Les environnements Cloud et les cycles DevOps nécessitent un niveau d’automatisation élevé. La sécurité doit s’adapter à ces environnements en tendant vers le plus d’automatisation possible de ses activités. C’est ce qui permet de rester agile en préservant un niveau acceptable des risques. La Cloud Security Alliance (qui propose les certifications individuelles CCSK et CCAK pour les professionnels de la sécurité dans le Cloud et aussi l’attestation STAR pour les fournisseurs) coordonne un groupe de travail qui produit des guides très complets. Ces aspects font partie du programme du CISSP (bien qu’abordés de manière très généraliste) et des certifications CCSP et CCSLP.

Retrouvez une synthèse de présentation des certifications Cloud (ISO, ISAE 3402, FedRamb, GDPR, CyberAct, STAR, SecNumCloud, C5, ESCloud...)

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Le temps pour préparer la certification CISSP dépend bien entendu de l’expérience acquise en cybersécurité et du niveau de compétences en la matière. Comme le programme de l’examen est très « surfaçique », c’est-à-dire qu’il couvre tous les domaines de la cybersécurité sans les approfondir, il est rare qu’un professionnel de la sécurité, même chevronné, ne doive pas fournir un travail de révision conséquent, dans un des huit domaines (1, 2, 3, 4, 5, 6, 7 et 8) pour réussir l’examen. De nombreux livres de préparation sont disponibles, voici quelques exemples.

Le référentiel COBIT est proposé par l’ISACA. Il traite de la gouvernance et du management de l’IT en entreprise et fait partie du domaine EGIT (Entreprise Governance of Information & Technology). Les bénéfices d’une bonne gouvernance IT sont d’apporter une plus-value aux métiers en créant de la valeur, en optimisant la gestion des risques et des ressources. COBIT fait partie du corpus documentaire au programme du CISSP. Ce référentiel est abordé plus particulièrement dans le domaine 1 du programme du CISSP. Cet article propose une synthèse des concepts fondamentaux de ce référentiel. Même s’il n’est pas dédié à cela, COBIT peut aussi aider à mettre en place une gouvernance sécurité.

Préparer l’examen CISSP exige un travail soutenu. Le programme comporte 8 domaines (voir les résumés des contenus 1, 2, 3, 4, 5, 6, 7 et 8) qui aborde tous les aspects de la cybersécurité sans toutefois les approfondir. Le programme officiel proposé par l’ISC(2) cite de nombreuses références et ouvrages qui forment une partie de l’état de l’art. Un article précédent établit une liste des normes ISO dont il est recommandé d’avoir une idée du contenu. Voici une liste d’autres documents, dont beaucoup sont américains, importants à connaitre pour être certifié.A.

COBIT est un référentiel de gouvernance publié par l’ISACA pour aligner l’IT au métier. La dernière mise à jour de 2019 peut être mise à profit pour améliorer la gouvernance cyber. Le référentiel comprend quatre publications principales consacrées à une description méthodologique, aux objectifs de gouvernance et de management, à la mise en œuvre et à l’optimisation des solutions de gouvernance. Une publication particulière est dédiée à COBIT pour appliquer le référentiel cyber du NIST, de plus en plus utilisé aux Etats-Unis mais aussi en Europe.

La continuité des activités consiste à répondre aux scénarios de risques parmi les plus difficiles à traiter : ceux dont l’impact est très élevé, allant jusqu’à la survie de l’entreprise mais dont la probabilité d’occurrence est faible, voire très faible. Le programme de continuité doit trouver le compromis acceptable entre ne rien faire (et engager la survie de l’entreprise si le scénario survient) et en faire trop avec des coûts potentiellement très élevés pour un scénario qui ne se produira peut-être jamais…

Le principe « Zero Trust » (ZT) est un concept régulièrement évoqué en cybersécurité. Il a d'ailleurs été intégré à la dernière version du programme de la certification CISSP. Il s’agit de ne pas donner des droits d’accès à des utilisateurs ou à des équipements seulement sur des critères de localisation périmétrique (par exemple Internet ou réseau interne). Ce changement de paradigme est très lié au besoin des métiers d’accéder à des ressources depuis des équipements divers (tablettes, smartphones, ordinateurs portables voire objets connectés). C’est aussi la conséquence de l’utilisation massive du Cloud, public et privé. Le NIST américaine travaille beaucoup sur ces concepts. Google communique aussi régulièrement sur leur BeyondCorp. L’article ci-dessous propose une synthèse des travaux du groupe de travail publiant le document NIST 800-27 (Zero Trust Architecture).

Le CISSP est la certification individuelle généraliste la plus reconnue en cybersécurité. Lancée en 1994 par l’ISC(2), elle est souvent requise ou considérée comme un plus dans les offres d’emploi en France pour les postes de CISO, RSSI et de consultants en sécurité. L’examen est difficile car il aborde tous les domaines de la cybersécurité. Il ne s’agit pas de de démontrer une expertise dans un domaine spécifique mais plutôt de justifier des connaissances minimales dans tous les domaines. Première certification à avoir obtenu la conformité à l’ISO 17024 (qui définit les exigences de qualité pour les certifications de personnes), le programme est revu tous les trois ans pour s’adapter aux évolutions. PROSICA est un organisme de formation qui prépare efficacement depuis plusieurs années ses clients à l’examen. Les taux de réussite et de satisfaction sont élevés. Issus de cette expérience, voici quelques conseils pratiques pour préparer l’examen et établir son plan de révision.

La norme ISO 27004 fournit des bonnes pratiques pour évaluer le niveau d’efficacité de son SMSI (système de management de la sécurité d’information). Il s’agit d’une exigence pour être certifié ISO 27001 et HDS, issue de la clause 9.1 « surveillance, mesures, analyse et évaluation ». L’organisation doit déterminer ce qu’il est nécessaire de surveiller, les méthodes, la fréquence, les responsabilités et les conditions d’analyse et de traitement des résultats. Au-delà de la certification ISO 27001, il est fondamental de mesurer son niveau afin de prendre les décisions de pilotage adéquates et de justifier les ressources, en particulier financières allouées à la cyber sécurité. D’autres documents fournissent des recommandations intéressantes comme le NIST 800–55 (performance measurement guide for information security) et la norme ISO 15939 (processus de mesure pour l’ingénierie des systèmes et du logiciel).

La Cloud Security Alliance est une association pionnière dans le domaine de la sécurité du Cloud. Elle est à l’origine de la certification STAR pour les fournisseurs de solutions IaaS, PaaS et SaaS et de la certification CCSK pour les professionnels de la cyber sécurité. Elle est aussi fortement impliquée dans la certification CCSP. La nouvelle certification CCAK est destinée aux personnes qui veulent démontrer leur niveau d’expertise en termes d’audit de sécurité des solutions Cloud.

Plusieurs certifications individuelles permettent aux professionnels de la sécurité de démontrer leurs compétences et leur expérience dans le domaine du Cloud. Certaines sont spécifiques à un environnement, par exemple pour le Cloud public « AWS Certified Security Specialist » ou « Azure Security Engineer Associate ». Les certifications individuelles généralistes sur la sécurité du Cloud les plus reconnues sont le CCSP, proposée par l’ISC² et la Cloud Security Alliance) et la certification CCSK (Certificate of Cloud Security Knowledge) de la même CSA. Le CCSK est sans doute un bon début pour tout professionnel qui souhaite passer une certification en sécurité du Cloud.

La CIPP/E™ (Certification Information Privacy Professional / Europe) est une certification européenne proposé par l’IAPP. Cette certification atteste que les connaissances élémentaires du droit européen sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire est maitrisé. L’ouvrage « Determann’s Guide to Data Privacy Law, International Corporate Compliance » proposé par Lothar Determann constitue une excellente synthèse en matière de « Data Privacy Law ». C’est un bon point de départ pour bâtir la feuille de route du DPO. Ce livre, en anglais est une bonne préparation pour les examens de certification, aussi bien CIPP/E que CIPM. Les nouveautés du programme de l'examen du CIPP/E sont disponibles ici.

La démarche ISAE 3402 (International Standard on Assurance Engagements ) permet de gagner en confiance et en transparence dans la relation clients-fournisseurs. C’est une démarche reconnue internationalement qui bénéficie des initiatives américaines de l’AICPA et du support des associations internationales IAASB et IFAC. Ce standard est au programme des certifications individuelles de cybersécurité CISSP et sécurité du Cloud CCSP et CCSK. Cela rejoint les bonnes pratiques de sécurisation de la sous-traitance : voir la vidéo de présentation du SCRM et les bonnes pratiques pour mettre en place un programme C-SCRM.

Le dispositif de sécurité des activités d’importance vitale (SAIV) est piloté en France par le SGDSN. Ce dispositif comprend des aspects liés à la sûreté, la sécurité physique et la cybersécurité. L’objectif est d’associer pouvoirs publics et entités publiques et privées, sur le périmètre de leurs activités les plus critiques pour la nation. La liste des entités OIV n’est pas publique. Les critères de désignation sont fixés par les ministères coordonnateurs. Plus récemment, des obligations ont été imposées par la directive NIS et ses transpositions nationales aux Fournisseurs de Service Numérique.

FedRAMP (Federal Risk and Authorization Management Program) est une certification des services Cloud imposée par le gouvernement américain à ses agences publiques. L’approche poussée par les américains est le « do once, uses many times » en maintenant à jour une liste des fournisseurs qui détiennent déjà l’autorisation FedRamp. Il s’agit d’un exemple de conformité nationale, qu’on trouve en France par exemple pour les hébergeurs de données de santé ou le SecNumCloud de l’ANSSI.

La loi FISMA (Federal Information Security Management Act) est un exemple d’exigence légale de cybersécurité qui s’applique aux agences publiques américaines et à leurs fournisseurs notamment dans le domaine du Cloud. C’est une loi importante, citée à titre d’exemple dans le programme du CISSP et en particulier dans le domaine 1 « sécurité et gestion des risques ». Promulguée dans sa première version en 2002, la loi a été révisée en 2014. On retrouve cette loi dans les programmes de certifications individuelles consacrées au Cloud, que ce soit le CSSP ou le CSSK. Le référentiel principal pour la conformité FISMA est le NIST SP 800-53. D’autres exemples en France et en Europe sont proches de ce type de conformité : voir par exemple pour plus de détails la conférence «les tendances juridiques et réglementaires » à Bruxelles ou les obligations des fournisseurs de services numériques – FSN.

Préparer l’examen CISSP exige un travail soutenu. Le programme comporte 8 domaines (voir les résumés des contenus 1, 2, 3, 4, 5, 6, 7 et 8) qui aborde tous les aspects de la cybersécurité sans toutefois les approfondir. Le programme officiel proposé par l’ISC(2) cite de nombreuses références et ouvrages qui forment une partie de l’état de l’art. Cet article dresse une liste de quelques normes ISO, dont il est conseillé à minima de connaitre l’existence et un résumé du contenu avant de se présenter à l’examen. Ces références sont intégrées à la formation intensive proposée par PROSICA.

Le NIST américain publie un référentiel pour améliorer la gestion des risques liés au traitement de données personnelles. Le document suit la même trame que le NIST CSF, centré sur la cyber sécurité et qui rencontre beaucoup de succès, y compris en Europe. C’est un cadre flexible et très utile pour définir et mettre en œuvre d’une manière très pragmatique un programme « Data Privacy » orienté risques, adapté à ses exigences légales et à ses métiers. Il complète ainsi parfaitement d’autres cadres organisationnels comme l’ISO 27701. Le DPO européen peut s’en inspirer pour étayer son traitement des risques dans le cadre de sa check-list de conformité au Règlement Général sur la Protection des données.

Christophe JOLIVET a coanimé à Bruxelles une présentation lors d'un conférence PECB sur les tendances juridiques et réglementaires dans le domaine de la cybersécurité. Directive NIS, Cyber Act, activités d'importances vitales, opérateurs de services essentiels, mécanismes de certification font partie des sujets abordés.

Retrouvez la vidéo de la conférence.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :