Pilot-Durchführung: Date à confirmer · Lieu à confirmer · 200 CHF au lieu de 1'200 CHF
1 jour Sur site ou à distance Max. 12 Teilnehmer

Secure Agentic Coding

Comment le développement sécurisé évolue quand l'IA écrit le code

Réserver une place pilote (200 CHF) Demande inhouse

Ce que cette formation n'est pas

  • Pas une formation compliance — pas de checklists OWASP sans contexte engineering
  • Pas une introduction à la sécurité pour développeurs junior sans expérience IA
  • Pas un tour d'horizon des outils IA — mais une architecture de sécurité pour les workflows agentiques

1 Für wen

  • Développeurs senior et architectes qui travaillent activement avec des assistants de codage IA
  • Security champions et ingénieurs DevSecOps dans des équipes pilotées par l'IA
  • Tech leads responsables de l'utilisation sécurisée des agents IA

2 Ce que vous saurez faire après la formation

  • Intégrer les agents IA dans le modèle de menace : extension STRIDE aux workflows agentiques
  • Rédiger des specs de sécurité et des guardrails globaux — comme contrôles structurels plutôt qu'instructions au cas par cas
  • Valider automatiquement le code généré par IA contre les specs de sécurité — avec un reviewer agent ou un security gate CI comme défense contre la découverte de vulnérabilités pilotée par IA
  • Mettre en place des security gates automatisés : intégrer Semgrep, Gitleaks et le scanning de dépendances dans CI/CD
  • Appliquer le principe de moindre privilège aux agents : restreindre délibérément le système de fichiers, le réseau, les outils et le scope

3 Contenu en détail

  • Comprendre le nouveau paysage des menaces : prompt injection, dépendances hallucinées, effet rubber-stamping
  • Intégrer l'agent dans le modèle de menace : STRIDE étendu aux workflows IA
  • Rédiger des specs de sécurité et des guardrails globaux (security-policy.md, CLAUDE.md)
  • Mettre en place des security gates automatisés : SAST, SCA, secrets scanning dans CI/CD
  • Appliquer une architecture secure-by-design : guardrails structurels plutôt qu'instructions ponctuelles

Agenda

Matin : Paysage des menaces & modélisation

  • Pourquoi l’IA applique les patterns de sécurité de manière incohérente — et pourquoi c’est dangereux
  • Nouveaux vecteurs d’attaque : prompt injection, packages hallucinés, context window poisoning
  • STRIDE étendu aux agents IA : traiter l’agent comme une trust boundary
  • Exercice 1 : Prompter un formulaire de connexion sans exigences de sécurité — analyser les failles
  • Exercice 2 : Construire un modèle de menace pour un workflow agentique

Après-midi : Guardrails, architecture & automatisation

  • Specs de sécurité et instructions globales pour les agents (security-policy.md, CLAUDE.md)
  • Gates automatisées : SAST, SCA, secrets scanning dans CI/CD
  • Secure-by-design : middleware, ORM et typage comme guardrails structurels
  • Moindre privilège pour les agents : système de fichiers, réseau, outils, scope
  • Exercice 3 : Construire des guardrails et configurer un reviewer agent comme security gate automatisé
  • Exercice 4 : Définir une architecture sécurisée — guardrails structurels plutôt que correctifs ponctuels
  • Exercice 5 : Simulation Secure Dark Factory — run complet avec Semgrep, npm audit et Gitleaks

Méthode

Hands-on toute la journée : la fonctionnalité de connexion de l’Exercice 1 est construite sans guardrails, sécurisée étape par étape, et conclue par une simulation Secure Dark Factory complète avec Semgrep, npm audit et Gitleaks.

Prérequis

  • Plusieurs années de développement logiciel professionnel
  • Expérience active avec au moins un assistant de codage IA (Claude Code, Cursor, GitHub Copilot ou équivalent)
  • Aucune connaissance préalable en sécurité requise — les bases sont abordées de manière pratique pendant le cours

FAQ

Quel outil dois-je apporter ? Aucun. Tous les exercices se déroulent dans GitHub Codespaces — vous avez uniquement besoin d’un navigateur et d’un compte GitHub. Semgrep, Gitleaks et npm audit sont préconfigurés.

Je n’ai aucune expérience en sécurité. Est-ce un problème ? Non. Les connaissances préalables en sécurité ne sont pas un prérequis — le cours construit les bases pertinentes de manière pratique. Ce qui est requis : de l’expérience en développement et l’utilisation active d’un assistant de codage IA.

Que se passe-t-il si le pilot n’atteint pas le nombre minimum de participants ? Le prix pilote de 200 CHF est intégralement remboursé si le cours ne peut pas avoir lieu. Vous serez notifié en temps utile.

Le cours est-il pertinent pour des projets greenfield ou des codebases legacy ? Les deux. Les patterns présentés — specs de sécurité, guardrails, gates automatisées — s’appliquent indépendamment de l’âge du projet. Dans les codebases legacy, le risque lié au code généré par IA de manière non contrôlée est souvent encore plus élevé.

Quand a lieu le cours régulier ? Le prix pilote s’applique exclusivement à la première session. Le cours régulier sera proposé à 1'200 CHF / personne ensuite. Inscrivez-vous sur la liste d’attente si vous manquez le pilot.

Verwandte Kurse

Spec Driven Design avec l'IA

Comment les développeurs seniors utilisent les assistants de codage IA de manière productive — sans hallucinations, régressions ni tests corrompus.