La certification CCAK est destinée aux auditeurs des environnements Cloud publics et privés. Cette certification est proposée conjointement par l’ISACA et la CSA. L’ISACA est à l’origine du CISA, certification bien connue des auditeurs IT et du COBIT, référentiel de gouvernance IT qui peut aussi être utilisé pour la gouvernance de la cybersécurité et déployer le NIST CSF. La Cloud Security Alliance propose depuis plusieurs années la certification CCSK. La CSA est aussi à l’origine des certifications de fournisseurs Cloud STAR. Le programme du CCAK complète les compétences des auditeurs IT développés pour d’autres domaines comme le PCI-DSS QSA (Qualified Security Auditor) pour la sécurité de l’industrie des cartes de paiement, le FedRamp 3PAO Assessor pour les régulations Cloud américaines ou encore la certification européenne préparée dans le cadre de l’application de la régulation « Cyber Act ».

CCAK Study Guide

Le programme de la certification est centré sur les fondamentaux figurant dans la Cloud Control Matrix dont la CSA a publié récemment la version 4, et le questionnaire CAIQ. Le catalogue de mesures est utilisé pour les auto-évaluations et les audits indépendants menant à l’attestation STAR niveau 2.

La CSA et l’ISACA ont détaillé les connaissances nécessaires pour passer l’examen dans le document « CCAK Study Guide ».

Le programme

Les éléments à maitriser pour passer l’examen comprennent les aspects suivants :

• Gouvernance Cloud :
  • Référentiels (ISO 27017 par exemple).
  • Rôles et responsabilités entre le fournisseur et les clients.
  • Evaluation des risques et des exemples de méthodes : Ebios, FAIR.
  • Contrats et niveaux de services.
• Programme de conformité :
  • Lien avec les métiers
  • Aspects légaux et règlementaires.
  • Outils d’audit.
  • Sélection des mesures techniques et des processus (voir NIST 800-53r5 par exemple).
  • Choix des indicateurs.
  • Certifications et attestations, ISAE 3402, FedRamp par exemple.
  • CCM et CAIQ et les modalités de transition des versions v3.0.1 vers les versions v4.
• Analyse des menaces :
  • Sources de risques.
  • Impacts métiers.
  • Méthodes.
  • Arbres d’attaques.
• Audit
  • Caractéristiques et spécificités des audits Cloud.
  • Principes d’audit.
  • Audits internes et externes.
  • Standards d’audit.
  • Compétences des auditeurs.
  • Périmètre et planification.
  • Exécution (lettre de mission, constats, rédaction et présentation des rapports).
• Evaluation des programmes de conformité Cloud
  • Perspectives légales et règlementaires.
• Guides d’audit CCM
  • Périmètre.
  • Guide d’évaluation.
  • « Audit workbook».
• Audit des environnements DevOps
  • Pipeline CI/CD.
  • DevSecOps et automatisation des tests, environnement de virtualisations applicative (conteneurs).
• Programme STAR
  • Contenu et modalités d’évaluation.
  • Niveaux (1 à 3).

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :