Les certifications individuelles sont de plus en plus requises par les entreprises qui recrutent des professionnels de la cybersécurité. Si le CISSP reste la certification généraliste la plus connue, l’utilisation massive des offres de Cloud publics et privés rend incontournable le besoin d’expertise cyber spécialisée dans ce domaine. Parmi les certifications proposées par les fournisseurs américains de solutions de Cloud publics, citons AWS Certified Security, AZ 500 de Microsoft et Professional Cloud Security Engineer de Google. Deux certifications « agnostiques » de sécurité du Cloud de détachent : le CCSK et le CCSP. Notons enfin la certification orientée audit du Cloud CCAK.  

Certification CCSK

Créée en 2010 par l’association Cloud Security Alliance, le programme de cette certification est fondé sur trois documents : bonnes pratiques éditées et régulièrement mis à jour par l’association, le guide d’analyse des risques de l’agence européenne ENISA et la CCM . L’examen se passe en ligne. Il consiste en un QCM de 60 questions en 90 minutes. Le seuil de réussite est fixé à 80 %. Le CCSK Plus ajoute des exercices pratiques sur environnements AWS. La CSA annonce un taux de réussite lors du premier passage de l’examen de 62%. Le programme est articulé en 14 domaines traitant des aspects organisationnels (gouvernance, gestion des risques, conformité et réglementation, continuité des activités, réaction aux incidents), des aspects architectures (gestion des identités et des accès, urbanisation) et des éléments plus techniques (sécurité des infrastructures, virtualisation et containers, sécurité applicative, chiffrement).

Certification CCSP

Initiée en 2015 par l’ISC^(2), la certification CCSP est présentée comme un CISSP pour le cloud. Il s’agit d’aborder tous les concepts et mécanismes sans les approfondir. L’étendu des questions possibles rend l’examen assez difficile. Le programme comprend six domaines. Le premier aborde la conception des environnements : définitions, architectures de référence, coûts, fonctionnalités. Le deuxième se concentre sur les données : cycle de vie, types de stockage, chiffrement, gestion des clés, anonymisation et pseudo anonymisation, tokenisation, techniques émergentes (par exemple les algorithmes FHE - Full Homorphic Encryption ou les techniques de « confidential computing » reposant sur des clés gérées par le processeur), données à caractère personnel, rétention et archivage. Le troisième domaine détaille la sécurité des infrastructures : sécurité du data Center, réseaux, virtualisation, stockage, administration, mécanismes d’audit, redondance et DRP (disaster recovery plan). Le quatrième traite de la sécurité applicative : les API (REST, SOAP), OWASP, les tests (SAST, DAST), la chaine de sous-traitance, les cycles de développement, les méthodes de modélisation des menaces et les aspects IAM – Identity Access Management. Le cinquième domaine se concentre sur les opérations : gestion de la sécurité physique, installation et configuration des outils d’administration des plates-formes virtualisées (systèmes et réseaux), gestion des correctifs, durcissement des systèmes, gestion des logs, sécurisation des opérations d’administration et investigations numériques. Le dernier domaine aborde les aspects légaux, réglementaires et de la conformité : eDiscovery, ISO 27050, GDPR et équivalents américains et asiatiques, ISO 27018, attestations ISAE 3402, certifications STAR, gestion des contrats, ISO 27036.

Différences entre le CCSP et le CCSK

Voici quelques différences entre ces deux certifications qui peuvent aider à faire un choix pour les personnes qui souhaitent se concentrer sur une seule certification.

• Le CCSP reprend des domaines traditionnels de la sécurité (par exemple les protections physiques du data center) alors que le CCSK se concentre exclusivement sur la sécurité du Cloud.
• L’examen du CCSP est plus difficile. Il se déroule dans un centre agréé. L’examen du CCSK se passe en ligne.
• Le programme du CSSP est plus vaste que celui du CCSK. En revanche, le CCSK aborde les sujets de manière plus précise et adaptée aux architectures des fournisseurs de Cloud public, par exemple dans le traitement du SDN, de DevSecOps et des services Serverless.
• Pour conserver sa certification CCSP, il faut démontrer à l’ISC(2) que l’on continue de pratiquer et de se former en sécurité du Cloud au travers le système de CPE. Le CCSK au contraire est valable à vie. Il est seulement lié à la version de l’examen que l’on a passé, par exemple CCSK v4.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :