épreuve et savez procéder de manière méthodique pour déceler la plus petite taille dans un système donné ? Vous avez donc de bonnes bases pour envisager de rejoindre une équipe de sécurité informatique en tant que DevSecOps. Ce développeur très particulier a la mission de garantir un niveau de sécurité optimale tout au long du cycle de vie d’un produit informatique, d’un logiciel, d’un projet web ou d’un système de données. Il joue donc un rôle de pilier pour toutes les questions de qualité finale, de satisfaction des utilisateurs et de protection des entreprises. Voici comment rejoindre le cercle privé de ces garants permanents de la stabilité.

kevin-picciau
Par Kevin Picciau
Fiche métier mise à jour le
En résumé
Niveau d’études : Bac+5
Bac conseillé : Scientifique
Employabilité : Très bonne
Salaire débutant : 3.000 € brut
Salaire confirmé : 6.800 € brut
Mobilité : Bonne
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et Télécommunications
NB : les métiers de la cybersécurité sont récents. L’estimation du salaire se base sur peu de données. Le salaire peut être parfois surévalué ou sous-évalué. Nous affinerons sa pertinence lors de la prochaine édition du Guide des Métiers de la cybersécurité.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

Métier

Le métier de DevSecOps, également répertorié sous l’appellation « Spécialiste en développement sécurité », est aligné sur les exigences de la démarche dite DevOps, qui appelle à une collaboration et une communication maximales entre les développeurs de logiciels et les professionnels des opérations informatiques, en automatisant le processus de livraison de logiciels et les changements d’infrastructure. De fait, le DevSecOps intervient en appui des équipes de développement afin de guider les développeurs dans la prise en compte des exigences de sécurité. Il teste la sécurité de tous les développements et suit la correction de chaque vulnérabilité repérée.

Métier DevSecOps

En entreprise et sur les fiches de poste, on pourra aussi rencontrer la fonction de DevSecOps sous les dénominations suivantes : spécialiste en sécurité applicative, spécialiste en sécurité logicielle, expert en sécurité applicative ou encore expert en développement sécurisé, pour la terminologie française ; Application security expert ou Security in development expert, pour la terminologie anglaise.

"Le DevSecOps est une culture et le rôle d’un ingénieur DevSecOps est de définir un socle ou un framework permettant de mettre en place cette culture au sein de l’entreprise. La culture repose essentiellement sur le fait que la sécurité devrait être le problème de tous, elle doit venir avant toute implémentation quelle qu’elle soit. L’ingénieur devrait être en mesure de proposer des solutions techniques et fiables pour sécuriser le SI et les produits développés (de l’architecture à la livraison en production). Moi je travaille plus sur la mise en place de solutions de détection de vulnérabilités et des métriques pour la priorisation des remédiations de ces dernières, j’encadre aussi les autres ingénieurs DevSecOps au sein de la boîte."
Tidiane Barry - DevSecOps engineer

Missions

La mission du DevSecOps consiste à intégrer la dimension « sécurité » à toutes les étapes d’un projet informatique et à l’automatiser. Son objectif final est clair : il s’agit d’assurer le meilleur niveau de sécurité à tous les niveaux afin de contrer d’éventuelles attaques.

Le DevSecOps est notamment amené à procéder à des audits d’architecture applicative, à des audits de code et à l’évaluation de maturité de divers processus DevSecOps. Il doit être préparé pour contribuer à l’élaboration de nombreux schémas directeurs et de trajectoires de mise en conformité, suite à l’analyse des risques.

"Chez iQanto, une entreprise spécialisée dans l'intégration de solutions technologiques avancées, mon rôle en tant que chef de projet technique et ingénieur SRE/DevSecOps est de piloter une transformation significative dans notre approche des projets. Historiquement, comme dans de nombreuses entreprises du secteur, les méthodes traditionnelles dominaient. Mais avec l'adoption de l'approche DevSecOps, nous avons initié un changement profond. Mon travail au quotidien consiste à fusionner sécurité et efficacité dès la conception de nos projets. DevSecOps chez iQanto n'est pas qu'un terme ; c'est une philosophie qui redéfinit notre façon de travailler. Nous ne nous contentons pas de suivre des procédures établies ; nous cherchons constamment à innover et à améliorer nos pratiques. Rester à la pointe de la technologie est essentiel, mais nous le faisons avec discernement. Nous adoptons des technologies innovantes non pas pour suivre une tendance, mais parce qu'elles améliorent concrètement notre travail. L'automatisation, les outils d'Infrastructure as Code, de Compliance as Code, et d'autres outils DevOps sont devenus des piliers dans notre façon de travailler. Ils nous permettent d'être plus rapides, plus précis et de détecter et corriger les problèmes bien plus efficacement, offrant ainsi un avantage considérable à nos clients. C'est un rôle exigeant, mais extrêmement gratifiant, car il y a toujours de nouvelles choses à apprendre et de nouveaux défis à relever."
Kévin Cadier - Chef de projet technique - SRE / DevSecOps
Gratuit
Découvrez les 90 autres métiers de la Cybersécurité avec notre Guide des métiers de la Cybersécurité PDF 260+ pages
+ de 70 métiers pour travailler dans la Cybersécurité

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49

Les responsabilités du DevSecOps

« Si l’on devait retenir une responsabilité du DevSecOps, une seule ? Mettre en place des indicateurs qui permettent de connaître la vulnérabilité du projet à l’instant t. », explique Leo A., qui a réussi à décrocher un emploi avant même la fin de ses études, à un moment où peu de formations préparaient de manière précise à la fonction de Spécialiste en développement sécurité.

« Être DevSecOps, c’est être pointilliste – une sorte de Petit Poucet qui dépose tous les cailloux nécessaires pour s’assurer que le chemin est bien tracé, mais qui n’est jamais perdu sur ce chemin et ne fait jamais un pas en avant sans s’être assuré que le parcours est parfaitement sécurisé. »

C’est lui qui, à tout instant, rassure et fédère les équipes de développeurs sur les enjeux de sécurité et les allège, en quelque sorte, de cette préoccupation majeure, en se positionnant comme le garant principal de l’absence de risques – ou de leur bon traitement.

Les responsabilités du DevSecOps

competences-metier

Compétences

On peut découper les missions du Spécialiste en développement sécurité selon trois niveaux d’intervention : la conception, le soutien aux équipes de développement et le partage de connaissance, assorti d’un travail de veille technologique.En matière de conception, le DevSecOps devra :

– définir ou contribuer à la définition des guides de développement sécurisé ;

– et contribuer au choix des solutions de revue de code.

Auprès des équipes de développement, il est tenu de :

– contribuer à la rédaction des exigences de sécurité applicative ;

– s’assurer du respect des bonnes pratiques de sécurité du développement sur les projets ;

– prendre part, en phase d’intégration, aux sprints visant à suivre les revues sécurité pour les développements en méthode agile ;

– prendre en main la formation des développeurs aux techniques de développement sécurisé et aux risques de sécurité ;

– former les développeurs aux outils de revue de code ;

– évaluer la bonne mise en œuvre des exigences de sécurité en conduisant des audits applicatifs ainsi que des revues de code ;

– définir les priorités face aux vulnérabilités rencontrées et accompagner les développeurs dans la bonne prise en compte des mesures correctives.

Sur le plan du partage de connaissances et de la veille technologique, ce spécialiste de la sécurité a pour fonction :

– d’assurer une veille technologique portant sur les techniques de développement sécurisé ;

– et de proposer des solutions afin d’améliorer la sécurité sur son périmètre d’expertise.

Lorsque la mission est conduite dans le cadre d’une démarche agile, le spécialiste en développement sécurisé contribue à définir les users stories et les abusers stories, afin d’assurer un meilleur suivi et une meilleure prise en compte des anomalies. C’est le propre de la démarche DevSecOps.

Au-delà des pures compétences en sécurité applicative, le métier requiert des connaissances en sécurité des middlewares. Il doit aussi être parfaitement au fait des différents langages de conception et de la pratique des codes embarqués.

 

Les compétences de DevSecop

"La compétence fondamentale est la possibilité de simplifier le complexe. S’adressant à des développeurs qui souvent ne veulent que produire du code, il est extrêmement compliqué de faire entendre que la sécurité doit toujours venir en amont, il faut des capacités de sensibilisation et aussi une bonne vision en cyber sécurité fonctionnelle et technique."
Tidiane Barry - DevSecOps engineer

Qualités

Les principales qualités d’un Spécialiste en développement sécurité ont trait :

– à l’acuité technique, avec une grande curiosité et un goût pour la mise à jour perpétuelle des connaissances, afin de ne manquer aucune menace de sécurité ;

– des qualités d’observation indéniables, alliées à une capacité de concentration de niveau supérieur et un sens du détail sans faille ;

– et un sens de la pédagogie avéré, afin de mobiliser efficacement tous les autres spécialistes intervenant sur ou affectés par les incidents de sécurité.

Un bon DevSecOps doit donc faire preuve de constance et de vigilance soutenue. Il doit par ailleurs trouver le juste équilibre entre une compétence technique de haut niveau et des aptitudes relationnelles et communicationnelles indispensables.

"La compétence la plus cruciale pour un ingénieur SRE / DevSecOps, à mon avis, est la curiosité. Cette qualité est fondamentale car elle pousse à explorer, à innover et à ne jamais se contenter du statu quo. Dans un domaine aussi dynamique et en constante évolution que le nôtre, la curiosité est le moteur qui nous permet de rester en avance sur les tendances et les menaces émergentes. La curiosité mène à l'expérimentation et à l'apprentissage continu. Elle nous incite à sortir des sentiers battus, à tester de nouvelles idées et à apprendre de nos échecs. En tant que développeur à l'origine, j'ai toujours eu une propension naturelle à résoudre des problèmes et à trouver des solutions créatives pour automatiser les tâches répétitives. Cette aversion pour le travail manuel redondant est un atout, car elle nous pousse à automatiser tout ce qui peut l'être, rendant nos opérations plus efficaces et sécurisées. Dans mon rôle actuel chez iQanto, cette curiosité se traduit par le développement d'outils pour déployer et configurer des architectures sécurisées dès leur conception."
Kévin Cadier - Chef de projet technique - SRE / DevSecOps

Niveau d’études nécessaire

La fonction de DevSecOps est accessible aux détenteurs d’un Bac +5. La validation d’une spécialisation en développement est un pré-requis quasiment obligatoire ; une spécialisation en cybersécurité est un plus fortement apprécié par les recruteurs.

Par ailleurs, une première expérience en Développement est souvent la manière la plus naturelle d’accéder à un poste de ce niveau.

À travers ses deux formations professionnalisantes, la Guardia School prépare dans les meilleures conditions les aspirants au métier de DevSecOps. Au sein de son Bachelor en 3 ans et de son Master expert cybersécurité, l’école a intégré un corpus solide de savoirs techniques et d’aptitudes comportementales indispensables pour réussir dans la gestion concrète de projets de cybersécurité.

Parmi ses 8 socles d’apprentissage, le Bachelor en 3 ans (titre RNCP niveau 6) accorde une importance de premier plan aux Basiques de l’informatique, au Développement informatique sous ses formes les plus variées et aux questions d’Infrastructure réseau et système.

Dans ce cadre, les étudiants de la Guardia School sont amenés à acquérir tous les fondements techniques nécessaires à une bonne approche des sujets de cybersécurité, de cyberdéfense et de scripting. La partie Développement aborde un grand nombre de langages, avec un accent particulier sur les langages C, C++ et Python). Sont également enseignées les clés de l’algorithmie et du développement web (HTML5, CSS3, PHP, MySQL), autant d’outils indispensables avant d’aborder les techniques propres au DevSecOps.

Bachelor
Diplôme obtenu : Titre école bachelor (Bac+3)
Admission post-bac : Bac généraliste ou technologique
Admission parallèle : Possible en 3e année
Durée totale de la formation : 3 ans
Campus Lyon et Paris
Enseignement 8 unités thématiques
3e année En alternance ou en initial avec stage alterné

Études et formations pour devenir DevSecOps

Au niveau Master, la Guardia School a mis en place un MSc d’expert cybersécurité en 2 ans (titre RNCP niveau 7). Une partie de l’enseignement est focalisée sur la conception technique et les projets technologiques. Dans ce cadre sont proposés un approfondissement des langages de programmation et des connaissances des OS,  ainsi qu’un apprentissage axé sur l’architecture des systèmes d’information, les Hardening Systems, la gestion des accès et des identités IAM, la virtualisation et le cloud, la cryptographie, la gestion des données, ainsi que l’analyse forensique.

Dans un deuxième volet d’apprentissage, les étudiants sont invités à se pencher sur la Stratégie de la cybersécurité. Il s’agit là d’un des temps les plus importants de la formation pour les futurs DevSecOps, avec une composante audit et conseil et gestion des données, permettant à terme d’évaluer les niveaux de maturité technique, mais aussi une partie Business intelligence et gestion des données, parmi d’autres composantes.

Master Expert cybersécurité
Diplôme obtenu : Titre école MSc (Bac+5)
Pré-requis : Bac+3 ou Bac+4 validés
Durée totale de la formation : 2 ans
Campus : Lyon et Paris
Alternance : Chaque année, 3 semaines en entreprise / 1 semaine à l’école
"Mon parcours vers le rôle de DevSecOps a été passionnant, marqué par la curiosité et l'adaptation constante. Tout a commencé avec mes premiers pas en tant que Développeur. Très vite, j'ai réalisé l'importance d'une approche intégrée pour le développement et les opérations. C'était fascinant de voir comment les différentes pièces du puzzle technologique s'assemblaient. La découverte des principes et outils DevOps a été un véritable tournant pour moi. J'ai été captivé par la puissance de l'automatisation, la containerisation, et surtout, par l'impact de ces technologies sur la sécurité et l'efficacité des projets. J'ai commencé à explorer plus profondément ces domaines, en apprenant et en expérimentant avec divers outils et méthodologies. Au fur et à mesure, j'ai commencé à me glisser naturellement dans le rôle de DevSecOps. C'était comme assembler les pièces d'un puzzle complexe, où chaque élément – développement, opérations, et sécurité – devait s'imbriquer parfaitement. J'ai appris à équilibrer ces différents aspects, en comprenant que la sécurité ne devait pas être une réflexion après coup, mais un élément intégré dès le début de chaque projet."
Kévin Cadier - Chef de projet technique - SRE / DevSecOps
"Je suis devenu DevSecOps en combinant formation et passion. J’ai eu une formation en cybersécurité, mais j’ai eu un mentor qui m’a aidé à explorer le DevOps au début de mon cursus universitaire Et pour pouvoir combiner les deux j’ai vu que le DevSecOps est parfait (travailler avec les devs, les ops et des professionnels cyber). Mes connaissances des deux domaines m’ont bien aidé."
Tidiane Barry - DevSecOps engineer

Dans quel secteur travailler ?

Il existe une forte demande de DevSecOps, dans une grande variété de domaines, et cela s’explique de manière très simple : la fonction revêt une importance de premier plan pour toutes les entreprises de taille raisonnable opérant dans la sphère informatique ou en lien direct avec le web. Leur nombre étant colossal à cette heure, les DevSecOps ont un large choix au moment de la recherche d’emploi. 

Les sociétés développant des logiciels et des projets numériques sont à surveiller de très près, de même que celles qui produisent des jeux vidéo. On pourra aussi s’intéresser aux structures liées à des activités de recherche, mais aussi aux agences actives sur les questions de cyberdéfense et aux fournisseurs de services de banque et assurance, entre autres.

Dans quel secteur travailler ?

Les entreprises qui recrutent

Parmi les nombreuses offres d’emploi publiées quotidiennement, on voit apparaître régulièrement, parmi les recruteurs :

  • de grandes références du jeu vidéo, comme Ubisoft, SQUAD ou Gameloft ;
  • des fournisseurs de services du type gaz ou électricité, comme EDF ou Engie ;
  • des représentants de la sphère bancaire, comme BNP Paribas, le groupe La Poste ou Natixis ;
  • des entreprises de conseil, comme Deloitte, et d’autres souvent spécialisées dans les questions numériques, comme IBM Interactive ;
  • de grandes entreprises de l’industrie automobile, comme le groupe Renault ;
  • et d’autres grands groupes actifs à l’international, comme L’Oréal, Thales ou Saint-Gobain.

On trouvera facilement des opportunités de postes de DevSecOps sur les pages suivantes :

  • Indeed.com ;
  • LinkedIn ;
  • Cyberjobs.fr ;
  • Apec.fr ;
  • et tous les portails RH des entreprises mentionnées précédemment.

Salaire

Le salaire moyen d’un DevSecOps peut avoisiner 3 000 euros bruts mensuels en début de carrière. En moyenne, le salaire haut, après 5 années passées sur ce type de poste, se situe aux alentours de 5600 euros bruts mensuels. Pour un technicien aguerri justifiant de spécialisations et de plus de 10 années d’exercice, le chiffre peut grimper jusqu’à 6 800 euros bruts par mois.

Source salaires : enquête interne auprès des professionnels + étude cabinet Michael Page + étude cabinet Hays.

NB : les métiers de la cybersécurité sont récents. L’estimation du salaire se base sur peu de données. Le salaire peut être parfois surévalué ou sous-évalué. Nous affinerons sa pertinence lors de la prochaine édition du Guide des Métiers de la cybersécurité.

Évolution de carrière

Le spécialiste en développement sécurité peut tout à fait envisager de bifurquer sur un poste de spécialiste sécurité d’un domaine technique. À ce titre, il assurera un rôle de conseil, d’assistance, d’information, de formation et d’alerte sur son domaine de prédilection : système, réseau, composants industriels, IoT, Active Directory, Cloud, IAM ou Intelligence Artificielle, par exemple. Une formation complémentaire peut s’avérer nécessaire pour accéder à ce type de poste.

Il est également envisageable de viser un poste d’Architecte sécurité, après validation d’une formation complémentaire. 

L’évolution la plus naturelle consiste néanmoins à prendre la fonction d’un Chef Sécurité de projet. Les compétences en pédagogie, en communication et en compréhension transversale des enjeux techniques prédisposent les DevSecOps bénéficiant de plusieurs années d’expérience à endosser ces responsabilités.

Évolution de carrière

"La sécurité est le socle de toute entreprise qui voudrait se maintenir dans le temps, il s’agit d’un point indispensable vu la performance des attaques actuelles. Il s’agit d’un domaine en pleine expansion qui passionne beaucoup les jeunes. Ce secteur a donc de l’avenir. Le fait de pouvoir aider son prochain(ou une entreprise) à pouvoir maintenir un niveau de sécurité apporte un sentiment d’accomplissement."
Tidiane Barry - DevSecOps engineer

Les avantages et inconvénients

Pour Leo A., être DevSecOps, c’est une opportunité assez rare de faire jouer à plein sa curiosité et d’échapper au sentiment des missions trop répétitives. La fonction nécessite en effet une mise à jour régulière des connaissances et une intégration des nouveautés techniques, dans le but de maintenir un niveau de sécurité optimale sur tous les systèmes de l’entreprise.L’un des principaux défis tient à l’obligation de haute concentration et de vigilance permanente, afin de ne passer à côté d’aucune vulnérabilité qui mettrait en danger l’intégrité des systèmes d’information.

"La cybersécurité est un pilier essentiel, surtout dans notre contexte chez iQanto, où nous travaillons avec des clients évoluant dans des environnements sensibles. La sécurité n'est pas un luxe, mais une nécessité. Elle est au cœur de notre approche, car nos clients dépendent de systèmes fiables et sécurisés pour leurs opérations critiques. Dans notre domaine, la sécurité n'est pas une option, mais une exigence. Nous avons la chance d'avoir les ressources nécessaires pour assurer une protection complète, ce qui nous permet de mettre en place des solutions robustes et adaptées. Cela va au-delà de la simple mise en place de mesures défensives ; il s'agit de comprendre et d'anticiper les risques pour offrir une sécurité proactive et sur mesure."
Kévin Cadier - Chef de projet technique - SRE / DevSecOps
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

Devenir DevSecOps

Quelles sont les missions du DevSecOps ?

En résumé, le DevSecOps intègre et automatise la dimension "sécurité" à toutes les étapes d'un projet informatique. Il doit être préparé pour contribuer à l’élaboration de nombreux schémas directeurs et de trajectoires de mise en conformité, suite à l’analyse des risques.

Quel est le salaire du DevSecOps ?

Le salaire moyen d’un DevSecOps peut avoisiner 3 000 euros bruts mensuels en début de carrière. En moyenne, le salaire haut, après 5 années passées sur ce type de poste, se situe aux alentours de 5600 euros bruts mensuels.

Quel niveau d’étude et formation pour devenir DevSecOps ?

La fonction de DevSecOps est accessible aux détenteurs d’un Bac +5. La validation d’une spécialisation en développement est un pré-requis quasiment obligatoire ; une spécialisation en cybersécurité est un plus fortement apprécié par les recruteurs. Par ailleurs, une première expérience en Développement est souvent la manière la plus naturelle d’accéder à un poste de ce niveau.

Quel bac choisir ?

Au lycée, nous vous conseillons de suivre un BAC général ou technologique et d’opter pour l’une des spécialités suivantes, mathématiques, sciences de l’ingénieur ou numérique et sciences informatiques.

 

En vidéo


Prévisualisation youtube
bouton play youtube
metiers-proche-bg

Métiers proches de DevSecOps

Continuez vos recherches autour des métiers de la cybersécurité :