Les certifications individuelles CCSK et CCSP abordent les concepts fondamentaux de sécurisation du Cloud, avec des approches différentes. AWS fait partie avec Azure et OVH des Cloud publics les plus prisés pour les services IaaS (Infrastructure as a Service) et PaaS (Platform as a Service). Les bonnes pratiques de sécurisation des environnements AWS sont disponibles dans plusieurs référentiels. Chez le fournisseur, on peut commencer par le guide « AWS Security Best Practices » qui bien que disponible en version archivée reste un document de synthèse intéressant. Un guide de durcissement du CIS est aussi téléchargeable gratuitement. Notons à ce sujet, une série d’outils développés dans le langage de script d’AWS pour auditer et mettre en œuvre ces éléments de sécurisation. Enfin le SANS a publié un guide très complet (Cloud Security Practical Guide to Security in the AWS Cloud) écrit par 18 contributeurs et formateurs cyber.

La migration d’applications ou d’infrastructures dans le Cloud, qu’il soit public ou privé, nécessite d’intégrer le plus en amont possible les aspects liés à sécurité. La question des certifications se pose : certifications, qualifications ou homologations des systèmes d’information mais aussi montée en compétence des collaborateurs travaillant sur les différents projets. Ce domaine évolue rapidement, cet article propose une synthèse des principales certifications.

La loi FISMA (Federal Information Security Management Act) est un exemple d’exigence légale de cybersécurité qui s’applique aux agences publiques américaines et à leurs fournisseurs notamment dans le domaine du Cloud. C’est une loi importante, citée à titre d’exemple dans le programme du CISSP et en particulier dans le domaine 1 « sécurité et gestion des risques ». Promulguée dans sa première version en 2002, la loi a été révisée en 2014. On retrouve cette loi dans les programmes de certifications individuelles consacrées au Cloud, que ce soit le CSSP ou le CSSK. Le référentiel principal pour la conformité FISMA est le NIST SP 800-53. D’autres exemples en France et en Europe sont proches de ce type de conformité : voir par exemple pour plus de détails la conférence «les tendances juridiques et réglementaires » à Bruxelles ou les obligations des fournisseurs de services numériques – FSN.

La démarche ISAE 3402 (International Standard on Assurance Engagements ) permet de gagner en confiance et en transparence dans la relation clients-fournisseurs. C’est une démarche reconnue internationalement qui bénéficie des initiatives américaines de l’AICPA et du support des associations internationales IAASB et IFAC. Ce standard est au programme des certifications individuelles de cybersécurité CISSP et sécurité du Cloud CCSP et CCSK.

Les environnements Cloud et les cycles DevOps nécessitent un niveau d’automatisation élevé. La sécurité doit s’adapter à ces environnements en tendant vers le plus d’automatisation possible de ses activités. C’est ce qui permet de rester agile en préservant un niveau acceptable des risques. La Cloud Security Alliance (qui propose les certifications individuelles CCSK et CCAK pour les professionnels de la sécurité dans le Cloud et aussi l’attestation STAR pour les fournisseurs) coordonne un groupe de travail qui produit des guides très complets. Ces aspects font partie du programme du CISSP (bien qu’abordés de manière très généraliste) et des certifications CCSP et CCSLP.

FedRAMP (Federal Risk and Authorization Management Program) est une certification des services Cloud imposée par le gouvernement américain à ses agences publiques. L’approche poussée par les américains est le « do once, uses many times » en maintenant à jour une liste des fournisseurs qui détiennent déjà l’autorisation FedRamp. Il s’agit d’un exemple de conformité nationale, qu’on trouve en France par exemple pour les hébergeurs de données de santé ou le SecNumCloud de l’ANSSI.

La Cloud Security Alliance est une association pionnière dans le domaine de la sécurité du Cloud. Elle est à l’origine de la certification STAR pour les fournisseurs de solutions IaaS, PaaS et SaaS et de la certification CCSK pour les professionnels de la cyber sécurité. Elle est aussi fortement impliquée dans la certification CCSP. La nouvelle certification CCAK est destinée aux personnes qui veulent démontrer leur niveau d’expertise en termes d’audit de sécurité des solutions Cloud.

Le référentiel cybersécurité du NIST américain (National Institute of Standards and Technology) est de plus en plus utilisé par les grands groupes, y compris européens. Conséquence de la loi de 2014 « Cybersecurity Enhancement Act », ce référentiel avait pour objectif initial de définir un socle de mesures de sécurité pour protéger les infrastructures vitales et l’économie américaines. Il s’est imposé comme standard international incontournable de la cybersécurité au même titre que les normes ISO 27000 ou le catalogue NIST 800-53 pour tous les domaines d’activités. Il est maintenant au programme des certifications individuelles en sécurité comme le CISSP, ou le CCSP par exemple.

 

Les certifications individuelles sont de plus en plus requises par les entreprises qui recrutent des professionnels de la cybersécurité. Si le CISSP reste la certification généraliste la plus connue, l’utilisation massive des offres de Cloud publics et privés rend incontournable le besoin d’expertise cyber spécialisée dans ce domaine. Parmi les certifications proposées par les fournisseurs américains de solutions de Cloud publics, citons AWS Certified Security, AZ 500 de Microsoft et Professional Cloud Security Engineer de Google. Deux certifications « agnostiques » de sécurité du Cloud de détachent : le CCSK et le CCSP. Notons enfin la certification orientée audit du Cloud CCAK.  

La modélisation des menaces (Threat Modeling) est une activité fondamentale pour identifier et traiter les failles dès la conception avant la phase de développement d’un logiciel ou d’un système. Cette activité fait partie des connaissances requises par les programmes des certifications CISSP : domaine 8, CCSP et CCSK. Certaines méthodes se focalisent sur les menaces et les problèmes de sécurité alors que d’autres comprennent une évaluation des risques au travers leur impact et leur vraisemblance. L’idéal est de planifier cette activité le plus tôt possible dans le cycle de développement, dès que l’architecture est définie. La modélisation doit être mise à jour si nécessaire. Par exemple dans le cas de changement de classification des informations, de modification de l’architecture, de changement de mode d’authentification ou d’autorisation, de modification des exigences métier concernant les exigences de traçabilité ou encore de mise à jour des méthodes cryptographiques.

La plupart des groupes vivent au quotidien des transformations digitales structurantes. L’objectif est de développer le business avec des outils performants et sécurisés, de le faire vite, avec agilité et en maitrisant les coûts. Il faut créer de la valeur et la protéger. La sécurité doit évidemment accompagner cette transformation, sans la freiner mais avec des garanties que les risques sont traités et sous contrôle. On a de plus en plus besoin de professionnels de la sécurité qui participent activement aux phases de conception et de développement afin d’intégrer la sécurité de manière continue aux différents projets. Le travail des architectes sécurité est facilité si un cadre méthodologie est défini et adapté aux besoins et au contexte business de l’entité. Cet article examine comment utiliser le référentiel SABSA pour mettre en place ce cadre et faciliter le travail des architectes sécurité au sein des programmes de transformation (migrations vers des plateformes Cloud publics et privés, agilité dans les cycles de développement logiciel, initiatives « big data », test des technologies blockchain, utilisation des containers, développement d’API pour automatiser l’orchestration…).

Plusieurs certifications individuelles permettent aux professionnels de la sécurité de démontrer leurs compétences et leur expérience dans le domaine du Cloud. Certaines sont spécifiques à un environnement, par exemple pour le Cloud public « AWS Certified Security Specialist » ou « Azure Security Engineer Associate ». Les certifications individuelles généralistes sur la sécurité du Cloud les plus reconnues sont le CCSP, proposée par l’ISC2 et la Cloud Security Alliance) et la certification CCSK (Certificate of Cloud Security Knowledge) de la même CSA. Le CCSK est sans doute un bon début pour tout professionnel qui souhaite passer une certification en sécurité du Cloud.

L’utilisation des services de Cloud (IaaS, PaaS et SaaS) est en plein essor aussi bien dans les grands groupes que dans les petites organisations. Agilité, automatisation et efficacité amènent beaucoup de souplesse pour aligner l’informatique aux besoins des métiers. Les professionnels de la sécurité doivent s’adapter pour protéger ces environnements qu’ils soient publics ou privés. Deux grands axes de montée en compétence se dégagent. Le premier consiste à acquérir les concepts et réflexes clés : ce sont les objectifs des certifications CCSP et CCSK. La deuxième possibilité est de se concentrer sur une solution en passant les certifications proposées par les grands acteurs du marché en particulier américains (AWS, Microsoft Azure, Google). Cet article donne quelques conseils pour préparer et réussir les certifications CCSKet CSSP.