Retrouvez une synthèse de présentation des certifications Cloud(ISO, ISAE 3402, FedRamb, GDPR, CyberAct, STAR, SecNumCloud, C5, ESCloud...)
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :
La migration d’applications ou d’infrastructures dans le Cloud, qu’il soit public ou privé, nécessite d’intégrer le plus en amont possible les aspects liés à sécurité. La question des certifications se pose : certifications, qualifications ou homologations des systèmes d’information mais aussi montée en compétence des collaborateurs travaillant sur les différents projets. Ce domaine évolue rapidement, cet article propose une synthèse des principales certifications.
Les services Cloud, décomposés suivant les modèles IaaS, PaaS et SaaS (Infrastructure, Platform and Software as a service) sont de plus en plus utilisés. L’informatique traditionnelle pour laquelle l’entreprise était propriétaire de toutes ses infrastructures et applications n’existe pratiquement plus. Elle a été remplacée par des environnements hybrides mêlant « core IT », Private IaaS, Public PaaS et applications SaaS.
Ces environnements se veulent agiles et automatisés afin de s’adapter aux besoins métiers.
Les certifications des fournisseurs Cloud sont requises par les clients dans le cadre de la phase de due diligence, préalable important à toute contractualisation. Ces mécanismes de certification sont encouragés par le RGPD. L’article 28 sur les sous-traitants stipule « L'application, par un sous-traitant, d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article ». Adopté en 2019, le règlement européen Cybersecurity Act prévoit la définition d’un cadre européen de certification de cybersécurité, en particulier dans le domaine du Cloud, au niveau substantiel. Le niveau élémentaire étant réservé pour les applications de type IoT - Internet des Objets et le niveau élevé pour les dispositifs médicaux ou les véhicules connectés. La certification américaine STAR est très répandue parmi les acteurs majeurs de Cloud public. Elle comprend trois niveaux et se base sur des mesures de sécurité standardisées par la Cloud Control Matrix (CCM). Ce standard est au programme des certifications individuelles CCSP et CCSK (Certified Cloud Security Professional et Certificate of Cloud Security Knowledge).
La Cloud Security Alliance est une association pionnière dans le domaine de la sécurité du Cloud. Elle est à l’origine de la certification STAR pour les fournisseurs de solutions IaaS, PaaS et SaaS et de la certification CCSK pour les professionnels de la cyber sécurité. Elle est aussi fortement impliquée dans la certification CCSP. La nouvelle certification CCAK est destinée aux personnes qui veulent démontrer leur niveau d’expertise en termes d’audit de sécurité des solutions Cloud.
La certification CCAK est destinée aux auditeurs des environnements Cloud publics et privés. Cette certification est proposée conjointement par l’ISACA et la CSA. L’ISACA est à l’origine du CISA, certification bien connue des auditeurs IT et du COBIT, référentiel de gouvernance IT qui peut aussi être utilisé pour la gouvernance de la cybersécurité et déployer le NIST CSF. La Cloud Security Alliance propose depuis plusieurs années la certification CCSK. La CSA est aussi à l’origine des certifications de fournisseurs Cloud STAR. Le programme du CCAK complète les compétences des auditeurs IT développés pour d’autres domaines comme le PCI-DSS QSA (Qualified Security Auditor) pour la sécurité de l’industrie des cartes de paiement, le FedRamp 3PAO Assessor pour les régulations Cloud américaines ou encore la certification Européenne préparée dans le cadre de l’application de la régulation « Cyber Act ».
Depuis une dizaine d’années, les réseaux SDN sont de plus en plus utilisés en particulier dans les datacenters des fournisseurs de Cloud mais aussi par les opérateurs sur leur WAN et au sein des infrastructures réseaux des grandes entreprises. Google par exemple a été à la pointe en connectant ses data centers avec des commutateurs et des contrôleurs mettant en œuvre le protocole OpenFlow. D’autres groupes ont aussi annoncé utiliser OpenFlow comme Amazon, Microsoft et AT&T. Le SDN est au programme de la certification CCSP depuis son lancement et a aussi été intégré plus récemment au nouveau programme du CISSP. Les réseaux SDN facilitent la gestion des réseaux en environnements Cloud en permettant automatisation, évolution rapide, redondance et segmentation virtuelle des clients en optimisant les coûts d’infrastructure.
La sécurisation des API (interfaces) constitue un challenge important pour les équipes de développement. Dans les environnements Cloud, par construction fortement automatisés, le manque de sécurité des API est considéré comme une des principales menaces. OWASP publie son « top ten » des dix vulnérabilités de développement des API les plus critiques. Ce référentiel facilite la prise en compte de la sécurité dans le cycle de développement.
Plusieurs certifications individuelles permettent aux professionnels de la sécurité de démontrer leurs compétences et leur expérience dans le domaine du Cloud. Certaines sont spécifiques à un environnement, par exemple pour le Cloud public « AWS Certified Security Specialist » ou « Azure Security Engineer Associate ». Les certifications individuelles généralistes sur la sécurité du Cloud les plus reconnues sont le CCSP, proposée par l’ISC2 et la Cloud Security Alliance) et la certification CCSK (Certificate of Cloud Security Knowledge) de la même CSA. Le CCSK est sans doute un bon début pour tout professionnel qui souhaite passer une certification en sécurité du Cloud.
Le principe « Zero Trust » (ZT) est un concept régulièrement évoqué en cybersécurité. Il a d'ailleurs été intégré à la dernière version du programme de la certification CISSP. Il s’agit de ne pas donner des droits d’accès à des utilisateurs ou à des équipements seulement sur des critères de localisation périmétrique (par exemple Internet ou réseau interne). Ce changement de paradigme est très lié au besoin des métiers d’accéder à des ressources depuis des équipements divers (tablettes, smartphones, ordinateurs portables voire objets connectés). C’est aussi la conséquence de l’utilisation massive du Cloud, public et privé. Le NIST américaine travaille beaucoup sur ces concepts. Google communique aussi régulièrement sur leur BeyondCorp. L’article ci-dessous propose une synthèse des travaux du groupe de travail publiant le document NIST 800-27 (Zero Trust Architecture).