La migration d’applications ou d’infrastructures dans le Cloud, qu’il soit public ou privé, nécessite d’intégrer le plus en amont possible la cybersécurité. La question des certifications se pose : certifications, qualifications ou homologations des systèmes d’information mais aussi montée en compétence des collaborateurs travaillant sur les différents projets. Ce domaine évolue rapidement, cet article propose une synthèse des principales certifications.

La CIPP/E (Certification Information Privacy Professional / Europe) est une certification européenne proposé par l’IAPP. Cette certification permet de valider que les connaissances élémentaires du droit européen sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire est maitrisé. Les autres certifications proposées par l’IAPP se concentrent sur d’autres zones internationales (Asie, Canada, Etats-Unis). Cette certification est souvent requise pour les fonctions de DPO (Data Protection Officer) ou CPO (Chief Privacy Officer). Les autres certifications de l’IAPP sont orientées technologie (CIPT) et sur la mise en œuvre d’un programme de protection des données personnelles (CIPM). PROSICA, organisme de formation référencé Datadock et Qualiopi planifie régulièrement des sessions de formation de deux jours (modes présentiel et distanciel) pour se préparer au CIPP/E. 

Le manque de ressources humaines en cybersécurité est une réalité qui se vérifie aux Etats-Unis comme en Europe. Le déséquilibre entre l’offre et la demande semble se creuser. La majorité des professionnels du secteur estiment ne pas disposer de suffisamment de ressources. Les raisons avancées sont le manque de personnes qualifiées et disponibles, des exigences mal comprises par la direction, des budgets insuffisants, la difficulté à retenir les personnes en place et l’absence d’informations sur les évolutions de carrière.

Face à ce constat, le CISO (Chief Information Security Officer) / RSSI (Responsable Sécurité Système d’Information) qui fait face à la nécessité d’étoffer ses équipes doit travailler sur plusieurs axes.

Préparer l’examen CISSP exige un travail soutenu. Le programme comporte 8 domaines (voir les résumés des contenus 1, 2, 3, 4, 5, 6, 7 et 8) qui aborde tous les aspects de la cybersécurité sans toutefois les approfondir. Le programme officiel proposé par l’ISC(2) cite de nombreuses références et ouvrages qui forment une partie de l’état de l’art. Un article précédent établit une liste des normes ISO dont il est recommandé d’avoir une idée du contenu. Voici une liste d’autres documents, dont beaucoup sont américains, importants à connaitre pour être certifié.A.

Le programme du CISSP en vigueur depuis le 1er mai 2021 aborde dans le domaine 1 plusieurs concepts fondamentaux qui font partie des basiques de la fonction du CISO (voir les 10 conseils pour bien démarrer dans cette fonction, parties 1 et 2). Il s’agit notamment des aspects gouvernance, conformité, régulation, documentation, gestion des sous-traitants et programmes de sensibilisation. La norme ISO 27014 fournit une série de bonnes pratiques pour mettre en place une gouvernance en cybersécurité. D’autres référentiels font partie du programme du CISSP comme COBIT, SABSA, la norme ISO 38500 (gouvernance IT), le NIST CSF et le référentiel CIS.

La certification CCAK est destinée aux auditeurs des environnements Cloud publics et privés. Cette certification est proposée conjointement par l’ISACA et la CSA. L’ISACA est à l’origine du CISA, certification bien connue des auditeurs IT et du COBIT, référentiel de gouvernance IT qui peut aussi être utilisé pour la gouvernance de la cybersécurité et déployer le NIST CSF. La Cloud Security Alliance propose depuis plusieurs années la certification CCSK. La CSA est aussi à l’origine des certifications de fournisseurs Cloud STAR. Le programme du CCAK complète les compétences des auditeurs IT développés pour d’autres domaines comme le PCI-DSS QSA (Qualified Security Auditor) pour la sécurité de l’industrie des cartes de paiement, le FedRamp 3PAO Assessor pour les régulations Cloud américaines ou encore la certification européenne préparée dans le cadre de l’application de la régulation « Cyber Act ».

L’agence européenne de la sécurité, ENISA a vu son rôle renforcé par le règlement européen « Cyberact ». Ce même règlement prévoit la mise en place d’une certification européenne. L’ENISA a initié un groupe de travail pour la mise en place de cette certification. De nombreuses initiatives, locales ou internationales existent déjà. Les certifications Cloud sont abordées aussi bien dans les programmes du CCSK, du CCSP que du CCAK. L’ENISA a abouti à une première version du schéma de certification : « European Union Cybersecurity Certification Scheme for Cloud Services » (EUCS). Cette initiative s’inspire naturellement de schémas nationaux comme SecnumCloud en France ou le catalogue C5 en Allemagne. Deux directions sont jusqu’ici suivies par ces initiatives pour évaluer la sécurité des fournisseurs de Cloud. L’approche du monde ISO (ISO 27001, ISO 27017, ISO 27018…), par exemple en France pour la certification des hébergeurs de données de santé. L’approche des auditeurs internationaux, notamment avec les attestations ISAE 3402.

Les certifications ont le vent en poupe aussi bien pour les personnes que pour les infrastructures ou les applications Cloud. Encouragées par les régulateurs, notamment au travers du règlement général de protection des données personnelles, l’objectif est de renforcer la confiance des clients sur le niveau de sécurité des fournisseurs. La CSA (Cloud Security Alliance) propose une version renforcée de sa certification STAR avec un système de vérification continue. L’idée est d’aller plus loin que les certifications ou attestations classiques (ISO 27001 ou ISAE 3402) en imposant un système de contrôle permanent comprenant des indicateurs de sécurité validés et transmis régulièrement aux auditeurs.

La norme ISO 27701 définit un cadre normatif pour la protection des données à caractère personnel. Elle apporte des compléments aux normes ISO 27001, pour les exigences et ISO 27002, pour les lignes directrices. Par ailleurs, la relation est faite en annexe avec d’autres référentiels normatifs ou légaux : ISO 29100 et ISO 29151, règlement général sur la protection des données (RGPD), ISO 27018 (voir premièreet deuxièmepartie)

Les conteneurs sont massivement utilisés par les équipes de développement. Extrêmement légers,  ils partagent le même noyau et démarrent très rapidement. Leur exécution demande peu de mémoire en comparaison avec le lancement d'un système d'exploitation. Docker est un des formats de conteneurs Open Source les plus rencontrés. La sécurité des environnements de conteneurs est au programme du CISSP en vigueur depuis le 1er mai 2021 mais aussi des certifications « sécurité du Cloud » comme le CSSP, le CCSK et le « petit nouveau » pour les auditeurs : le CCAK.