Le programme de la certification CCSP

La certification individuel CCSP de l’ISC(2) (Certified Cloud Security Professional) fournit l’assurance qu’un professionnel de la cybersécurité possède les connaissances, les compétences et les savoir-faire pour intervenir sur des projets et des environnements de Cloud privés et publics. Pour passer l’examen, il faut maîtriser les référentiels liés à plusieurs domaines : architecture, conception, opération et orchestration. La réglementation et la conformité sont aussi des éléments indispensables à connaître. Le programme de l’examen est revu tous les trois ans. Il est articulé en six domaines : architecture et conception, sécurité des données, sécurité des infrastructures, sécurité applicative, sécurité des opérations, conformité – risques et aspects légaux. Comme le CISSP, la certification CCSP est conforme aux exigences de l’ISO 17024. Pour être certifié il faut un minimum de cinq années d’expérience professionnelle dont trois ans en cybersécurité et un an dans au moins un domaine du programme. Les titulaires de la certification CCSK peuvent s’abstenir de justifier de cette expérience d’un des six domaines.

 

Architecture et conception

Ce domaine comprend 17 % des questions d’examen. Il englobe les éléments suivants :

  • Concepts et définitions du Cloud et des technologies associées (virtualisation, stockage, réseaux, base de données, orchestration).
  • Architectures de référence : catégories de services (SaaS, Paas, Iaas), modèles de déploiement (public, privé, hybride, communautaire), notions liées aux infrastructures partagées : interopérabilité, portabilité, réversibilité, données à caractère personnel, résilience, accord sur les niveaux de service, technologies connexes (intelligence artificielle, blockchain, containers).
  • Concepts de sécurité : cryptographie et gestion des clés, contrôle d’accès, suppression des données, sécurité des réseaux, virtualisation.
  • Principes de conception : cycle de la donnée, plan de continuité d’activité.
  • Évaluation des fournisseurs : ISO 27017, PCI DSS, FIPS 140-2 et son évolution FIPS 140-3.

Sécurité des données

Ce domaine comprend 19 % des questions d’examen sur les parties suivantes :

  • Concepts : les différentes phases du cycle de la donnée, les algorithmes de dispersion.
  • Les catégories de stockage.
  • Les stratégies de sécurisation de la donnée : chiffrement, hashing, anonymisation, pseudonymisation, DLP.
  • Découverte des données structurées et non structurées.
  •  Classification.
  • Mécanismes de protection IRM/DRM.
  •  Archivage.
  • Audibilité et traçabilité.

Sécurité des infrastructures

Ce domaine comprend 17 % des questions d’examen sur les connaissances suivantes :

  • Les composants : environnements physiques, réseaux, processeurs, virtualisation, stockage, administration.
  • Sécurité du Data Center : concepts de sécurité physiques et logiques, air conditionné, protections incendie.
  • Analyse et traitement des risques liés aux infrastructures.
  • Mise en œuvre des mesures de sécurité.
  • Plan de secours.

Sécurité des applications

Ce domaine comprend 17 % des questions d’examen sur les points suivants :

  • Les failles de développement.
  • La sécurité des cycles de développement, Secure SDLC, voir par exemple les référentiels SAFECode, BSIMM et SSDF.
  • La modélisation des menaces.
  • Les tests fonctionnels et de sécurité.
  • La sécurité des programmes tierces : API, Open Source, logiciels propriétaires.
  • Les mesures de sécurité applicative : WAF, Data Activity Monitoring, cryptographie dans les applications, sandboxing, virtualisation et orchestration.
  • Gestion des identités et des accès : fédération, SSO, MFA, CASB - Cloud Access Security Broker.

Sécurité des opérations

Ce domaine comprend 17 % des questions d’examen sur les aspects suivants :

  • Mise en œuvre logique et physique des infrastructures : TPM, contrôleurs réseaux, durcissement du BIOS des serveurs, outils d’installation et de configuration, exigences de sécurité des hyperviseurs.
  • Administration : KVM, RDP, VxLAN, SDN, durcissement des systèmes, haute disponibilité.
  • Sécurité des infrastructures : supervision des configurations, gestion de la capacité, sécurité réseau.
  • Sécurité des services selon les référentiels ITIL et ISO 20000 : gestion des changements, continuité, sécurité, incidents, problèmes, configuration, niveau de service, capacité.
  • Investigation numérique: techniques de Forensic, gestion des preuves.
  • Communication avec les parties prenantes : sous-traitants, clients, partenaires, régulateurs.
  • Gestion des services de sécurité : SOC, SIEM, réponse aux incidents.

Risques et conformité

Ce domaine comprend 13 % des questions d’examen sur les points suivants :

  • Risques et exigences légales : conflit entre les législations internationales, évaluation des risques légaux dans le Cloud, référentiels, eDiscovery, ISO 27050, exigences liées aux investigations numériques.
  • Réglementation liée aux données à caractère personnel : données de santé, lois nationales, différences entre les juridictions, ISO 27018 (voir 1 et 2), GAPP, RGPD, Cybersecurity Act.
  • Audits : internes et externes, ISAE 3402, SSAE, planification, SMSI ISO 27001, NERC/CIP.
  • Cloud et gestion du risque dans les entreprises : traitement du risque, référentiels, métriques et indicateurs, réglementations.
  • Contrats Cloud : exigences métiers (SLA, MSA, SOW), gestion des contrats, gestion de la chaîne de sous-traitance, ISO 27036.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Cloud, Certifications, CCSP, CCSK