Certified Cloud Security Professional (CCSP) (CS8527)

Module 1: Concepts, architecture et conception de l'informatique en nuage

• Comprendre les concepts de l'informatique en nuage
• Définitions de l'informatique en nuage
• Rôles et responsabilités de l'informatique en nuage
• Principales caractéristiques de l'informatique en nuage
• Technologies de blocs de construction
• Décrire l'architecture de référence de l'informatique en nuage
• Activités d'informatique en nuage
• Capacités des services infonuagiques
• Catégories de services infonuagiques
• Modèles de déploiement infonuagique
• Considérations partagées sur l'infonuagique
• Impact des technologies connexes
• Comprendre les concepts de sécurité pertinents pour l'informatique en nuage
• Cryptographie et gestion des clés
• Identité et contrôle d'accès
• Assainissement des données et des médias
• Sécurité Internet
• Sécurité de la virtualisation
• Menaces courantes
• Sécurité hygiène
• Comprendre les principes de conception de l'informatique en nuage sécurisé
• Cycle de vie des données sécurisées de l'informatique en nuage
• Plan de continuité des activités et de reprise après sinistre
• Analyse de l'impact des affaires
• Exigences de sécurité fonctionnelle
• Considérations de sécurité pour différentes catégories de services infonuagiques
• Modèles de conception infonuagique
• Sécurité DevOps
• Évaluer les fournisseurs de services infonuagique
• Vérification par rapport aux critères
• Certifications des produits du système/sous-système

Module 2: Sécurité des données dans l'infonuagique

• Décrire les concepts de données infonuagiques
• Phases du cycle de vie des données infonuagiques
• Dispersion des données
• Flux de données
• Concevoir et mettre en œuvre des architectures de stockage de données dans l'infonuagique
• Types de stockage
• Menaces sur les types de stockage
• Concevoir et appliquer des technologies et des stratégies de sécurité des données
• Cryptage et gestion des clés
• Hachage
• Obfuscation des données
• Tokénisation
• Prévention de la perte de données
• Gestion des clés, des secrets et des certificats
• Mettre en œuvre la découverte de données
• Données structurées
• Données non structurées
• Semi-structuré
• Données
• Emplacement des données
• Mettre en œuvre la classification des données
• Politiques de classification des données
• Cartographie
• Étiquetage
• Concevoir et mettre en œuvre la gestion des droits relatifs à l'information
• Objectifs
• Outils appropriés
• Planifier et mettre en œuvre des politiques de conservation, de suppression et d'archivage des données
• Politiques de conservation des données
• Procédures et mécanismes de suppression des données
• Procédures et mécanismes d'archivage des données
• Mise en attente légale
• Concevoir et mettre en œuvre l'auditabilité, la traçabilité et la responsabilité des événements de données
• Définition des sources d'événement et exigence d'attribution d'événement
• Journalisation, stockage et analyse des événements de données
• Chaîne de possession et non-répudiation

Module 3: Sécurité de la plate-forme infonuagique et de l'infrastructure

• Comprendre les composants de l'infrastructure et de la plate-forme infonuagique
• Environnement physique
• Réseau et communication
• Calculer
• Virtualisation
• Stockage
• Plan de gestion
• Concevoir un centre de données sécurisé
• Conception logique
• Conception physique
• Conception environnementale
• Analyser les risques associés à l'infrastructure et aux plateformes infonuagique
• L'évaluation des risques
• Vulnérabilités, menaces et attaques de l'infonuagique
• Stratégies d'atténuation des risques
• Planification et mise en œuvre des contrôles de sécurité
• Protection physique et environnementale
• Protection du système, du stockage et des communications
• Identification, authentification et autorisation dans les environnements infonuagique
• Mécanismes de vérification
• Planifier la reprise après sinistre et la continuité des activités
• Stratégie de continuité des activités/de reprise après sinistre
• Besoins de l'entreprise
• Création, mise en œuvre et test du plan

Module 4: Sécurité des applications infonuagique

• Promouvoir la formation et la sensibilisation à la sécurité des applications
• Principes de base du développement infonuagique
• Pièges courants
• Vulnérabilités courantes de l'infonuagique
• Décrire le processus de cycle de vie du développement logiciel sécurisé
• Cadre de développement logiciel sécurisé NIST
• Modèle de maturité de l'assurance logicielle OWASP
• Besoins de l'entreprise
• Phases et méthodologies
• Appliquer le cycle de vie du développement logiciel sécurisé
• Risques spécifiques à l'infonuagique
• Modélisation des menaces
• Éviter les vulnérabilités courantes pendant le développement
• Codage sécurisé
• Gestion de la configuration logicielle et gestion des versions
• Appliquer l'assurance et la validation du logiciel infonuagique
• Tests fonctionnels et non fonctionnels
• Méthodologies de test de sécurité
• Assurance qualité
• Test de cas d'abus
• Utiliser un logiciel sécurisé vérifié
• Sécurisation des interfaces de programmation d'applications
• Gestion de la chaîne logistique
• Gestion des logiciels tiers
• Logiciel Open Source validé
• Comprendre les spécificités de l'architecture des applications infonuagique
• Composants de sécurité supplémentaires
• Cryptographie
• Sandbox
• Virtualisation et orchestration des applications
• Concevoir des solutions de gestion des identités et des accès appropriées
• Identité fédérée
• Fournisseurs d'identité
• Authentification unique
• Authentification multifacteur
• Courtier de sécurité d'accès à l'infonuagique

Module 5: Opérations de sécurité dans l'infonuagique

• Construire et mettre en œuvre une infrastructure physique et logique pour l'environnement infonuagique
• Exigences de configuration de sécurité spécifiques au matériel
• Installation et configuration des outils de gestion de la virtualisation
• Exigences de configuration de sécurité spécifiques au matériel virtuel
• Installation des ensembles d'outils de virtualisation du système d'exploitation invité
• Exploiter l'infrastructure physique et logique pour l'environnement infonuagique
• Configurer le contrôle d'accès pour l'accès local et distant
• Configuration réseau sécurisée
• Renforcement du système d'exploitation par l'application de lignes de base
• Disponibilité des hôtes autonomes
• Disponibilité des hôtes en cluster
• Disponibilité des systèmes d'exploitation invités
• Gérer l'infrastructure physique et logique pour l'environnement infonuagique
• Contrôles d'accès pour l'accès à distance
• Surveillance et correction de la conformité de base du système d'exploitation
• Gestion des correctifs
• Surveillance des performances et de la capacité
• Surveillance du matériel
• Configuration des fonctions de sauvegarde et de restauration du système d'exploitation hôte et invité
• Contrôles de sécurité du réseau
• Plan de gestion
• Mettre en œuvre des contrôles et des normes opérationnelles
• Gestion du changement
• Gestion de la continuité
• Gestion de la sécurité des informations
• Gestion de l'amélioration continue des services
• La gestion des incidents
• Gestion des problèmes
• Gestion des versions
• Gestion du déploiement
• Gestion de la configuration
• Gestion des niveaux de service
• Gestion de la disponibilité
• Gestion de la capacité
• Soutenir la criminalistique numérique
• Méthodologies de collecte de données forensiques
• Gestion des preuves
• Collecter, acquérir et conserver des preuves numériques
• Gérer la communication avec les parties concernées
• Fournisseurs
• Clients
• Les partenaires
• Régulateurs
• Autres parties prenantes
• Gérer les opérations de sécurité
• Centre des opérations de sécurité
• Surveillance des contrôles de sécurité
• Capture et analyse des journaux
• La gestion des incidents

Module 6: Juridique, risques et conformité

• Articuler les exigences légales et les risques uniques dans l'environnement infonuagique
• Législation internationale contradictoire
• Évaluation des risques juridiques propres à l'infonuagique
• Cadres juridiques et lignes directrices
• eDiscovery
• Exigences forensiques
• Comprendre les problèmes de confidentialité
• Différence entre données privées contractuelles et réglementées
• Législation spécifique au pays relative aux données privées
• Différences juridictionnelles en matière de confidentialité des données
• Exigences de confidentialité standard
• Évaluations des incidences sur la vie privée
• Comprendre le processus d'audit, les méthodologies et les adaptations requises pour un environnement infonuagique
• Contrôles d'audit interne et externe
• Impact des exigences d'audit
• Identifier les défis d'assurance de la virtualisation et de l'infonuagique
• Types de rapports d'audit
• Restrictions des énoncés de l'étendue de l'audit
• Analyse des écarts
• Planification des audits
• Système interne de gestion de la sécurité de l'information
• Système de contrôle interne de la sécurité de l'information
• Stratégies
• Identification et implication des parties prenantes concernées
• Exigences de conformité spécialisées pour les industries hautement réglementées
• Impact du modèle de technologie de l'information distribuée
• Comprendre les implications de l'infonuagique pour la gestion des risques d'entreprise
• Évaluer les programmes de gestion des risques des fournisseurs
• Différences entre le propriétaire/contrôleur des données et le dépositaire/processeur des données
• Exigences réglementaires en matière de transparence
• Traitement des risques
• Cadres de risque
• Métriques pour la gestion des risques
• Évaluation de l'environnement de risque
• Comprendre l'externalisation et la conception de contrats infonuagique
• Besoins de l'entreprise
• Gestion des fournisseurs
• La gestion des contrats
• Gestion de la chaîne logistique

*La littérature fournie est en langue anglaise.