Certifications

Certifications sécurité et Cloud

La migration d’applications ou d’infrastructures dans le Cloud, qu’il soit public ou privé, nécessite d’intégrer le plus en amont possible la cybersécurité. La question des certifications se pose : certifications, qualifications ou homologations des systèmes d’information mais aussi montée en compétence des collaborateurs travaillant sur les différents projets. Ce domaine évolue rapidement, cet article propose une synthèse des principales certifications.

CIPP/E™ : certification pour la protection des données personnelles

La CIPP/E (Certification Information Privacy Professional / Europe) est une certification européenne proposé par l’IAPP. Cette certification permet de valider que les connaissances élémentaires du droit européen sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire est maitrisé. Les autres certifications proposées par l’IAPP se concentrent sur d’autres zones internationales (Asie, Canada, Etats-Unis). Cette certification est souvent requise pour les fonctions de DPO (Data Protection Officer) ou CPO (Chief Privacy Officer). Les autres certifications de l’IAPP sont orientées technologie (CIPT) et sur la mise en œuvre d’un programme de protection des données personnelles (CIPM). PROSICA, organisme de formation référencé Datadock et Qualiopi planifie régulièrement des sessions de formation de deux jours (modes présentiel et distanciel) pour se préparer au CIPP/E. 

Comment définir ses besoins en compétences cybersécurité ?

Le manque de ressources humaines en cybersécurité est une réalité qui se vérifie aux Etats-Unis comme en Europe. Le déséquilibre entre l’offre et la demande semble se creuser. La majorité des professionnels du secteur estiment ne pas disposer de suffisamment de ressources. Les raisons avancées sont le manque de personnes qualifiées et disponibles, des exigences mal comprises par la direction, des budgets insuffisants, la difficulté à retenir les personnes en place et l’absence d’informations sur les évolutions de carrière.

Face à ce constat, le CISO (Chief Information Security Officer) / RSSI (Responsable Sécurité Système d’Information) qui fait face à la nécessité d’étoffer ses équipes doit travailler sur plusieurs axes.

Corpus documentaire du CISSP

Préparer l’examen CISSP exige un travail soutenu. Le programme comporte 8 domaines (voir les résumés des contenus 1, 2, 3, 4, 5, 6, 7 et 8) qui aborde tous les aspects de la cybersécurité sans toutefois les approfondir. Le programme revu tous les trois ans par l’ISC(2) cite de nombreuses références et ouvrages qui forment une partie de l’état de l’art. Un article précédent établit une liste des normes ISO dont il est recommandé d’avoir une idée du contenu. Voici une liste d’autres documents, dont beaucoup sont américains, importants à connaitre pour être certifié.A.

Gouvernance de la cybersécurité

Le programme du CISSP en vigueur depuis le 1er mai 2021 aborde dans le domaine 1 plusieurs concepts fondamentaux qui font partie des basiques de la fonction du CISO (voir les 10 conseils pour bien démarrer dans cette fonction, parties 1 et 2). Il s’agit notamment des aspects gouvernance, conformité, régulation, documentation, gestion des sous-traitants et programmes de sensibilisation. La norme ISO 27014 fournit une série de bonnes pratiques pour mettre en place une gouvernance en cybersécurité. D’autres référentiels font partie du programme du CISSP comme COBIT, SABSA, la norme ISO 38500 (gouvernance IT), le NIST CSF, le référentiel CIS et COSO ERM et bien entendu la certification ISO 27001.

Le programme de la certification CCAK (Certificate of Cloud Auditing Knowledge)

La certification CCAK est destinée aux auditeurs des environnements Cloud publics et privés. Cette certification est proposée conjointement par l’ISACA et la CSA. L’ISACA est à l’origine du CISA, certification bien connue des auditeurs IT et du COBIT, référentiel de gouvernance IT qui peut aussi être utilisé pour la gouvernance de la cybersécurité et déployer le NIST CSF. La Cloud Security Alliance propose depuis plusieurs années la certification CCSK. La CSA est aussi à l’origine des certifications de fournisseurs Cloud STAR. Le programme du CCAK complète les compétences des auditeurs IT développés pour d’autres domaines comme le PCI-DSS QSA (Qualified Security Auditor) pour la sécurité de l’industrie des cartes de paiement, le FedRamp 3PAO Assessor pour les régulations Cloud américaines ou encore la certification européenne préparée dans le cadre de l’application de la régulation « Cyber Act ».

Le programme de la certification CCSP

La certification individuel CCSP de l’ISC(2) (Certified Cloud Security Professional) fournit l’assurance qu’un professionnel de la cybersécurité possède les connaissances, les compétences et les savoir-faire pour intervenir sur des projets et des environnements de Cloud privés et publics. Pour passer l’examen, il faut maîtriser les référentiels liés à plusieurs domaines : architecture, conception, opération et orchestration. La réglementation et la conformité sont aussi des éléments indispensables à connaître. Le programme de l’examen est revu tous les trois ans. Il est articulé en six domaines : architecture et conception, sécurité des données, sécurité des infrastructures, sécurité applicative, sécurité des opérations, conformité – risques et aspects légaux. Comme le CISSP, la certification CCSP est conforme aux exigences de l’ISO 17024. Pour être certifié il faut un minimum de cinq années d’expérience professionnelle dont trois ans en cybersécurité et un an dans au moins un domaine du programme. Les titulaires de la certification CCSK peuvent s’abstenir de justifier de cette expérience d’un des six domaines.

Le schéma de certification Cloud européen

L’agence européenne de la sécurité, ENISA a vu son rôle renforcé par le règlement européen « CyberSecurity Act ». Ce même règlement prévoit la mise en place d’une certification européenne. L’ENISA a initié un groupe de travail pour la mise en place de cette certification. De nombreuses initiatives, locales ou internationales existent déjà. Les certifications Cloud sont abordées aussi bien dans les programmes du CCSK, du CCSP que du CCAK. L’ENISA a abouti à une première version du schéma de certification : « European Union Cybersecurity Certification Scheme for Cloud Services » (EUCS). Cette initiative s’inspire naturellement de schémas nationaux comme SecnumCloud en France ou le catalogue C5en Allemagne. Deux directions sont jusqu’ici suivies par ces initiatives pour évaluer la sécurité des fournisseurs de Cloud. L’approche du monde ISO (ISO 27001, ISO 27017, ISO 27018…), par exemple en France pour la certification des hébergeurs de données de santé. L’approche des auditeurs internationaux, notamment avec les attestations ISAE 3402.

Mesurer la sécurité des fournisseurs Cloud avec STAR 3

Les certifications ont le vent en poupe aussi bien pour les personnes que pour les infrastructures ou les applications Cloud. Encouragées par les régulateurs, notamment au travers du règlement général de protection des données personnelles, l’objectif est de renforcer la confiance des clients sur le niveau de sécurité des fournisseurs. La CSA (Cloud Security Alliance) propose une version renforcée de sa certification STAR avec un système de vérification continue. L’idée est d’aller plus loin que les certifications ou attestations classiques (ISO 27001 ou ISAE 3402) en imposant un système de contrôle permanent comprenant des indicateurs de sécurité validés et transmis régulièrement aux auditeurs.

Sécurité des données personnelles : la norme ISO 27701

La norme ISO 27701 définit un cadre normatif pour la protection des données à caractère personnel. Elle apporte des compléments aux normes ISO 27001, pour les exigences et ISO 27002, pour les lignes directrices. Par ailleurs, la relation est faite en annexe avec d’autres référentiels normatifs ou légaux : ISO 29100 et ISO 29151, règlement général sur la protection des données (RGPD), ISO 27018 (voir premièreet deuxièmepartie)

Sécurité des environnements de conteneurs

Les conteneurs sont massivement utilisés par les équipes de développement. Extrêmement légers,  ils partagent le même noyau et démarrent très rapidement. Leur exécution demande peu de mémoire en comparaison avec le lancement d'un système d'exploitation. Docker est un des formats de conteneurs Open Source les plus rencontrés. La sécurité des environnements de conteneurs est au programme du CISSP en vigueur depuis le 1er mai 2021 mais aussi des certifications « sécurité du Cloud » comme le CSSP, le CCSK et le « petit nouveau » pour les auditeurs : le CCAK.