Accueil · Guides de révision · GH-SEC

Guide complet GH-SEC — GitHub (Microsoft)

GitHub Advanced Security · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

GitHub Advanced Security (GHAS) est la certification associate de GitHub/Microsoft dediee a la securite du code source. Elle s'adresse aux developpeurs, DevSecOps et security engineers maitrisant Git et CI/CD. Format QCM de 65 questions en 120 minutes, score requis 70%. Prerequis recommande : 6 mois d'experience GitHub Actions et notions OWASP. Debouches : DevSecOps Engineer, AppSec Specialist, Cloud Security Engineer. Couvre CodeQL, Secret Scanning, Dependabot et supply chain security.

Pourquoi passer la certification GH-SEC ?

En 2026, la securite de la chaine d'approvisionnement logicielle est devenue la priorite numero un des DSI apres les attaques SolarWinds, Log4Shell et XZ Utils. Les reglementations europeennes (Cyber Resilience Act, NIS2, DORA) imposent desormais des controles SAST, SCA et secret scanning sur tout code livre. GitHub Advanced Security domine ce marche avec plus de 100 millions de developpeurs et une integration native dans 90% des pipelines DevOps modernes. La certification GH-SEC valide une expertise rare et tres demandee : selon LinkedIn Talent Insights 2026, les offres mentionnant GHAS ont augmente de 240% en deux ans. Le ROI est immediat : un profil DevSecOps certifie GHAS gagne en moyenne 12 000 EUR de plus qu'un developpeur standard. Cette cert valorise enormement un CV car elle prouve une maitrise concrete de CodeQL (langage de requete unique sur le marche), une comprehension fine du supply chain risk et une capacite a operationnaliser le Shift-Left Security. Pour les ESN, consultants et freelances, c'est un differenciateur cle face aux concurrents non certifies, particulierement sur les missions banque/assurance/sante soumises a DORA.

Caractéristiques de l'examen

Format QCM et scenarios pratiques, 65 questions
Duree 120 minutes
Score requis 70%
Prix officiel 99 USD (environ 92 EUR)
Langues Anglais (Francais prevu fin 2026)
Validite 2 ans, renouvellement par recertification
Prerequis 6 mois pratique GitHub Actions et notions securite applicative recommandes

Programme détaillé par domaine

Domain 1 : Code Scanning avec CodeQL 30%

Objectifs
Maitriser l'activation, la configuration et l'exploitation de CodeQL pour detecter les vulnerabilites dans le code source. Comprendre le cycle d'analyse SAST, configurer les workflows GitHub Actions dedies, interpreter les alertes Security tab, gerer les faux positifs via dismissal et exclusions. Savoir personnaliser les query suites (security-extended, security-and-quality), creer des requetes CodeQL custom en QL language, integrer SARIF dans les pipelines tiers et automatiser le triage avec les rules autofix copilot.
Concepts clés
Static Application Security Testing (SAST), dataflow analysis, taint tracking, CodeQL database, query packs, SARIF format, severity levels (Critical/High/Medium/Low), CWE mapping, default vs advanced setup, matrix builds multi-langages (Java, JavaScript, Python, Go, C/C++, Ruby, Swift, Kotlin), pull request integration, branch protection rules avec required status checks, CodeQL CLI, autofix avec GitHub Copilot, alert dismissal workflow (false positive, won't fix, used in tests).
Services / outils
github/codeql-action workflows, codeql-cli, CodeQL VS Code extension, Security Overview dashboard, GHAS billing API.
Temps estimé
15h

Domain 2 : Secret Scanning et Push Protection 20%

Objectifs
Configurer et operer le secret scanning sur les repositories publics et prives. Activer push protection pour bloquer les commits contenant des secrets avant qu'ils n'atteignent l'historique Git. Gerer les alertes de secrets exposes, comprendre le processus de revocation et rotation, integrer des custom patterns d'entreprise. Savoir collaborer avec les partner providers (AWS, Azure, Google, Stripe, Slack) pour la revocation automatique.
Concepts clés
Partner program (150+ providers), generic secret detection, custom patterns avec regex et expressions secondaires, push protection bypass, delegated bypass, secret validity check (active/inactive), historical scanning vs real-time, alert states (open, revoked, false positive), non-provider patterns, AI-generated detection avec generic secrets AI model.
Services / outils
Secret scanning API, REST API alerts/secret-scanning, webhook secret_scanning_alert, push protection enforcement, audit log evenements.
Temps estimé
10h

Domain 3 : Dependabot et gestion des dependances 20%

Objectifs
Deployer Dependabot pour la detection (alerts), la mise a jour automatique (security updates, version updates) et la gestion des vulnerabilites des dependances. Configurer dependabot.yml avec strategies de versioning, grouped updates, schedules et ignore rules. Comprendre l'integration avec la GitHub Advisory Database et l'evaluation CVSS.
Concepts clés
Software Composition Analysis (SCA), dependency graph, GitHub Advisory Database (GHSA), CVE vs GHSA identifiers, CVSS v3.1 scoring, semantic versioning, lockfile-only updates, grouped pull requests, auto-merge avec Actions, reachability analysis, vulnerability disclosure via Security Advisories, private vulnerability reporting.
Services / outils
dependabot.yml, dependency-review-action, GitHub Advisory Database API, package ecosystems supportes (npm, pip, maven, nuget, cargo, gomod, bundler, composer, docker, terraform).
Temps estimé
10h

Domain 4 : Supply Chain Security et SBOM 15%

Objectifs
Securiser la chaine d'approvisionnement logicielle de bout en bout : generation de SBOM, signature des artefacts, attestations de build, controles SLSA. Implementer dependency review sur les PR, configurer artifact attestations pour les containers et binaries. Comprendre OpenSSF Scorecard et les niveaux SLSA 1 a 4.
Concepts clés
Software Bill of Materials (SBOM) format SPDX 2.3 et CycloneDX, SLSA framework (levels 1-4), Sigstore et cosign, in-toto attestations, provenance generation, artifact attestations GitHub, OpenSSF Scorecard, NTIA minimum elements, VEX (Vulnerability Exploitability eXchange), reproducible builds.
Services / outils
actions/attest-build-provenance, actions/dependency-review-action, /dependency-graph/sbom endpoint, sigstore/cosign, OIDC token pour keyless signing.
Temps estimé
8h

Domain 5 : Administration et Security Overview 15%

Objectifs
Administrer GHAS au niveau enterprise et organisation : licensing par committer actif, security policies, security campaigns, delegations de droits. Exploiter Security Overview pour piloter le risque a l'echelle, configurer security configurations centralisees et global settings. Mettre en place gouvernance, KPI MTTR et reporting executif.
Concepts clés
GHAS licensing (active committer model), security configurations, organization-level enablement, security managers role, custom repository roles, security campaigns avec deadline, risk view vs coverage view, audit log streaming vers SIEM, webhooks security events, Enterprise Cloud vs Server, integration Microsoft Defender for Cloud.
Services / outils
Security Overview dashboard, security configurations API, audit log API, REST API /enterprises/{enterprise}/code-security, integration Defender CSPM.
Temps estimé
7h

Plan de révision hebdomadaire

Planning recommande sur 6 semaines a raison de 8-10h par semaine. Semaine 1 : Fondations. Lire la documentation officielle GitHub Security (docs.github.com/code-security) en entier, creer un compte GitHub Enterprise trial 30 jours, activer GHAS sur un repo de test. Realiser le learning path Microsoft Learn 'GitHub Advanced Security'. Semaine 2 : CodeQL en profondeur. Suivre le CodeQL Bootcamp officiel, ecrire 10 requetes QL custom sur le repo vulnerable github/securitylab-bootcamps. Installer CodeQL CLI et VS Code extension, analyser un projet Java et JavaScript. Semaine 3 : Secret Scanning et Dependabot. Configurer push protection, creer 3 custom patterns regex, simuler des fuites de secrets. Configurer dependabot.yml avec grouped updates et auto-merge, traiter 20 alertes Dependabot reelles. Semaine 4 : Supply Chain. Generer des SBOM SPDX et CycloneDX, signer un container avec cosign keyless via OIDC, implementer SLSA level 3 sur un pipeline Actions. Realiser le lab OpenSSF Scorecard. Semaine 5 : Administration et examens blancs. Etudier Security Overview, configurer security configurations pour une organisation factice, faire 2 examens blancs MeasureUp ou Whizlabs. Identifier les domaines faibles et y consacrer 60% du temps restant. Semaine 6 : Revision finale. Refaire les flashcards Anki sur CWE Top 25, CVSS scoring, package ecosystems Dependabot. Faire 2 examens blancs supplementaires en conditions reelles (120 min chrono). Reviser le glossaire SARIF, SLSA, SBOM. Reposez-vous 24h avant l'examen et planifiez-le en debut de matinee.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle GitHub Security

Reference complete et a jour sur CodeQL, Secret Scanning, Dependabot, supply chain. Source numero 1 pour l'examen.

Microsoft Learn - GitHub Advanced Security

Parcours officiel gratuit avec modules interactifs, labs sandbox et examen blanc inclus.

CodeQL Bootcamp et CTF

Labs pratiques officiels GitHub Security Lab pour s'entrainer a ecrire des requetes CodeQL sur du code vulnerable reel.

Communaute GitHub Community Discussions

Forum officiel pour echanger avec d'autres candidats, ingenieurs GitHub et Microsoft MVPs.

5 erreurs classiques à éviter

  • Erreur 1 : Confondre code scanning (SAST/CodeQL) et secret scanning. Le code scanning analyse la logique vulnerable (injection, XSS), le secret scanning detecte des chaines de credentials. Bien differencier les workflows et alertes associes.
  • Erreur 2 : Negliger le langage QL et la syntaxe CodeQL. Plusieurs questions exigent de lire une requete QL et identifier son comportement (predicate, from-where-select, taint tracking). Pratiquer l'ecriture de requetes est indispensable.
  • Erreur 3 : Oublier les specificites du licensing GHAS base sur les active committers (90 jours glissants) et non sur le nombre de repos ou d'utilisateurs. Question piege classique sur la facturation enterprise.
  • Erreur 4 : Sous-estimer le domaine supply chain. SLSA levels, SBOM SPDX vs CycloneDX, artifact attestations et sigstore keyless signing tombent souvent. Ne pas confondre provenance et attestation.
  • Erreur 5 : Ignorer la difference entre default setup (CodeQL auto-configure) et advanced setup (workflow YAML personnalisable). Savoir quand utiliser l'un ou l'autre selon le contexte multi-langages ou monorepo.

5 questions types corrigées

Q1. Vous devez bloquer les commits contenant des cles AWS avant qu'ils n'atteignent le repo. Quelle fonctionnalite activer ?
Réponse : B
Push protection est la fonctionnalite qui intercepte les pushes contenant des secrets reconnus par les partner patterns (dont AWS) avant qu'ils n'entrent dans l'historique Git. Les alerts seules detectent apres coup. Dependabot concerne les dependances. CodeQL analyse le code applicatif mais ne bloque pas les credentials. Push protection peut etre bypassee avec justification (false positive, used in tests, will fix later) et chaque bypass est audite. C'est la seule reponse preventive et non reactive.
Q2. Quel format de fichier les outils tiers SAST doivent-ils produire pour integrer leurs alertes dans la Security tab GitHub ?
Réponse : C
SARIF (Static Analysis Results Interchange Format) version 2.1.0 est le standard OASIS adopte par GitHub pour ingerer les resultats de tout outil SAST tiers via l'action github/codeql-action/upload-sarif ou l'API code-scanning/sarifs. SPDX et CycloneDX sont des formats SBOM pour les dependances, pas pour les alertes SAST. JUnit XML est utilise pour les rapports de tests unitaires. Maitriser SARIF est crucial pour integrer Semgrep, Snyk, Checkmarx ou Veracode dans GitHub Advanced Security.
Q3. Quelle action GitHub permet de generer une attestation de provenance signee keyless pour un artefact de build ?
Réponse : B
actions/attest-build-provenance genere une attestation in-toto signee via Sigstore cosign en mode keyless avec un token OIDC GitHub Actions. Cela permet d'atteindre SLSA niveau 3 sans gerer de cles privees. Les attestations sont stockees dans le registre Sigstore (Rekor transparency log) et verifiables via gh attestation verify. Les autres actions ont des roles distincts : checkout clone le repo, dependency-review verifie les PR, codeql analyze fait du SAST. Cette fonctionnalite est centrale dans le domaine supply chain security.

Voir plus de questions gratuites →

Carrière & salaire après GH-SEC

En France et en Europe en 2026, un DevSecOps Engineer certifie GHAS percoit entre 55 000 et 75 000 EUR brut annuels en junior/confirme, et 80 000 a 110 000 EUR en senior, avec des pics a 130 000 EUR a Paris ou Londres. Les freelances facturent 650 a 950 EUR/jour. Les debouches principaux : DevSecOps Engineer, Application Security Engineer, Cloud Security Architect, GitHub Administrator, Platform Engineer securite. La cert ouvre des opportunites chez les ESN (Capgemini, Sopra, Accenture), les banques (BNP, SG, Credit Agricole) et les scale-ups SaaS. Certifications complementaires recommandees : Microsoft SC-100 (Cybersecurity Architect Expert), AZ-500 (Azure Security), CKS (Kubernetes Security), et HashiCorp Vault Associate pour completer le profil supply chain et zero-trust.

Détail des salaires GH-SEC en 2026 →

FAQ — GH-SEC

Combien de temps faut-il pour preparer GH-SEC ?

Comptez 50 a 70 heures sur 6 semaines si vous avez deja une experience GitHub Actions. Doubler pour un debutant sans pratique CI/CD prealable.

Cette certification est-elle reconnue en France ?

Oui, GHAS est de plus en plus exigee dans les offres DevSecOps grands comptes (CAC40, banques DORA) et reconnue par tout l'ecosysteme Microsoft/Azure et open source.

Quel est le taux de reussite a GH-SEC ?

Environ 65% au premier essai selon les statistiques communautaires non officielles. Les profils avec experience pratique CodeQL atteignent 80%.

Quel est le salaire apres GH-SEC ?

55 000 a 75 000 EUR pour un profil confirme en France, jusqu'a 110 000 EUR en senior. Premium de 10 000 a 15 000 EUR vs non certifie.

Faut-il une experience prealable ?

Recommande mais pas obligatoire : 6 mois minimum avec GitHub Actions et notions OWASP Top 10 facilitent grandement la preparation et la reussite.

GH-SEC ou cert concurrente : laquelle choisir ?

GH-SEC est unique sur le SAST CodeQL. Complementaire avec Snyk Certified (SCA), Microsoft SC-100 (architecture) et CKS (Kubernetes). Pas vraiment de concurrent direct sur ce perimetre.

Combien coute l'examen GH-SEC ?

99 USD soit environ 92 EUR via PSI/Pearson VUE. Examen passable en ligne avec proctoring ou en centre agree.

Combien de fois peut-on repasser GH-SEC ?

Delai de 24h apres premier echec, puis 14 jours entre tentatives. Maximum 4 tentatives sur 12 mois. Chaque tentative est facturee separement au tarif plein.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc GH-SEC → Test d'orientation