Le certification CCAK (Certificate of Cloud Auditing Knowledge)

La Cloud Security Alliance est une association pionnière dans le domaine de la sécurité du Cloud. Elle est à l’origine de la certification STAR pour les fournisseurs de solutions IaaS, PaaS et SaaS et de la certification CCSK pour les professionnels de la cyber sécurité. Elle est aussi fortement impliquée dans la certification CCSP. La nouvelle certification CCAK est destinée aux personnes qui veulent démontrer leur niveau d’expertise en termes d’audit de sécurité des solutions Cloud.

Le contexte

La CSA a fait le constat que si les principes fondamentaux d’audit sont équivalents pour les solutions « on-premise » ou dans le Cloud, en revanche la conduite de ces audits diffère de manière significative. En particulier, le niveau d’automatisation élevée, la mutualisation des ressources et les modèles de partage de responsabilités entre le client et son fournisseur ont considérablement modifié les conditions d’audit. La CSA a par conséquent jugé pertinent le développement d’une nouvelle certification centrée sur les audits Cloud. Elle complète les certifications traditionnelles comme par exemple le très reconnu CISA. La certification CCAK est destinée aussi bien aux auditeurs et évaluateurs externes (par exemple dans la cadre des attestions STAR) qu’aux auditeurs internes des clients et des fournisseurs. Les consultants sécurité pourront également viser cette certification avant d’améliorer la valeur ajoutée de leurs missions de conseil et faire la démonstration de leur niveau d’expertise.

 

Le programme de la certification

Le programme des connaissances minimales à avoir pour se présenter à l’examen est centré sur les fondamentaux figurant dans la Cloud Control Matrix et le question CAIQ. Ce catalogue de mesures de sécurité est régulièrement revu et mis à jour. Il est utilisé en particulier pour les auto-évaluations et les audits indépendants menant à l’attestation STAR niveau 2.

Le catalogue CCM couvre les 16 domaines suivants :

  • Sécurité des applications et des interfaces.
  • Conformité et audit.
  • Continuité des activités et résilience.
  • Gestion des changements et des configurations.
  • Cycle de vie et sécurité de la donnée.
  • Sécurité du data Center.
  • Chiffrement et gestion des clés.
  • Gouvernance et gestion des risques.
  • Ressources humaines.
  • Gestion des identités et des accès.
  • Virtualisation et sécurité des infrastructures.
  • Portabilité et interopérabilité.
  • Sécurité de la mobilité.
  • Gestion des incidents et des investigations numériques.
  • Gestion des sous-traitants.
  • Gestion de la mobilité.

Retrouvez nos sessions de formations en présentiel ou à distance. Des sessions intra sont possibles en France ou à l’étranger, à partir de 4 collaborateurs, en français ou en anglais. Notre catalogue de formation est téléchargeable ici.

 

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Cloud, CCSP, CCSK, CCAK