La sécurité du cloud computing est un sujet en vogue qui attire de plus en plus de professionnels. Quand on dit "sécurité du cloud computing", cela implique d'avoir des compétences dans les deux domaines.
La certification CCSK (Certificate of Cloud Security Knowledge) de la Cloud Security Alliance est une certification qui a pour objet de vérifier le niveau de connaissance d'une personne dans le domaine de la sécurité de cette "informatique en mode services". Nous avions déjà évoqué cette certification CCSK dans un précédent article "CCSK : Une certification sécurité pour les professionnels du cloud".
Passer une certification est toujours un peu "challenging", on ne sait jamais avant si cela va le faire ou non, si les questions vont être tordues ou non, quels sont les connaissances nécessaires, etc...
1 - mon retour d'expérience
Je vous rassure : j'ai eu moi-même ces mêmes questions. Mais c'est fini, je suis certifié... Voici les quelques conseils, trucs et infos que je pourrai vous donner pour passer la certification. Cela s'appuie sur un retour d'expérience de l'examen que j'ai passé (avec succès) ce lundi 16 Avril 2012, c'est donc assez "frais".
Je ne donnerai pas les questions que j'ai eu mais je vous livrerai tous les trucs, infos et astuces qui m'ont été utiles. Après, c'est à chacun de jouer ! Bon, les questions que j'ai eu ne seront peut-être pas celles que vous aurez... pour les impasses c'est donc à chacun de faire ses choix. :-)
2 - les documents à potasser (la théorie)
D'un point de vue théorique, il faut potasser 5 documents que je classifierai selon un ordre décroissant d'importance :
- Le plus important de tous est celui de la Cloud Security Alliance "Security Guidance for Critical Areas of Focus in Cloud Computing V2.1".
- Ensuite, c'est le document de l'ENISA "Benefits, risks and recommendations for information security - November 2009".
- Puis, il y a le document "The NIST Definition of Cloud Computing - SP 800-145" (PDF)
- Et enfin le document du Jerico Forum "Cloud Cube Model v1.0".
3 - les documents à potasser (en pratique)
S'il y a bien un document à lire c'est celui-ci de la Cloud Security Alliance. Pour celui de l'ENISA il faut bien lire attentivement le résumé pour les boss (aka "l'executive summary"). Pour les deux autres (celui du NIST et du Jericho Forum) une ou deux lectures rapides suffisent amplement.
Dans le document de la Cloud Security Alliance, j'ai eu pas mal de questions sur le domaine "Information Lifecycle Management", ce chapitre (Domain 5) est donc important pour la certification. Sinon, le niveau de préparation (comprendre "lecture attentive" du doc) est à mettre en regard avec votre niveau de familiarité avec le sujet "sécurité dans le cloud computing". Pour ma part, je baigne dedans.... j'ai donc pu "survoler" certains domaines.
Il est essentiel de bien lire le document de la Cloud Security Alliance "Security Guidance for Critical Areas of Focus in Cloud Computing V2.1". Pour les autres, une lecture rapide devrait être suffisante pour ceux qui sont dans la sécurité.
4 - le type de questions
Il s'agit d'un test de type QCM (Questionnaire à Choix Multiples). C'est un total de 50 questions qui sont posées. A chaque fois, une seule et unique réponse possible (ouf... du moins pour celles que j'ai eu lors de l'examen).
Les questions sont en anglais. Globalement, elles sont assez claires et faciles à comprendre, idem pour les réponses. Pas besoin d'être un anglophone accompli pour comprendre les questions posées et les réponses proposées.
Du coté des questions, les plus compliquées/dures sont celles s'appuyant sur le document de la Cloud Security Alliance (hormis celles autour du "Domain 5 - Information Lifecycle Management" qui sont assez simples). Les questions faisant référence aux autres documents (ENISA, NIST ou Jericho Forum) sont identifiées comme telles : il n'y a donc pas de doutes à avoir où les réponses se trouvent. C'est plutôt "clean" et sans embrouilles de ce coté.
Pour des exemples de questions, allez jeter un oeil sur la page dédiée à la certification CCSK sur le site de la Cloud Security Alliance.
5 - inscription et passage de la certification
L'inscription et le passage de la certification se font en ligne. Pour 295 USD (dollars US) vous avez le droit à deux essais. Il est possible de passer l'examen à n'importe quel heure du jour ou de la nuit. L'interface web est simple et bien faite : je n'ai pas eu de problèmes ni de perturbations lors de mon test.
Pour avoir la certification CCSK : il faut répondre correctement à au moins 40 des 50 questions posées (80% de réussite) et ce en moins d'une heure.
Globalement, le niveau des questions est plutôt élevé. Les questions autour de l'ENISA sont "OK" et comme vous avez le droit aux docs, la fonction "rechercher" est assez utile... Idem pour les questions que j'ai eu sur le document du NIST et du Jericho Forum : pas trop compliqué.
6 - accès aux documents : utile mais pas suffisant
Après, même si il est possible de rechercher dans les documents, il est nécessaire de répondre aux 50 questions en 1 heure.... C'est donc seulement un peu plus d'une minute (72 secondes pour être exact) par question : c'est "speed".... que ceux qui y vont la fleur au fusil en se disant "je ferai uniquement de la recherche dans les documents" se fassent quelques soucis : à moins qu'ils ne soient fortiches c'est mal barré.
A noter qu'une fois le test démarré, il n'est pas possible de faire "pause". Ca serait trop simple. :-)
Mais bon, il ne faut pas cracher dans la soupe : pour les questions de l'ENISA la fonction "rechercher" est bien utile. Idem, avoir la doc pour les questions sur le "domain 5: Information Lifecycle Management" du guide de la Cloud Security Alliance permet de se rassurer. Mais l'accès aux documents ne fait pas tout... du moins c'est mon expérience.
Et puis, ce n'est pas une certification qui fait le professionel... j'ai pu voir en entretien des personnes certifiées CISSP qui ne savaient pas expliquer clairement les principes de la signature d'un document via des clefs asymétriques...
7 - ce qui n'est pas dans les documents
J'ai eu le droit à quelques questions (2 ou 3) sur la sécurité du service Amazon EC2. Donc je vous encourage à aller lire (entre autres) ce document "Amazon Web Services: Risk and Compliance - January 2011" et aller jeter un oeil aux "Security Groups" sur cette page.
Bien que j'ai eu des questions sur Amazon EC2, il reste aussi possible/probable que des questions soient posées sur d'autres services... mystère et boule de gomme ! Le "métier" et l'expérience sont donc de mise. Si vous êtes dans la sécurité du cloud et êtes un peu curieux(se), obtenir cette certification CCSK ne devrait pas vous poser de problèmes.
à la fin le précieux sésame
A la fin des 60 minutes vous avez directement le résultat. Si tout s'est bien passé, il est possible de télécharger le diplome en format PDF ou HTML.
On a le droit de voir le taux de réussite dans chacun des domaines (Applied, Domain1 à Domain 10 et ENISA) mais pas de voir à quelles réponses on a eu faux. Personnellement, j'ai fait 2 erreurs (une dans le "Domain 3 - Legal and eDiscovery" et une autre dans "Domain 4 - Compliance and Audit").
en conclusion
Obtenir la certification n'est pas aussi simple que ça : Selon l'article de DarkReading "Cloud Security Certification Not So Simple", ce serait seulement 53% des personnes ayant essayé de passer la certification qui ont réussi à décrocher le précieux document... tel était le retour de Jim Reavis en Aout 2011. A noter que dans son article, Jim Reavis précise 4 thèmes à bosser pour la certification : j'ai bien eu des questions sur ces thèmes...
Ceci dit, si vous travaillez dans le domaine de la sécurité du cloud la certification CCSK sera un plus pour vous mais aussi votre employeur ; elle n'est pas trop compliquée à passer si vous avez un peu de bouteille dans le domaine. Il faut se mettre en condition (et au calme pendant une heure). Perso, ça m'a pris "comme ça" lundi matin en arrivant au bureau : je me suis dit, "allez go". Une heure après j'avais le sésame en poche.
Bonne chance à ceux qui tenteront de passer la certification !
Jean-François (aka Jeff)
credit photo : © niakc10 - Fotolia.com
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens