Les certifications individuelles CCSK et CCSP abordent les concepts fondamentaux de sécurisation du Cloud, avec des approches différentes. AWS fait partie avec Azure et OVH des Cloud publics les plus prisés pour les services IaaS (Infrastructure as a Service) et PaaS (Platform as a Service). Les bonnes pratiques de sécurisation des environnements AWS sont disponibles dans plusieurs référentiels. Chez le fournisseur, on peut commencer par le guide « AWS Security Best Practices » qui bien que disponible en version archivée reste un document de synthèse intéressant. Un guide de durcissement du CIS est aussi téléchargeable gratuitement. Notons à ce sujet, une série d’outils développés dans le langage de script d’AWS pour auditer et mettre en œuvre ces éléments de sécurisation. Enfin le SANS a publié un guide très complet (Cloud Security Practical Guide to Security in the AWS Cloud) écrit par 18 contributeurs et formateurs cyber.

La migration d’applications ou d’infrastructures dans le Cloud, qu’il soit public ou privé, nécessite d’intégrer le plus en amont possible les aspects liés à sécurité. La question des certifications se pose : certifications, qualifications ou homologations des systèmes d’information mais aussi montée en compétence des collaborateurs travaillant sur les différents projets. Ce domaine évolue rapidement, cet article propose une synthèse des principales certifications.

La loi FISMA (Federal Information Security Management Act) est un exemple d’exigence légale de cybersécurité qui s’applique aux agences publiques américaines et à leurs fournisseurs notamment dans le domaine du Cloud. C’est une loi importante, citée à titre d’exemple dans le programme du CISSP et en particulier dans le domaine 1 « sécurité et gestion des risques ». Promulguée dans sa première version en 2002, la loi a été révisée en 2014. On retrouve cette loi dans les programmes de certifications individuelles consacrées au Cloud, que ce soit le CSSP ou le CSSK. Le référentiel principal pour la conformité FISMA est le NIST SP 800-53. D’autres exemples en France et en Europe sont proches de ce type de conformité : voir par exemple pour plus de détails la conférence «les tendances juridiques et réglementaires » à Bruxelles ou les obligations des fournisseurs de services numériques – FSN.

En cybersécurité, les risques liés aux chaines de sous-traitance et d’approvisionnement ou C-SCRM (Cyber Supply Chain Risk Management) peuvent être difficiles à traiter. Le NIST publie des bonnes pratiques dans son référentiel NISTIR 8276 – « Key Practices in Cyber Supply Chain Risk Management ». Ces bonnes pratiques font partie des notions à connaitre dans le cadre des certifications CISSP et CCSP. Elles participent à renforcer la confiance clients-fournisseurs, concept présent depuis longtemps dans l’approche ISAE 3402.

La démarche ISAE 3402 (International Standard on Assurance Engagements ) permet de gagner en confiance et en transparence dans la relation clients-fournisseurs. C’est une démarche reconnue internationalement qui bénéficie des initiatives américaines de l’AICPA et du support des associations internationales IAASB et IFAC. Ce standard est au programme des certifications individuelles de cybersécurité CISSP et sécurité du Cloud CCSP et CCSK. Cela rjoint les bonnes pratiques de sécurisation de la sous-traitance : voir la vidéo de présentation du SCRM et les bonnes pratiques pour mettre en place un programme C-SCRM.

Les environnements Cloud et les cycles DevOps nécessitent un niveau d’automatisation élevé. La sécurité doit s’adapter à ces environnements en tendant vers le plus d’automatisation possible de ses activités. C’est ce qui permet de rester agile en préservant un niveau acceptable des risques. La Cloud Security Alliance (qui propose les certifications individuelles CCSK et CCAK pour les professionnels de la sécurité dans le Cloud et aussi l’attestation STAR pour les fournisseurs) coordonne un groupe de travail qui produit des guides très complets. Ces aspects font partie du programme du CISSP (bien qu’abordés de manière très généraliste) et des certifications CCSP et CCSLP.

Les certifications des fournisseurs Cloud sont requises par les clients dans le cadre de la phase de due diligence, préalable important à toute contractualisation. Ces mécanismes de certification sont encouragés par le RGPD. L’article 28 sur les sous-traitants stipule « L'application, par un sous-traitant, d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article ». Adopté en 2019, le règlement européen Cybersecurity Act prévoit la définition d’un cadre européen de certification de cybersécurité, en particulier dans le domaine du Cloud, au niveau substantiel. Le niveau élémentaire étant réservé pour les applications de type IoT - Internet des Objets et le niveau élevé pour les dispositifs médicaux ou les véhicules connectés. La certification américaine STAR est très répandue parmi les acteurs majeurs de Cloud public. Elle comprend trois niveaux et se base sur des mesures de sécurité standardisées par la Cloud Control Matrix (CCM). Ce standard est au programme des certifications individuelles CCSP et CCSK (Certified Cloud Security Professional et Certificate of Cloud Security Knowledge).

FedRAMP (Federal Risk and Authorization Management Program) est une certification des services Cloud imposée par le gouvernement américain à ses agences publiques. L’approche poussée par les américains est le « do once, uses many times » en maintenant à jour une liste des fournisseurs qui détiennent déjà l’autorisation FedRamp. Il s’agit d’un exemple de conformité nationale, qu’on trouve en France par exemple pour les hébergeurs de données de santé ou le SecNumCloud de l’ANSSI.

La Cloud Security Alliance est une association pionnière dans le domaine de la sécurité du Cloud. Elle est à l’origine de la certification STAR pour les fournisseurs de solutions IaaS, PaaS et SaaS et de la certification CCSK pour les professionnels de la cyber sécurité. Elle est aussi fortement impliquée dans la certification CCSP. La nouvelle certification CCAK est destinée aux personnes qui veulent démontrer leur niveau d’expertise en termes d’audit de sécurité des solutions Cloud.

Le référentiel cybersécurité du NIST américain (National Institute of Standards and Technology) est de plus en plus utilisé par les grands groupes, y compris européens. Conséquence de la loi de 2014 « Cybersecurity Enhancement Act », ce référentiel avait pour objectif initial de définir un socle de mesures de sécurité pour protéger les infrastructures vitales et l’économie américaines. Il s’est imposé comme standard international incontournable de la cybersécurité au même titre que les normes ISO 27000 ou le catalogue NIST 800-53 pour tous les domaines d’activités. Il est maintenant au programme des certifications individuelles en sécurité comme le CISSP, ou le CCSP par exemple.

 

Les certifications individuelles sont de plus en plus requises par les entreprises qui recrutent des professionnels de la cybersécurité. Si le CISSP reste la certification généraliste la plus connue, l’utilisation massive des offres de Cloud publics et privés rend incontournable le besoin d’expertise cyber spécialisée dans ce domaine. Parmi les certifications proposées par les fournisseurs américains de solutions de Cloud publics, citons AWS Certified Security, AZ 500 de Microsoft et Professional Cloud Security Engineer de Google. Deux certifications « agnostiques » de sécurité du Cloud de détachent : le CCSK et le CCSP. Notons enfin la certification orientée audit du Cloud CCAK.  

Le DLP (Data Loss Prevention ou Data Leakage Prevention) n’est pas nouveau en cybersécurité. Mise en œuvre en milieu bancaire depuis longtemps, cette protection s’est généralisée ces dernières années à d’autres secteurs en particulier du fait du développement des services Cloud. L’idée est de détecter et de prévenir les fuites de données sensibles. A l’origine de ces fuites, des erreurs humaines (par exemple l’envoi d’une pièce jointe non chiffrée ou le stockage dans le Cloud public de fichiers accessibles par tous) mais aussi des malveillances internes (par exemple un employé qui quitte sa société et copie sur une clé USB des fichiers clients). Le DLP est au programme du CISSP et du CCSP. Ces projets transverses nécessitent des outils efficaces et une organisation solide.

Depuis une dizaine d’années, les réseaux SDN sont de plus en plus utilisés en particulier dans les datacenters des fournisseurs de Cloud mais aussi par les opérateurs sur leur WAN et au sein des infrastructures réseaux des grandes entreprises. Google par exemple a été à la pointe en connectant ses data centers avec des commutateurs et des contrôleurs mettant en œuvre le protocole OpenFlow. D’autres groupes ont aussi annoncé utiliser OpenFlow comme Amazon, Microsoft et AT&T. Le SDN est au programme de la certification CCSP depuis son lancement et a aussi été intégré plus récemment au nouveau programme du CISSP. Les réseaux SDN facilitent la gestion des réseaux en environnements Cloud en permettant automatisation, évolution rapide, redondance et segmentation virtuelle des clients en optimisant les coûts d’infrastructure.

Les techniques de pseudonymisation sont massivement utilisées pour des raisons légales et de cybersécurité. Elles sont au programme des certifications CIPP/E, CCSK et CCSP. On en parle également durant la formation de préparation au CISSP.

Retrouvez notre vidéo de présentation.

La modélisation des menaces (Threat Modeling) est une activité fondamentale pour identifier et traiter les failles dès la conception avant la phase de développement d’un logiciel ou d’un système. Cette activité fait partie des connaissances requises par les programmes des certifications CISSP : domaine 8, CCSP et CCSK. Certaines méthodes se focalisent sur les menaces et les problèmes de sécurité alors que d’autres comprennent une évaluation des risques au travers leur impact et leur vraisemblance. L’idéal est de planifier cette activité le plus tôt possible dans le cycle de développement, dès que l’architecture est définie. La modélisation doit être mise à jour si nécessaire. Par exemple dans le cas de changement de classification des informations, de modification de l’architecture, de changement de mode d’authentification ou d’autorisation, de modification des exigences métier concernant les exigences de traçabilité ou encore de mise à jour des méthodes cryptographiques.

La plupart des groupes vivent au quotidien des transformations digitales structurantes. L’objectif est de développer le business avec des outils performants et sécurisés, de le faire vite, avec agilité et en maitrisant les coûts. Il faut créer de la valeur et la protéger. La sécurité doit évidemment accompagner cette transformation, sans la freiner mais avec des garanties que les risques sont traités et sous contrôle. On a de plus en plus besoin de professionnels de la sécurité qui participent activement aux phases de conception et de développement afin d’intégrer la sécurité de manière continue aux différents projets. Le travail des architectes sécurité est facilité si un cadre méthodologie est défini et adapté aux besoins et au contexte business de l’entité. Cet article examine comment utiliser le référentiel SABSA pour mettre en place ce cadre et faciliter le travail des architectes sécurité au sein des programmes de transformation (migrations vers des plateformes Cloud publics et privés, agilité dans les cycles de développement logiciel, initiatives « big data », test des technologies blockchain, utilisation des containers, développement d’API pour automatiser l’orchestration…).

Plusieurs certifications individuelles permettent aux professionnels de la sécurité de démontrer leurs compétences et leur expérience dans le domaine du Cloud. Certaines sont spécifiques à un environnement, par exemple pour le Cloud public « AWS Certified Security Specialist » ou « Azure Security Engineer Associate ». Les certifications individuelles généralistes sur la sécurité du Cloud les plus reconnues sont le CCSP, proposée par l’ISC2 et la Cloud Security Alliance) et la certification CCSK (Certificate of Cloud Security Knowledge) de la même CSA. Le CCSK est sans doute un bon début pour tout professionnel qui souhaite passer une certification en sécurité du Cloud.

L’utilisation des services de Cloud (IaaS, PaaS et SaaS) est en plein essor aussi bien dans les grands groupes que dans les petites organisations. Agilité, automatisation et efficacité amènent beaucoup de souplesse pour aligner l’informatique aux besoins des métiers. Les professionnels de la sécurité doivent s’adapter pour protéger ces environnements qu’ils soient publics ou privés. Deux grands axes de montée en compétence se dégagent. Le premier consiste à acquérir les concepts et réflexes clés : ce sont les objectifs des certifications CCSP et CCSK. La deuxième possibilité est de se concentrer sur une solution en passant les certifications proposées par les grands acteurs du marché en particulier américains (AWS, Microsoft Azure, Google). Cet article donne quelques conseils pour préparer et réussir les certifications CCSKet CSSP.