Plusieurs certifications individuelles permettent aux professionnels de la sécurité de démontrer leurs compétences et leur expérience dans le domaine du Cloud. Certaines sont spécifiques à un environnement, par exemple pour le Cloud public « AWS Certified Security Specialist » ou « Azure Security Engineer Associate ». Les certifications individuelles généralistes sur la sécurité du Cloud les plus reconnues sont le CCSP, proposée par l’ISC² et la Cloud Security Alliance) et la certification CCSK (Certificate of Cloud Security Knowledge) de la même CSA. Le CCSK est sans doute un bon début pour tout professionnel qui souhaite passer une certification en sécurité du Cloud.

L’examen CCSK

La certification CCSK existe depuis 2011 et le programme est régulièrement mis à jour par la CSA. L’examen se déroule en ligne. Il consiste en un questionnaire à choix multiples de 60 questions en anglais que le candidat doit traiter en 90 min. Pour réussir, le test il faut atteindre un score minimum de 80%. Le CCSK Plus comprend des exercices complémentaires de type « lab » pour manipuler les concepts sur des environnements de test du Cloud Public.

Le programme

Les sujets abordés dans le programme couvrent les domaines suivants :

• Les fondamentaux du Cloud.
• La sécurité des données.
• La sécurité des infrastructures.
• La sécurité des applications et la gestion des identités.
• La gestion des risques.
• La sécurité des opérations.

Les documents qui constituent le socle des connaissances du programme de la certification sont les suivants :

• « Security Guidance for Critical Areas of Focus in Cloud Computing »

Il s’agit d’une très bonne synthèse d’environ 150 pages en anglais proposée par la Cloud Security Alliance sur la sécurité du Cloud. Les domaines abordés sont les concepts et les architectures, la gouvernance, les aspects légaux et contractuels, la gestion des audits, la continuité des activités, la sécurité des infrastructures, la virtualisation et la « containérisation », la réponse aux incidents, la sécurité des applications, la sécurité des données et le chiffrement, la gestion des identités et des accès, « security as a service » et les technologies émergentes. Une très bonne maitrise des sujets abordés dans le document est nécessaire pour réussir l’examen.

• “Cloud Computing Benefits, risks and recommendations for information security” de l’ENISA. Ce document d’une cinquantaine de pages présente une cartographie d’une vingtaine de risques pour les environnements Cloud publics et privés.
• CCM.

Ce standard présente une série de 133 mesures de sécurité applicables dans le Cloud. Il est utilisé en particulier pour les certifications STAR. Le document fait une correspondance avec d’autres référentiels comme les clauses ISO 27001 / 27002, le COBIT de l’ISACA, le PCI-DSS, le NIST 800-53, le Forum Jericho et NERC CIP. Des livres de préparation sont également disponibles, comme par exemple « All-In-One – CCSK – Exam Guide » qui comprend des questionnaires d’entrainement.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :