Certified Cloud Security Professional (CCSP) (CS8527)

Module 1: Concepts architecturaux et exigences de conception

• Définitions de l'informatique en cloud
• Rôles du cloud computing
• Caractéristiques clés du cloud computing
• Scénario de transition vers le cloud
• Blocs de construction
• Fonctions de cloud computing
• Catégories de services cloud
• Modèles de déploiement cloud
• Aspects transversaux du cloud
• Sécurité du réseau et du périmètre
• Cryptographie
• IAM et contrôle d'accès
• Assainissement des données et des médias
• Sécurité de la virtualisation
• Menaces courantes
• Considérations de sécurité pour différentes catégories de cloud
• Les dix principales menaces de sécurité du projet Open Web Application Security
• Cycle de vie des données sécurisées dans le cloud
• Types de gouvernance de l'information et des données
• Planification de la continuité des activités et de la reprise après sinistre
• L'analyse coûts-avantages
• Certification par rapport aux critères
• Certification des produits du système et du sous-système

Module 2: Sécurité des données dans le cloud

• Les phases du cycle de vie des données cloud
• Emplacement et accès aux données
• Fonctions, acteurs et contrôles des données
• Services, produits et solutions cloud
• Stockage de données
• Technologies de sécurité des données pertinentes
• Application des technologies de stratégie de sécurité
• Les technologies émergentes
• Découverte de données
• Classification des données
• Lois sur la protection des données
• Significations typiques des termes de confidentialité courants
• Rôles de confidentialité pour les clients et les fournisseurs de services
• Responsabilité selon le type de services cloud
• Mise en œuvre de la découverte de données
• Classification des données sensibles découvertes
• Mappage et définition des contrôles
• Accord sur le niveau de confidentialité
• Activité sur les exigences PLA par rapport aux exigences essentielles du P&DP
• Application de contrôles définis pour les informations personnelles
• Objectifs de gestion des droits sur les données
• Politiques de protection des données
• Événements
• Soutenir les opérations continues
• Chaîne de possession et non-répudiation

Module 3: Sécurité de la plate-forme cloud et de l'infrastructure

• Réseau et communications dans le cloud
• Les paramètres d'un serveur cloud
• Problèmes de stockage dans le cloud
• Gestion des risques du Cloud Computing
• Stratégies de contre-mesures dans le cloud
• Protections physiques et environnementales
• Protections du système et des communications
• Contrôles des systèmes de virtualisation
• Gestion de l'identification, de l'authentification et de l'autorisation dans l'infrastructure cloud
• Mécanismes d'audit des risques
• Comprendre l'environnement cloud lié au BCDR
• Comprendre les exigences commerciales liées à la BCDR
• Stratégies BCDR
• Création du plan BCDR

Module 4: Sécurité des applications cloud

• Détermination de la sensibilité et de l'importance des données
• Comprendre les formats d'API
• Enjeux courants du déploiement d'applications de sécurité cloud
• Connaissance des dépendances de chiffrement
• Comprendre le processus de cycle de vie du développement logiciel pour un environnement cloud
• Évaluation des vulnérabilités courantes
• Risques spécifiques au cloud
• Modélisation des menaces
• Gestion des identités et des accès
• Gestion des identités fédérées
• Authentification multifacteur
• Dispositifs de sécurité supplémentaires
• Cryptographie
• Tokenisation
• Masquage des données
• Sandboxing
• Virtualisation des applications
• Données fonctionnelles basées sur le cloud
• Cycle de vie de développement sécurisé dans le cloud
• Tests de sécurité des applications

Module 5: Opérations

• Centres de données modernes et offres de services cloud
• Facteurs qui affectent la conception du centre de données
• Opérations d'entreprise
• Configuration sécurisée du matériel : exigences spécifiques
• Installation et configuration des outils de gestion de virtualisation pour l'hôte
• Sécurisation de la configuration réseau
• Identification et compréhension des menaces de serveur
• Utilisation d'hôtes autonomes
• Utilisation d'hôtes en cluster
• Comptabilisation du fonctionnement dynamique
• Utilisation de clusters de stockage
• Utilisation du mode Maintenance
• Fournir de la haute disponibilité sur le cloud
• L'infrastructure physique pour les environnements cloud
• Configuration du contrôle d'accès pour l'accès à distance
• Exécution de la gestion des correctifs
• Suivi de la performance
• Sauvegarde et restauration de la configuration de l'hôte
• Mise en œuvre des contrôles de sécurité réseau : défense en profondeur
• Élaboration d'un plan de gestion
• Construire une infrastructure logique pour les environnements cloud
• Exécution d'une infrastructure logique pour les environnements cloud
• Gestion de l'infrastructure logique pour les environnements cloud
• Mise en œuvre des contrôles de sécurité réseau
• Utiliser une solution ITSM
• Considérations pour Shadow IT
• Gestion des opérations
• Gestion des risques dans les infrastructures logiques et physiques
• Aperçu du processus de gestion des risques
• Comprendre la collecte et la conservation des preuves numériques
• Gestion des communications avec les parties concernées
• Conclusion: Exemple de violation de données

Module 6: Juridique et Conformité

• Conflits de législation internationale
• Concepts législatifs
• Cadres et directives relatifs au cloud computing
• Exigences légales communes
• Contrôles juridiques et fournisseurs de services cloud
• e-Découverte
• Cloud Forensics et ISO/IEC 27050-1
• Protection des informations personnelles dans le cloud
• Audit dans le Cloud
• Exigences de confidentialité standard (ISO/IEC 27018)
• GAPP
• SMSI interne
• Politiques des implémentations
• Identifier et impliquer les parties prenantes concernées
• Impact des modèles informatiques distribués
• Comprendre les implications du cloud pour la gestion des risques d'entreprise
• Atténuation des risques
• Comprendre l'externalisation et la conception des contrats
• Besoins de l'entreprise
• Gestion des fournisseurs
• Certification en Cloud Computing
• La gestion des contrats
• Gestion de la chaîne logistique
• Risque lié à la chaîne d'approvisionnement

ANNEXE A: Réponses aux questions de révision

• Module 1: Concepts architecturaux et exigences de conception
• Module 2: Sécurité des données dans le cloud
• Module 3: Sécurité de la plate-forme cloud et de l'infrastructure
• Module 4: Sécurité des applications cloud
• Module 5: Opérations
• Module 6: Questions juridiques et de conformité

ANNEXE B: GLOSSAIRE

ANNEXE C: RESSOURCES ET LIENS UTILES

*La littérature fournie est en langue anglaise.