L’utilisation des services de Cloud (IaaS, PaaS et SaaS) est en plein essor aussi bien dans les grands groupes que dans les petites organisations. Agilité, automatisation et efficacité amènent beaucoup de souplesse pour aligner l’informatique aux besoins des métiers. Les professionnels de la sécurité doivent s’adapter pour protéger ces environnements qu’ils soient publics ou privés. Deux grands axes de montée en compétence se dégagent. Le premier consiste à acquérir les concepts et réflexes clés : ce sont les objectifs des certifications CCSP et CCSK. La deuxième possibilité est de se concentrer sur une solution en passant les certifications proposées par les grands acteurs du marché en particulier américains (AWS, Microsoft Azure, Google). Cet article donne quelques conseils pour préparer et réussir les certifications CCSK et CSSP.

Certification CCSK

Créée en 2010 par l’association Cloud Security Alliance, cette certification propose un programme qui se fonde sur deux documents principaux : « Security guidance in Cloud Computing » édité et régulièrement mis à jour par l’association et le guide d’analyse des risques de l’agence européenne ENISA. Le premier document comprend environ 150 pages et présente d’une manière concrète les concepts et mécanismes qu’un professionnels de la sécurité doit maitriser pour être à l’aise dans ce type d’environnement. 14 domaines regroupent des aspects organisationnels (gouvernance, gestion des risques, conformité et réglementation, continuité des activités, réaction aux incidents), architectures (gestion des identités et des accès, urbanisation) et plus techniques (sécurité des infrastructures, virtualisation et containers, sécurité applicative, chiffrement). Le deuxième document analyse une vingtaine de risques applicables en environnements CLOUD. Une fois ces deux documents connus, l’examen est relativement aisé à réussir pour une personne qui possède de solides bases en sécurité. Il consiste en un QCM en ligne (60 questions en 90 minutes, seuil de réussite à 80 %). La CSA propose aussi le CCSK Plus avec des exercices de mise en pratique sur environnements AWS.

Certification CCSP

Lancée en 2015 par l’ISC^(2), le CCSP se présente comme le CISSP pour le cloud. Le principe est similaire au CISSP. Il s’agit d’aborder tous les concepts et mécanismes sans s’attacher à une solution ou un éditeur particulier. Si le niveau d’expertise requis dans chacun des domaines du programme reste assez surfacique, l’étendu des questions possibles rend l’examen plus difficile que celui du CCSK. Le programme comprend sixdomaines. Le premier aborde la conception (build) des environnements CLOUD : définitions, architectures de référence, coûts, fonctionnalités. Le deuxième se concentre sur les données : cycle de vie, types de stockage, chiffrement, gestion des clés, anonymisation et pseudo anonymisation, tokenisation, techniques émergentes (par exemple les aspects FHE - Full Homorphic Encryption), données à caractère personnel, rétention et archivage. Le troisième domaine détaille la sécurité des infrastructures : sécurité du data Center, réseaux, virtualisation, stockage, administration, mécanismes d’audit, redondance et DRP (disaster recovery plan). Le quatrième domaine traite de la sécurité applicative d’une manière très large : les API (REST, SOAP), OWASP, les tests (SAST, DAST), la supply-chain, les cycles de développement, les méthodes de modélisation des menaces et les aspects IAM, aussi bien organisationnels que techniques. Le domaine cinq se concentre sur le « RUN » : gestion de la sécurité physique, installation et configuration des outils d’administration des plates-formes virtualisées (systèmes et réseaux), la gestion des correctifs, le durcissement des systèmes, la gestion des logs, la sécurisation des opérations d’exploitation et d’administration et les investigations numériques. Le dernier domaine aborde les aspects légaux, réglementaires et de conformité : eDiscovery, ISO 27050, GDPR et équivalents américains et asiatiques, ISO 27018, attestations ISAE 3402, certifications STAR, gestion des contrats et des fournisseurs (ISO 27036). Les conseils et astuces pour réussir l’examen du CCSP sont similaires à ceux du CISSP.

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :