audit

Le programme de la certification CCAK (Certificate of Cloud Auditing Knowledge)

La certification CCAK est destinée aux auditeurs des environnements Cloud publics et privés. Cette certification est proposée conjointement par l’ISACA et la CSA. L’ISACA est à l’origine du CISA, certification bien connue des auditeurs IT et du COBIT, référentiel de gouvernance IT qui peut aussi être utilisé pour la gouvernance de la cybersécurité et déployer le NIST CSF. La Cloud Security Alliance propose depuis plusieurs années la certification CCSK. La CSA est aussi à l’origine des certifications de fournisseurs Cloud STAR. Le programme du CCAK complète les compétences des auditeurs IT développés pour d’autres domaines comme le PCI-DSS QSA (Qualified Security Auditor) pour la sécurité de l’industrie des cartes de paiement, le FedRamp 3PAO Assessor pour les régulations Cloud américaines ou encore la certification européenne préparée dans le cadre de l’application de la régulation « Cyber Act ».

Le référentiel CAF

Le CAF (Cyber Assessment Framework) est produit par le Centre National de Cybersécurité anglais, une agence du gouvernement britannique, l’équivalent de l’ANSSI en France. Le CAF décrit une méthode pour évaluer la prise en compte des risques de cybersécurité pour les fonctions essentielles d’une entité. Cette évaluation peut prendre la forme d’une auto-évaluation ou d’un audit par une entité externe indépendante. L’évaluation comprend 4 objectifs et 14 principes spécifiant ce qui doit être réalisé. Le CAF inclut une collection d'indicateurs de bonnes pratiques (IGP) classés en en trois catégories (réalisé / non réalisé / partiellement réalisé). Pour qu’une exigence soit réalisée, il faut que toutes les règles soient en place. Inversement, il suffit qu’une règle ne soit pas en place pour que l’exigence soit indiquée comme « non-réalisée ».