consultant-cyber Consultant en Cybersécurité
Métiers

DevSecOps

Vous avez un sens du détail à toute épreuve et savez procéder de manière méthodique pour déceler la plus petite taille dans un système donné ? Vous avez donc de bonnes bases pour envisager de rejoindre une équipe de sécurité informatique en tant que DevSecOps. Ce développeur très particulier a la mission de garantir un niveau de sécurité optimale tout au long du cycle de vie d’un produit informatique, d’un logiciel, d’un projet web ou d’un système de données. Il joue donc un rôle de pilier pour toutes les questions de qualité finale, de satisfaction des utilisateurs et de protection des entreprises. Voici comment rejoindre le cercle privé de ces garants permanents de la stabilité.

Fiche métier mise à jour le
Niveau d’études : Bac+5
Bac conseillé : Scientifique
Employabilité : Très bonne
Salaire débutant : 3.000 €
Salaire confirmé : 6.800 €
Mobilité : Bonne
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et Télécommunications

Métier

Le métier de DevSecOps, également répertorié sous l’appellation « Spécialiste en développement sécurité », est aligné sur les exigences de la démarche dite DevOps, qui appelle à une collaboration et une communication maximales entre les développeurs de logiciels et les professionnels des opérations informatiques, en automatisant le processus de livraison de logiciels et les changements d’infrastructure. De fait, le DevSecOps intervient en appui des équipes de développement afin de guider les développeurs dans la prise en compte des exigences de sécurité. Il teste la sécurité de tous les développements et suit la correction de chaque vulnérabilité repérée.

En entreprise et sur les fiches de poste, on pourra aussi rencontrer la fonction de DevSecOps sous les dénominations suivantes : spécialiste en sécurité applicative, spécialiste en sécurité logicielle, expert en sécurité applicative ou encore expert en développement sécurisé, pour la terminologie française ; Application security expert ou Security in development expert, pour la terminologie anglaise.

Missions

La mission du DevSecOps consiste à intégrer la dimension « sécurité » à toutes les étapes d’un projet informatique et à l’automatiser. Son objectif final est clair : il s’agit d’assurer le meilleur niveau de sécurité à tous les niveaux afin de contrer d’éventuelles attaques.

Le DevSecOps est notamment amené à procéder à des audits d’architecture applicative, à des audits de code et à l’évaluation de maturité de divers processus DevSecOps. Il doit être préparé pour contribuer à l’élaboration de nombreux schémas directeurs et de trajectoires de mise en conformité, suite à l’analyse des risques.

Les responsabilités du DevSecOps

« Si l’on devait retenir une responsabilité du DevSecOps, une seule ? Mettre en place des indicateurs qui permettent de connaître la vulnérabilité du projet à l’instant t. », explique Leo A., qui a réussi à décrocher un emploi avant même la fin de ses études, à un moment où peu de formations préparaient de manière précise à la fonction de Spécialiste en développement sécurité.

« Être DevSecOps, c’est être pointilliste – une sorte de Petit Poucet qui dépose tous les cailloux nécessaires pour s’assurer que le chemin est bien tracé, mais qui n’est jamais perdu sur ce chemin et ne fait jamais un pas en avant sans s’être assuré que le parcours est parfaitement sécurisé. »

C’est lui qui, à tout instant, rassure et fédère les équipes de développeurs sur les enjeux de sécurité et les allège, en quelque sorte, de cette préoccupation majeure, en se positionnant comme le garant principal de l’absence de risques – ou de leur bon traitement.

Compétences

On peut découper les missions du Spécialiste en développement sécurité selon trois niveaux d’intervention : la conception, le soutien aux équipes de développement et le partage de connaissance, assorti d’un travail de veille technologique.

En matière de conception, le DevSecOps devra :

– définir ou contribuer à la définition des guides de développement sécurisé ;

– et contribuer au choix des solutions de revue de code.

Auprès des équipes de développement, il est tenu de :

– contribuer à la rédaction des exigences de sécurité applicative ;

– s’assurer du respect des bonnes pratiques de sécurité du développement sur les projets ;

– prendre part, en phase d’intégration, aux sprints visant à suivre les revues sécurité pour les développements en méthode agile ;

– prendre en main la formation des développeurs aux techniques de développement sécurisé et aux risques de sécurité ;

– former les développeurs aux outils de revue de code ;

– évaluer la bonne mise en œuvre des exigences de sécurité en conduisant des audits applicatifs ainsi que des revues de code ;

– définir les priorités face aux vulnérabilités rencontrées et accompagner les développeurs dans la bonne prise en compte des mesures correctives.

Sur le plan du partage de connaissances et de la veille technologique, ce spécialiste de la sécurité a pour fonction :

– d’assurer une veille technologique portant sur les techniques de développement sécurisé ;

– et de proposer des solutions afin d’améliorer la sécurité sur son périmètre d’expertise.

Lorsque la mission est conduite dans le cadre d’une démarche agile, le spécialiste en développement sécurisé contribue à définir les users stories et les abusers stories, afin d’assurer un meilleur suivi et une meilleure prise en compte des anomalies. C’est le propre de la démarche DevSecOps.

Au-delà des pures compétences en sécurité applicative, le métier requiert des connaissances en sécurité des middlewares. Il doit aussi être parfaitement au fait des différents langages de conception et de la pratique des codes embarqués.

Qualités

Les principales qualités d’un Spécialiste en développement sécurité ont trait :

– à l’acuité technique, avec une grande curiosité et un goût pour la mise à jour perpétuelle des connaissances, afin de ne manquer aucune menace de sécurité ;

– des qualités d’observation indéniables, alliées à une capacité de concentration de niveau supérieur et un sens du détail sans faille ;

– et un sens de la pédagogie avéré, afin de mobiliser efficacement tous les autres spécialistes intervenant sur ou affectés par les incidents de sécurité.

Un bon DevSecOps doit donc faire preuve de constance et de vigilance soutenue. Il doit par ailleurs trouver le juste équilibre entre une compétence technique de haut niveau et des aptitudes relationnelles et communicationnelles indispensables.

Niveau d’études nécessaire

La fonction de DevSecOps est accessible aux détenteurs d’un Bac +5. La validation d’une spécialisation en développement est un pré-requis quasiment obligatoire ; une spécialisation en cybersécurité est un plus fortement apprécié par les recruteurs.

Par ailleurs, une première expérience en Développement est souvent la manière la plus naturelle d’accéder à un poste de ce niveau.

Quelle formation ?

À travers ses deux formations professionnalisantes, la Guardia School prépare dans les meilleures conditions les aspirants au métier de DevSecOps. Au sein de son Bachelor en 3 ans et de son Master expert cybersécurité, l’école a intégré un corpus solide de savoirs techniques et d’aptitudes comportementales indispensables pour réussir dans la gestion concrète de projets de cybersécurité.

Parmi ses 8 socles d’apprentissage, le Bachelor en 3 ans (titre RNCP niveau 6) accorde une importance de premier plan aux Basiques de l’informatique, au Développement informatique sous ses formes les plus variées et aux questions d’Infrastructure réseau et système.

Dans ce cadre, les étudiants de la Guardia School sont amenés à acquérir tous les fondements techniques nécessaires à une bonne approche des sujets de cybersécurité, de cyberdéfense et de scripting. La partie Développement aborde un grand nombre de langages, avec un accent particulier sur les langages C, C++ et Python). Sont également enseignées les clés de l’algorithmie et du développement web (HTML5, CSS3, PHP, MySQL), autant d’outils indispensables avant d’aborder les techniques propres au DevSecOps.

Au niveau Master, la Guardia School a mis en place un MSc d’expert cybersécurité en 2 ans (titre RNCP niveau 7). Une partie de l’enseignement est focalisée sur la conception technique et les projets technologiques. Dans ce cadre sont proposés un approfondissement des langages de programmation et des connaissances des OS,  ainsi qu’un apprentissage axé sur l’architecture des systèmes d’information, les Hardening Systems, la gestion des accès et des identités IAM, la virtualisation et le cloud, la cryptographie, la gestion des données, ainsi que l’analyse forensique.

Dans un deuxième volet d’apprentissage, les étudiants sont invités à se pencher sur la Stratégie de la cybersécurité. Il s’agit là d’un des temps les plus importants de la formation pour les futurs DevSecOps, avec une composante audit et conseil et gestion des données, permettant à terme d’évaluer les niveaux de maturité technique, mais aussi une partie Business intelligence et gestion des données, parmi d’autres composantes.

Bachelor
Diplôme obtenu : Titre école bachelor (Bac+3)
Admission post-bac : Bac généraliste ou technologique
Admission parallèle : Possible en 3e année
Durée totale de la formation : 3 ans
Campus Lyon et Paris
Enseignement 8 unités thématiques
3e année En alternance ou en initial avec stage alterné

 

Master Expert cybersécurité
Diplôme obtenu : Titre école MSc (Bac+5)
Pré-requis : Bac+3 ou Bac+4 validés
Durée totale de la formation : 2 ans
Campus : Lyon et Paris
Alternance : Chaque année, 3 semaines en entreprise / 1 semaine à l’école

Dans quel secteur travailler ?

Il existe une forte demande de DevSecOps, dans une grande variété de domaines, et cela s’explique de manière très simple : la fonction revêt une importance de premier plan pour toutes les entreprises de taille raisonnable opérant dans la sphère informatique ou en lien direct avec le web. Leur nombre étant colossal à cette heure, les DevSecOps ont un large choix au moment de la recherche d’emploi. 

Les sociétés développant des logiciels et des projets numériques sont à surveiller de très près, de même que celles qui produisent des jeux vidéo. On pourra aussi s’intéresser aux structures liées à des activités de recherche, mais aussi aux agences actives sur les questions de cyberdéfense et aux fournisseurs de services de banque et assurance, entre autres.

Les entreprises qui recrutent

Parmi les nombreuses offres d’emploi publiées quotidiennement, on voit apparaître régulièrement, parmi les recruteurs :

  • de grandes références du jeu vidéo, comme Ubisoft, SQUAD ou Gameloft ;
  • des fournisseurs de services du type gaz ou électricité, comme EDF ou Engie ;
  • des représentants de la sphère bancaire, comme BNP Paribas, le groupe La Poste ou Natixis ;
  • des entreprises de conseil, comme Deloitte, et d’autres souvent spécialisées dans les questions numériques, comme IBM Interactive ;
  • de grandes entreprises de l’industrie automobile, comme le groupe Renault ;
  • et d’autres grands groupes actifs à l’international, comme L’Oréal, Thales ou Saint-Gobain.

On trouvera facilement des opportunités de postes de DevSecOps sur les pages suivantes :

  • Indeed.com ;
  • LinkedIn ;
  • Cyberjobs.fr ;
  • Apec.fr ;
  • et tous les portails RH des entreprises mentionnées précédemment.

Salaire

Le salaire moyen d’un DevSecOps peut avoisiner 3 000 euros bruts mensuels en début de carrière. En moyenne, le salaire haut, après 5 années passées sur ce type de poste, se situe aux alentours de 5600 euros bruts mensuels. Pour un technicien aguerri justifiant de spécialisations et de plus de 10 années d’exercice, le chiffre peut grimper jusqu’à 6 800 euros bruts par mois.

Évolution de carrière

Le spécialiste en développement sécurité peut tout à fait envisager de bifurquer sur un poste de spécialiste sécurité d’un domaine technique. À ce titre, il assurera un rôle de conseil, d’assistance, d’information, de formation et d’alerte sur son domaine de prédilection : système, réseau, composants industriels, IoT, Active Directory, Cloud, IAM ou Intelligence Artificielle, par exemple. Une formation complémentaire peut s’avérer nécessaire pour accéder à ce type de poste.

Il est également envisageable de viser un poste d’Architecte sécurité, après validation d’une formation complémentaire. 

L’évolution la plus naturelle consiste néanmoins à prendre la fonction d’un Chef Sécurité de projet. Les compétences en pédagogie, en communication et en compréhension transversale des enjeux techniques prédisposent les DevSecOps bénéficiant de plusieurs années d’expérience à endosser ces responsabilités.

Les avantages et inconvénients

Pour Leo A., être DevSecOps, c’est une opportunité assez rare de faire jouer à plein sa curiosité et d’échapper au sentiment des missions trop répétitives. La fonction nécessite en effet une mise à jour régulière des connaissances et une intégration des nouveautés techniques, dans le but de maintenir un niveau de sécurité optimale sur tous les systèmes de l’entreprise.

L’un des principaux défis tient à l’obligation de haute concentration et de vigilance permanente, afin de ne passer à côté d’aucune vulnérabilité qui mettrait en danger l’intégrité des systèmes d’information.

En résumé

Quelles sont les missions du DevSecOps ?

En résumé, le DevSecOps intègre et automatise la dimension « sécurité » à toutes les étapes d’un projet informatique. Il doit être préparé pour contribuer à l’élaboration de nombreux schémas directeurs et de trajectoires de mise en conformité, suite à l’analyse des risques.

Quel est le salaire du DevSecOps ?

Le salaire moyen d’un DevSecOps peut avoisiner 3 000 euros bruts mensuels en début de carrière. En moyenne, le salaire haut, après 5 années passées sur ce type de poste, se situe aux alentours de 5600 euros bruts mensuels.

Quel niveau d’étude et formation pour devenir DevSecOps ?

La fonction de DevSecOps est accessible aux détenteurs d’un Bac +5. La validation d’une spécialisation en développement est un pré-requis quasiment obligatoire ; une spécialisation en cybersécurité est un plus fortement apprécié par les recruteurs.

Par ailleurs, une première expérience en Développement est souvent la manière la plus naturelle d’accéder à un poste de ce niveau.

Quel bac choisir ?

Au lycée, nous vous conseillons de suivre un BAC général ou technologique et d’opter pour l’une des spécialités suivantes, mathématiques, sciences de l’ingénieur ou numérique et sciences informatiques.

Métiers proches de DevSecOps

Continuez vos recherches autour des métiers de la cybersécurité :