Les certifications professionnelles de sécurité

Les entreprises françaises devraient mieux connaître le marché des certifications professionnelles de sécurité. Bien-sûr, ces certifications ne sont pas la panacée et elles sont majoritairement américaines. Elles ne prétendent pas remplacer l’expérience, mais elles permettent en quelque sorte de l’évaluer grâce au passage d’un examen et à la revue de l’histoire professionnelle du candidat. Théoriquement.
Les ressources humaines et les opérationnels qui embauchent leurs consultants sécurité ne peuvent pas les ignorer. Même si elles ont des inconvénients (rien n’est parfait dans ce bas monde), elles ont un intérêt certain qu’il vaut mieux prendre en considération pour simplifier la sélection des candidats.
Nous regarderons certaines objections courantes, avant de répondre aux questions les plus fréquentes : pourquoi se certifier (le consultant) ? Pourquoi rechercher un personnel certifié ? Quelles sont les certifications sécurité et que certifient-elles exactement ? Pourquoi ne pas mettre en place une certification sécurité interne ou 100% française ?

Revenons rapidement sur les quelques inconvénients des certifications sécurité :
– Elles peuvent être très onéreuses (SANS GIAC)
– Elles sont liées à des éditeurs et doivent être renouvelées à chaque changement de version
– Elles reposent sur des quiz pour la plupart, sans aspect pratique
– Elles reposent sur du bachotage
– Le contenu est parfois obsolète
– Elles se focalisent trop sur la théorie
– Elles donnent de la valeur au profil d’un employé qui quittera l’entreprise pour mieux se vendre ailleurs

1. Elles sont parfois onéreuses

La plupart des certifications de sécurité sont délivrées à un prix raisonnable pour les consultants déjà en poste. Acheter un ou deux livres pour se préparer, un jeu de questions de test, l’inscription à une certification, sont largement à la portée de toutes les bourses. Pour les chômeurs c’est une autre affaire, mais il leur est toujours possible de choisir une certification plus abordable.
Toutes les sociétés, à commencer par les sociétés de service, devraient faciliter la certification de leurs consultants et prendre en charge a minima les frais cités précédemment. On reviendra sur les raisons.
Quand on examine le prix d’un certification, le consultant doit pouvoir trouver un juste équilibre entre le coût et le bénéfice escompté. Si c’est d’enrichir son profil pour trouver une meilleure mission ou un employeur qui rémunère mieux, la liste des certifications ayant un bon ratio coût/bénéfice est courte.
Parmi les certifications les plus onéreuses, SANS GIAC vient largement en tête, suivie par CEH (Certified Ethical Hacking) de EC-Council.

2. Elles sont liées à des éditeurs et doivent être renouvelées à chaque changement de version

Les certifications de sécurité de qualité se veulent indépendantes des constructeurs et des éditeurs. Cependant, pour des postes d’ingénieurs réseau et télécom, les certifications professionnelles sont importantes pour démontrer la maîtrise d’équipements, Cisco et Microsoft en tête. Chez Cisco les connaissances théoriques côtoient avantageusement le savoir-faire, avec depuis les dernières années une partie de l’examen testée en laboratoire sur des scénarios. Si on veut démontrer que l’on possède les connaissances pratiques fondamentales (configurer un réseau avec des équipements spécifiques), ces certifications sont un Must.

3. Elles reposent sur des quiz 

Oui, toutes les certifications de sécurité reposent sur des quiz. Est-ce grave ?
Revenons aux raisons pédagogiques et économiques de ces certifications. Leur but est de délivrer une certification dans le monde entier avec un certain niveau d’assurance variable, à un coût modéré, avec une gestion maîtrisée, en bénéficiant d’une correction objective qui ne repose pas sur le jugement personnel des correcteurs (vous vous souvenez de vos jeunes années universitaires ?). Pour toutes ces raisons, il faut passer par des questions de type quiz, tout en ayant en tête leurs limites qui poussent à favoriser les questions à choix multiples aux questions à choix simples.
C’est la raison pour laquelle les organismes américains en sont venus à créer d’abord des questions « cognitives », dont la tournure est suffisamment tordue, les réponses proposées volontairement imparfaites, créant des tensions fréquentes chez le candidat qui, à la fin de l’examen, ne peut jamais être sûr d’avoir réussi l’examen (les candidats au CISSP savent de quoi je parle). L’autre tendance actuelle est de remplacer une partie de plus en plus importante des Quiz traditionnels par des questions s’appuyant sur un scénario pratique.
Mais d’autres types de questions sont possibles et seront progressivement incorporées dans les examens.
Certaines certifications de sécurité (CASP de Comptia) inclut des questions pratiques démontrant la capacité à configurer et manipuler des outils Open Source utilisables en sécurité (Wireshark, Snort, etc.). Cela relève considérablement la qualité des certifications.
Personne n’oserait nier que le business des certifications est un business juteux et donc très concurrentiel. Mais cela n’est pas une objection valable sur le bénéfice des certifications. C’est juste un point d’attention et un facteur inhibiteur d’un trop grand enthousiasme.

4. Elles reposent sur du bachotage

Alors, là il faudra s’entendre sur ce que l’on entend par « bachotage », car il me vient en tête tout de suite l’examen de sélection de première année de médecine, dont le but manifeste n’est pas la compétence, mais la capacité à posséder une mémoire extraordinaire et à maîtriser son stress.
En réalité, tout examen repose sur une partie de bachotage, car il faut maîtriser un grand nombre de connaissances théoriques. Apprendre par cœur fait partie de tout apprentissage. Il est sans doute prépondérant dans certains pays (en Asie par exemple), mais c’est un mal nécessaire. Il n’y a pas d’acquisition de connaissance sans mémorisation. Mémorisation de concepts clé, mémorisation de manipulations. C’est une objection qui se confond, à tort me semble-t-il, avec celle des modalités de livraison de l’examen : si les connaissances testées sont uniquement théoriques et que l’examen repose uniquement sur des questions à choix multiple, alors la valeur de l’examen se limite à la maîtrise de contenu théorique. Si l’objectif de l’examen est clairement défini comme l’acquisition d’une culture sécurité, alors c’est acceptable.

5. Leur contenu est vite obsolète

Cela est vrai surtout pour les examens de certification constructeur ou éditeur, compte tenu de la vitesse d’apparition de nouvelles versions. Constructeurs et éditeurs ont sûrement vu là un business juteux. La parade vient uniquement des managers et des recruteurs qui doivent limiter leur ambition. Un consultant qui a de bonnes compétences dans une version, pourra acquérir très facilement les nouvelles compétences manquantes, et ce en cours de mission.
Plus que le contenu, il y a toujours le risque que le certifié se repose sur ses lauriers et ne mette pas à jour ses connaissances. Les organismes de certification sérieux mettent en place un système de CPE (Continuing Professional Education) obligeant la personne certifiée à rester actif, en dehors de sa mission professionnelle, pour mettre régulièrement à jour ses connaissances. D’ailleurs, les organismes certificateurs y ont vu une nouvelle manne en organisant des événements payants qui permettent d’obtenir ces fameux CPE. Cependant, les organismes sérieux mettront à disposition une multitude de manières différentes de gagner des CPE : webinars, lecture de livres, articles de blog, reconnaissance d’autres certifications de sécurité, etc. Et ils exigeront un minimum de CPE chaque année pour ne pas voir un certifié actif uniquement la dernière année du cycle de certification, qui est généralement de 3 ans. Ici, ISC2 ou ISACA donnent souvent le ton.
La politique d’obtention des CPE démontre le sérieux de l’organisme certificateur. Par exemple, un organisme délivrant un CPE pour avoir eu un livre avec comme seule preuve la facture d’achat, ne démontre pas son sérieux. D’autres organismes n’acceptent que des revues de lecture publiées dans des magazines reconnus.

6. Elles se focalisent trop sur la théorie

Cela dépend de la certification. Mon expérience me dit que d’avoir une équipe de consultants maîtrisant les principaux concepts de sécurité et partageant un même vocabulaire est déjà beaucoup et … rare. Un diplôme d’université/d’école avec une spécialisation en sécurité ne garantit pas du tout d’acquérir correctement ces fondamentaux. Sauf si le programme de cours s’aligne au moins partiellement sur les certifications de sécurité. Les universités qui possèdent un pôle de recherche dans la sécurité a des avantages certains, parce qu’elles seront plus exigeantes sur les définitions et le vocabulaire utilisé, mais également parce qu’elles posséderont, en leur sein, des chercheurs qui travaillent sur les prochaines évolutions et les nouveaux paradigmes de la sécurité.
Le manque de contact de l’entreprise avec les chercheurs universitaires, et la proximité peu éthique entre responsable de sécurité et constructeurs/éditeurs (très anglo-saxon), est un sujet sur lequel je reviendrai. C’est tout bonnement incompréhensible. Les entreprises françaises ne peuvent pas dépendre des cabinets de consulting de type Gartner pour délivrer une vision fiable. Et les chercheurs doivent être exposés aux besoins des entreprises. C’est une relation gagnant-gagnant.

7. Elles donnent de la valeur au profil d’un employé qui quittera l’entreprise pour mieux se vendre ailleurs

Oui. Mais les entreprises se trompent de combat. Les managers, les ressources humaines, ne savent pas gérer les « talents ». Elles ne mettent pas en place de programmes sérieux de reconnaissance, et oublient que tous les employés, managers et consultants, sont de grands enfants qui ont besoin d’être reconnus. Une tape dans le dos, un remerciement, ne sont pas des preuves de reconnaissance : l’évolution de carrière, les primes, la mise au premier plan, sont des reconnaissances. Et lorsque les entreprises sont des entreprises clientes dont le cœur de métier n’est pas la sécurité, cette faiblesse est criante. L’expertise sécurité n’y est pas reconnue, la motivation des consultants est proche de zéro. Les plus ambitieux n’hésiteront pas à se vendre mieux ailleurs, mais ils pourront le faire avec ou sans certification. En revanche, leur offrir une certification, à défaut de les intégrer à un vrai programme de récompenses démontrant la reconnaissance de l’entreprise, et c’est retarder ce moment fatidique. Les entreprises préfèrent, et je l’ai entendu souvent, considérer par facilité et par incapacité à se remettre en question, que le turnover des employés est normal. Circulez, il n’y a rien à voir.
Les entreprises françaises ne savent pas non plus mettre en place un système d’évaluation des compétences qui soit objectif. Si ce sont des grandes entreprises, l’idée même de devoir passer par la validation des représentants du personnel, est une perspective peu réjouissante. Elles feront donc de la cosmétique, elles toucheront aux symboles plus qu’elles ne s’attaqueront à la réalité.
Le ratio coût d’une certification et bénéfice d’avoir des consultants qui démontrent que leurs connaissances sont à jour, par rapport à d’autres services, aux clients internes, aux concurrents, devrait inciter plutôt les entreprises à certifier davantage. Mais pas n’importe quelle certification. Il est de l’intérêt de toutes les entreprises d’intégrer les certifications sécurité à leur programme (quand elles en ont un !), après avoir défini leurs objectifs et élaboré une short-list des certifications sur la base de leur qualité intrinsèque et de l’intérêt de l’entreprise.

Pourquoi se certifier (le consultant) ?

Il y a trois raisons. La première, la plus importante à mes yeux, c’est de se lancer des défis réguliers en se confrontant à des certifications réputées difficiles. La deuxième, c’est de réactiver des connaissances qui se perdent dans les limbes de notre mémoire, car dans chacune de nos missions nous ne mobiliserons qu’une infime partie de ces connaissances. La troisième, c’est que nous ajouterons de la valeur dans notre profil. Mais il ne faut pas oublier que notre valeur dépend de la reconnaissance par les entreprises des certifications de sécurité qu’elles méconnaissent en général. Il ne s’agit pas pour le consultant de se mettre sur la pointe des pieds ou de se croire faire partie de l’élite, des tas de consultants non certifiés ont une réelle expertise, mais de se sentir un membre d’une communauté.
Les organismes américains mettent en avant des discours marketing qui ne fonctionnent que dans le monde anglo-saxon. Il serait plus avantageux que chaque entreprise mette en place ses propres objectifs de certification et des manières de mesurer les bénéfices pour elle-même.

Pourquoi rechercher un personnel certifié ?

Parce que une majorité des opérationnels n’ont soit pas la connaissance pour tester celle des candidats, soit pas le temps ou la possibilité matérielle d’intégrer des tests au processus de recrutement. Il est tellement plus facile de regarder sur le site de l’organisme certificateur si le numéro de certification correspond bien au candidat et s’il est toujours valide. En comprenant chacune des certifications que l’entreprise aura évalué, cela permet en un seul coup d’œil de vérifier le niveau minimum du candidat et de passer plus de temps sur autre chose, comme l’évaluation de la personnalité du candidat qui me paraît être le point le plus important … les connaissances s’acquièrent facilement, mais l’adéquation entre la personnalité du candidat, celle de son futur manager et l’alignement avec la culture d’entreprise, sont infiniment plus critiques car ce sont des éléments immuables.

Quelles sont les certifications sécurité et que certifient-elles exactement ?

Nous avons vu précédemment qu’il existe des certifications dépendantes des grands constructeurs d’équipements et éditeurs de solutions de sécurité. Puis il existe des organismes certificateurs indépendants.
Dans le premier cas, les connaissances testées sont généralement plus équilibrées, entre les concepts de base et la capacité à mettre en place la solution (CISCO, Checkpoint, Microsoft, etc.). Nous n’allons pas traiter de ces certifications ici.
Dans le second cas, le risque est d’avoir une certification de sécurité trop théorique. Mais la maîtrise de concepts de base et d’un vocabulaire commun est très important également. Dans cette catégorie, on distinguera les certificateurs d’une expérience en sécurité, et qui ne prévoit pas d’examen mais de sélection des candidats (exemple IISP).
Il est important de connaître les objectifs de chaque certification et de les évaluer objectivement. Puis de connaître leur réputation dans le monde anglo-saxon, à défaut de savoir avec précision pour la France.

Le seul référentiel existant décrivant ce qui est attendu par une certification de sécurité est américain. Il est produit par le département de la défense (DoD) dans la directive DoD 8570.01 (lien vers le cadre ici, dernière mise à jour de la politique ici). Il évalue les certifications par rapport à ses propres objectifs et en maintient une liste. Pour travailler pour le Département de la Défense américain, posséder une ou plusieurs de ces certifications sécurité, est un précieux sésame. De nombreux soldats bénéficient de bourses ou d’aide financière pour se former et se certifier en vue de leur retour à la vie civile.
Un cadre ISO existe ISO 27024:2012 « Exigences générales pour les organismes de certification procédant à la certification de personnes » (http://www.iso.org/iso/fr/home/store/catalogue_tc/catalogue_detail.htm?csnumber=52993), mais je n’ai rencontré que de manière très exceptionnelle des références à ce standard.
Les organismes accrédités par ce standard, répondant à ses diverses exigences (impartialité, ressources, sécurité du processus, etc.), sont nombreux. Voici la liste publiée par l’organisme d’accréditation américain ANSI :

ASIS International (0714) Sécurité Physique
Certified Protection Professional (CPP)
Physical Security Professional (PSP)
Professional Certified Investigator (PCI)

CISCO (0734) Sécurité des réseaux et des télécommunications
Cisco Certified Network Associate Security (CCNA Security)
Cisco Certified Network Professional Security (CCNP Security)
Cisco Cyber Security Specialist Program

CompTIA (0731)
CompTIA Advanced Security Practitioner (CASP)
CompTIA Security+ ce

Global Information Assurance Certification, GIAC (0727)
GIAC Certified Enterprise Defender (GCED)
GIAC Certified Forensic Examiner (GCFE)
GIAC Certified Forensics Analyst (GCFA)
GIAC Certified Incident Handler (GCIH)
GIAC Certified Intrusion Analyst (GCIA)
GIAC Global Industrial Cyber Security Professional (GICSP)
GIAC Mobile Device Security Analyst (GMOB)
GIAC Penetration Tester (GPEN)
GIAC Security Essentials Certified (GSEC)
GIAC Security Leadership Certification (GSLC)
GIAC Systems and Network Auditor (GSNA)

Information Systems Audit and Control Association, ISACA (0694)
Certified In Risk and Information Systems Control (CRISC)
Certified Information Security Manager (CISM)
Certified Information Systems Auditor (CISA)
CSX Cybersecurity Fundamentals (connaissances théoriques de base), Practictioner and Expert (savoir-faire testé sur un lab virtuel en ligne)

International Council of E-Commerce Consultants (0732)
Certified Ethical Hacker v 9 (plutôt théorique)

International Information System Security Certification Consortium, Inc. ISC2 (0668)
Certification and Accreditation Professional (CAP)
Certified Information Systems Security Professional (CISSP)
Certified Secure Software Lifecycle Professional (CSSLP)
Information Systems Security Architecture Professional (ISSAP)
Information Systems Security Engineering Professional (ISSEP)
Information Systems Security Management Professional (ISSMP)
Systems Security Certified Practitioner (SSCP)

Le cadre de la DoD identifie des rôles en regard desquels il fait correspondre les certifications :

– IAT (Information Assurance Technician), niveau 1 à 3
– IAM (Information Assurance management), niveau 1 à 3
– IASAE (Information Assurance System Architect and Engineer), niveau 1 à 3
– CNDSP (Computer Network Defense Security Provider) concerne les sociétés de service de sécurité accrédités par la DoD, dont le personnel devra, selon l’activité concernée, être certifié.

Ci-dessous la liste des certifications de sécurité reconnues par le DoD américain (2015)

Dans la catégorie des constructeurs/éditeurs, seule CISCO est accrédité avec sa certification CCNA Security (lien vers le PDF chez Cisco ici).

Le reste du tableau est couvert par quatre organismes de certification indépendants (vendor-neutrals) : CompTIA (Computing Technology Industry Association), ISC2 (Information Security Certification Consortium), ISACA (Information Systems Audit and Control Association), SANS GIAC (Global Information Assurance Certifications). Nous allons les présenter brièvement ici, avec leurs certifications.

  • CompTIA s’est fait connaître par des certifications informatiques de niveau débutant, sur des thématiques variées : l’architecture informatique (A+, Server+), les réseaux (Network+). Il maintient deux certifications indépendantes : Security + et CASP (Certified Advanced Security Professional) censée compléter la première.
    Security + certifie les connaissances théoriques pour un débutant (deux ans en moyenne d’expérience avec un peu de sécurité ou aucune expérience). L’examen couvre l’essentiel des connaissances de sécurité, calqué pour beaucoup sur les domaines du CISSP : sécurité des réseaux, conformité et sécurité opérationnelle, menaces et vulnérabilités, sécurité des données et des systèmes, contrôle d’accès, gestion des identités, cryptographie.
    L’examen dure 90 minutes pour 90 questions. Le score pour réussir est de 750. Le prix est de 311 USD. Il n’est pas nécessaire de suivre une formation pour l’obtenir, lire les livres de référence (de qualité variable) suffisent. La certification doit être maintenue en obtenant 50 CEU sur un cycle de 3 ans.
    Je conseille vivement à ceux qui entrent dans la profession de passer d’abord cet examen. Lire un livre de préparation à l’examen vous fait avancer d’un pas vers le CISSP et vous permet d’acquérir l’essentiel d’une culture générale de sécurité. Malgré l’apparente maigreur du contenu et sa faible renommée en France, c’est une bonne certification. Il y a eu un avant et un après cette certification. Bien-sûr, si vous avez fait un Master spécialisé en sécurité cette certification sera trop juste. Mais pour tous les autres, c’est un bon choix, relativement peu cher. Il ne sera même pas la peine de prévoir son maintien au-delà du cycle de 3 ans, parce que le candidat aura, espérons-le, assez d’expérience pour passer le CISSP.
    CASP est assez récente, mais elle vient concurrencer directement le CISSP en intégrant un aspect pratique intéressant. Le contenu théoriques est assez proche de Security+, mais avec un niveau de détail supérieur. Les thèmes abordés : sécurité de l’entreprise, gestion des risques et réponse aux incidents, recherche et analyse, intégration de l’informatique, des communications et du business, l’intégration des composants de l’entreprise.
    Il faut répondre à 80 questions en 65 minutes. Les questions sont des QCM classiques, des scénarios et des manipulations techniques (performance-based). Le prix est de 414 USD. Elle requiert curieusement 10 ans d’expérience en sécurité dont 5 ans d’expérience pratique.
    Tous les examens sont délivrés fort heureusement en CBT (Computer Based).
  • Le consortium ISC2 maintient un CBK (Common Body of Knowledge) qui est une excellente référence ne la matière. Il permet de se familiariser avec des concepts fondamentaux de la sécurité, parfois éloignés de la réalité française, mais qui permettent de démontrer une bonne compréhension générale.
    Le CISSP (Certified Information Systems Security Professional) est la référence en la matière, mais il fait face dernièrement à une concurrence acharnée qui ne peut que participer à l’améliorer. C’est la certification la plus reconnue, réputée assez difficile à obtenir, avec un grand nombre de professionnels certifiés participant à se renommée. Le contenu n’est le plus à jour, l’examen ne colle pas uniquement au CBK, et il teste des connaissances plus que des compétences : sécurité et gestion des risques, sécurité des actifs, ingénierie de sécurité, sécurité des communications et des réseaux, gestion des identités et des accès, évaluation et tests de sécurité, opérations de sécurité, développement logiciel sécurisé.
    Même si l’inclusion de questions scénarisées ajoute un peu de compétence à la connaissance théorique pure.
    Le CISSP est un point de départ pour d’autres certifications dites de « spécialisation » (concentration), la CISSP-ISSAP (Architecture fonctionnelle de sécurité) et CISSP-ISSMP (Management de la sécurité). Le contenu de la première est une partie du CBK du CISSP mais avec un niveau de détail plus grand. Je conseille d’étudier, dans le cadre du CISSP, certains domaines (comme le contrôle d’accès) à partir du livre de spécialisation en architecture pour comprendre vraiment le sujet. Certains sujets abordés dans le contenu de l’ISSMP (comme l’aspect pratique de l’élaboration d’une politique) ne le sont nulle part ailleurs et méritent le détour, ne serait-ce que pour un complément de lecture. La spécialisation d’ingénierie ISSEP est très intéressante, mais elle a une faible portée, car elle est un passage obligé pour les institutions fédérales américaines.
    Le prix de l’examen du CISSP est de 520 €. Il dure potentiellement 6 heures (un vrai marathon) qui, avec la taille du livre de référence de la regrettée Shon Harris d’un bon millier de pages, des questions cognitives parfois absconses, ont participé à la renommée et au succès de cette certification. C’est à mon avis d’un très bon ratio coût/effort/bénéfice. Sa renommée reste stable pour le moment. Mais les candidats ne doivent pas attendre d’être plus opérationnels en sécurité (cf. CASP ou Cisco CCNA Security, Cybersecurity), ils maîtriseront les concepts, la terminologie, à un niveau plus avancé que pour Security+.
    Comment s’y préparer ? En choisissant avec soin le prestataire, il peut être intéressant, mais loin d’être un passage obligé, de participer à une session de révision (et non de formation) au CISSP. Certains prestataires vont organiser une session de bachotage sans intérêt (des jeux de test blanc peuvent être commandés chez ISC2), d’autres vont orienter les sessions sur la révision des concepts les plus importants pour l’examen. Dans ce dernier cas uniquement, organisez une telle formation avec un prestataire, internalisée dans vos locaux pour que cela revienne moins cher, après que les futurs candidats aient parcouru un des livres de référence. L’alternative, c’est de demander à des experts qui viennent juste d’obtenir leur certification d’animer les seances de révision pour leurs collègues.
    D’autres certifications délivrées par ISC2 sont intéressantes : le SSCP (Security Systems Certified Professional) exige moins d’expérience, et possède une saveur plus opérationnelle (pour les personnes administrant des équipements de sécurité des réseaux par exemple, même si les certifications constructeurs seront dans ce cas privilégiées). A notre avis, cette certification pourrait disparaître, elle ne manquerait à personne. Il vaut mieux attendre de posséder les pré-requis pour le CISSP et s’en tenir, dans l’attente, à des certifications constructeur; CSSLP (Certified Secure Software Life-Cycle Professional) pour la sécurité intégrée aux projets de développement informatique (développeurs ou chefs de projet); CCSP (Certified Cloud Security Professional), est l’initiative commune de ISC2 avec le CSA (Cloud Security Alliance) qui délivrait auparavant sa propre certification sur la sécurité du Cloud; CCFP (Certified Cyber Forensics Professional) est peu répandue et marche clairement sur les platebandes de GIAC et EC-Council.
    Le coût des certifications ISC2 peuvent être trouvées ici.
  • ISACA : s’est fait connaître par son cadre pour l’audit du système d’information Cobit et sa première certification qui reste une référence en la matière CISA (Certified Information Systems Auditor). Celle-ci contient une part toujours plus importante sur la sécurité des systèmes d’information.
    Les certifications d’ISACA se font résolument sur papier et sont organisées dans des centres d’examen (grandes salles louées pour l’occasion) dans la plupart des grandes villes, sur trois dates par an (juin, septembre, décembre). L’obstination à l’organiser au format papier, me laisse toujours pantois.
    Le CISM (Certified Information Systems Security Manager) : cette certification est relativement bien reconnue par les entreprises françaises, qui la considèrent à tort équivalente au CISSP! Répétons-le : elles n’ont absolument rien à voir. Le CISSP reste infiniment plus technique et plus exigeante que le CISM. Tandis que le CISSP va donner d’excellentes bases pour n’importe quel ingénieur sécurité autant qu’à un manager plutôt opérationnel, le CISM convient davantage au RSSI d’une grande structure dont le profil est plus fonctionnel et métier que technique, où un simple vernis en sécurité des réseaux est suffisant. La difficulté des deux certifications n’est pas comparable, leur contenu ne devrait laisser aucune ambiguïté sur leur valeur respective.
    Le nouveau programme de Cybersécurité d’ISACA devrait faire entendre parler de lui. Comme souvent, ils sont très réactifs pour surfer sur les tendances du moment. Une première certification pour débutants (Cybersecurity Fundamentals Certificate) est uniquement théorique et sans aucune condition. Elle est en concurrence directe avec Security+ de CompTIA, SSCP de ISC2. Son référentiel est résumé dans un guide auto-porteur pour préparer la certification (55 USD/45 USD pour les membres), téléchargeable en 190 pages (glossaire compris).
    C’est de bonne facture, avec un focus très ISACA sur la description du job attendu, les rôles, les responsabilités. Un bon tour d’horizon, censé coller au cadre de Cybersécurité du NIST.
    Les plus expérimentés pourront tester l’examen pratique des niveaux suivants Practitioner et Expert.

Pourquoi ne pas mettre en place une certification sécurité interne ou 100% française ?

La Stratégie Nationale pour la Sécurité Numérique (ici) mentionne bien l’objectif 3 de « Sensibilisation, formations initiales, formations continues », mais elle fait porter tout l’effort de sensibilisation et de formation sur les écoles d’enseignement supérieur et les universités, en ignorant complètement les certifications professionnelles privées (toutes anglo-saxonnes, il est vrai). A mon avis c’est un déni de la réalité et une erreur stratégique. Le document aurait pu proposer une certification française, à défaut d’européenne, plutôt que de laisser le secteur aux acteurs uniquement américains (quelle que soit leur qualité).
Une certification française privée a toute sa place, avec des exigences de formation continue capitalisable et transférable entre plusieurs certifications. Pour nombre de points, le cadre fourni au Royaume-uni par ISSP (Institute of Information Security Professionals, https://www.iisp.org/) mérite de s’y attarder un peu et de s’en inspirer, et pourquoi pas l’importer directement, comme AXA a commencé à le faire en recommandant a minima à son personnel de sécurité d’être membre de l’IISP.

Un exemple de parcours type

CompTIA Security+ (<2 ans) pour obtenir des connaissances génériques. Premier pas vers le CISSP.

ISACA CRISC (4-5 ans d’expérience) pour obtenir une bonne culture de gestion des risques orienté business (pas la sécurité pour la sécurité). A l’époque ce n’était pas un examen très pratique, seulement quelques questions scénarisées. Pas bien difficile quand on a l’habitude de ce type d’examens cognitifs américains … ce que j’ai retenu : le vocabulaire, la sécurité au service du métier (pas l’inverse),, les rôles et les responsabilités (peu importe qu’on identifie des risques, si le senior management n’est pas derrière et que personne n’est « risk owner » rien ne se fera), le senior management doit soutenir le programme de sécurité, sinon celui-ci échouera (ça parait une évidence, mais je vous assure que ce n’est pas gagné même dans les grandes entreprises).

Ici, vous serez à la croisée des chemins : vous orienter vers l’audit (fonctionnel ? Technique ? Intrusions ?).

  • Vous voulez auditer un système d’information, sa sécurité ? Optez pour ISACA CISA (Certified Information Systems Auditor) la meilleure certification d’ISACA, son fer-de-lance, basé sur le référentiel Cobit.
  • Vous voulez devenir RSSI, côtoyer le métier, votre profil n’est pas très technique ? Optez pour le CISM (mais je lui prédis un avenir sombre, au bénéfice du CRISC).
    Vous voulez faire de l’audit technique ? Optez d’abord pour le CEH (Certified Ethical Hacking) qui enseignera la démarche théorique et vous donnera de bonnes bases de cybersécurité (attention, dans domaine où les menaces et les outils évoluent très vite, l’examen garde un temps de retard). Vous pouvez pour aller vers les certifications de l’OWASP (sécurité web), Offensive Security (toute sorte d’audit et tests d’intrusion) et vous apprendrez à utiliser la plateforme de tests d’intrusions Kali et l’examen sera pratique, et vous aurez à atteindre un niveau d’intrusion à distance minimum.
  • Vous avez un profil opérationnel, même si ce n’est pas très technique, vous pouvez opter pour le CompTIA CASP (Certified Advanced Security Professional). Vous aurez une très bonne culture générale de sécurité, avec un petit plus opérationnel sur des outils de sécurité Open Source.
  • Votre spécialité c’est la sécurité des réseaux et vous souhaitez asseoir votre expertise pour longtemps ? Optez pour CISCO CCNA Security et Cybersecurity, également

Enfin ISC2 CISSP (4-5 ans d’expérience) pour obtenir le sésame, très disputé, des certifications sécurité. Je préfère l’esprit ISC2 à l’esprit ISACA, les manuels de référence ISACA sont parfois incompréhensibles et arides, ceux de ISC2 jamais complètement aboutis. On préférera toujours la 6ème édition de Shon Harris, qui est, rappelons-le, surdimensionné pour réussir la certification, mais qui est souvent bien écrit, bien expliqué. On le lit très facilement. Je ne l’ai jamais lu en entier, j’ai lu sa version écourtée de Conrad (The 11th hour pour réviser avant l’examen en 216 pages et Study Guide en 600 pages, plus digeste et suffisant si on ne part part pas sans expérience ou sans culture de sécurité) et j’ai approfondi certains thèmes ardus et importants pour l’examen avec l’incontournable Shon Harris.
Et si vous aimez passer des certifications, regardez de près les spécialisations (concentrations) management (ISSMP), la seule qui vous montrera comment écrire une politique, définir une stratégie et un programme de sécurité; architecture (ISSAP), pour le fun, approfondir certains sujets vus avec le CISSP et aborder l’architecture fonctionnelle (on y apprendra l’inutile SABSA, abominable inventaire fourre-tout, qui ne sert pas à grand chose pour concevoir une vraie architecture fonctionnelle, avec une représentation graphique utile … vous aurez avantage à opter pour Open Group Enterprise Security Architecture, O-ESA).
Il faut le rappeler encore et encore, sans expérience valable en sécurité, chercher à obtenir le CISSP est une aberration et vous vous rendrez compte que vous aurez étudié et payé pour pas grand chose. Certains n’y arrivent qu’après plusieurs essais, comme le code de la route. Et cela ne leur apportera rien. Le CISSP n’est utile qu’avec de l’expérience.

Pourquoi je n’ai pas parlé des GIAC ? Ce sont d’excellentes certifications, très très chères pour l’avantage concurrentiel qu’elles apportent. A n’envisager que si votre entreprise vous paye leur préparation et l’examen.

Et les certifications ISO ? C’est une toute autre histoire.