Certificate of Cloud Security

Préparation à la certification CSA — sécurité cloud vendor-neutral

Décrire les modèles de services cloud (IaaS, PaaS, SaaS) et le modèle de responsabilité partagée
Appliquer le cadre de gouvernance cloud de la CSA (Security Guidance v5, CCM, CAIQ)
Évaluer les risques cloud et construire un registre de risques selon la méthodologie CSA
Configurer les contrôles de sécurité fondamentaux d'un compte cloud (IAM, MFA, monitoring)
Mettre en œuvre une politique IAM avec contrôle d'accès basé sur les attributs (ABAC)
Déployer et sécuriser un réseau virtuel (VPC) avec isolation et surveillance
Protéger les données au repos par chiffrement avec clés gérées par le client (CMK)
Implémenter la fédération d'identité via OpenID Connect dans une architecture applicative
Évaluer la posture de sécurité d'un fournisseur cloud à l'aide du STAR Registry et du CCM
Appliquer les principes Zero Trust, DevSecOps et sécurité des workloads cloud
Répondre à un incident de sécurité cloud selon les 12 domaines du programme CCSK v5
Répondre aux 60 questions de l'examen CCSK en 90 minutes avec un score ≥ 80 %

Pour qui

Ingénieurs sécurité, architectes cloud, analystes SOC, consultants en sécurité, RSSI et leurs adjoints souhaitant obtenir une certification cloud security vendor-neutral reconnue internationalement.

Prérequis

Connaissance des fondamentaux de la sécurité des SI (chiffrement, IAM, firewall).
Aucune expérience cloud approfondie exigée.
Lecture préalable recommandée : CSA Security Guidance v5 (fournie)

Taxonomie CSA/NIST : IaaS, PaaS, SaaS, déploiements public/privé/hybride/multicloud
Modèle de responsabilité partagée : démarcation selon le modèle de service
Caractéristiques essentielles du cloud : élasticité, multi-tenancy, orchestration, API-driven
Virtualisation, conteneurs, serverless, edge computing (évocation)
Domaine 2 — Cloud Governance : alignement stratégique, rôles et responsabilités
Domaine 3 — Risk, Audit & Compliance : évaluation des fournisseurs, registre de risques cloud
Cadres de référence : ISO 27001/27017, SOC 2, CSA STAR, ENISA Cloud Risk Assessment
CCM (Cloud Controls Matrix) : structure des 133 mesures de sécurité
CAIQ : grille d'évaluation fournisseur — lecture et interprétation
TP : construction d'un registre de risques cloud sur scénario fictif (identification, probabilité, impact, traitement)
TP : utilisation du STAR Registry et du CCM pour évaluer deux fournisseurs cloud et produire une recommandation

Domaine 5 — Identity & Access Management : fédération, SSO, RBAC vs ABAC, Zero Trust Identity
Modèles de confiance : identity provider, service provider, assertions SAML/OIDC
Privilege Access Management (PAM) dans le cloud : comptes de service, rôles, secrets
Structure des politiques IAM JSON (démonstration console AWS)
Lab 1 Core Account Security : sécurisation initiale d'un compte AWS de formation — activation MFA root, création utilisateur admin dédié, activation CloudTrail, alertes de facturation et de sécurité
Lab 2 IAM and Monitoring In-Depth : création de politiques IAM avec conditions, implémentation ABAC avec tags de ressources, configuration CloudWatch Alerts pour événements IAM suspects, dashboard de supervision sécurité
Entraînement : 15 questions type examen CCSK couvrant les domaines 1 à 5, correction collective avec analyse des distracteurs

Domaine 7 — Infrastructure & Networking : SDN, VPC, micro-segmentation, security groups, NACLs
Domaine 8 — Cloud Workload Security : sécurité des VM, conteneurs, Kubernetes, fonctions serverless
Domaine 6 — Security Monitoring : SIEM cloud-native, CSPM, threat detection, journaux cloud
eBPF, service mesh security, confidential computing (évocation)
AWS Security Hub : activation et lecture des findings (démonstration)
Lab 3 Network and Instance Security : création d'un VPC avec sous-réseaux public/privé, configuration security groups et NACLs, déploiement d'une instance EC2, scan de vulnérabilités avec Inspector, analyse des résultats
Lab 4 Monitoring et détection : activation de GuardDuty, simulation d'un événement suspect (appel API anormal), analyse de l'alerte générée

Domaine 9 — Data Security : classification, cycle de vie, chiffrement au repos et en transit, KMS/HSM/CMK, tokenisation, DLP cloud
Domaine 10 — Application Security : DevSecOps, SAST/DAST dans la CI/CD, API security, OWASP cloud
Domaine 11 — Incident Response & Resilience : plan de réponse cloud, forensics, continuité et reprise (RTO/RPO)
Domaine 12 — Related Technologies : Zero Trust, AI/ML security, Big Data lakes, IoT cloud
Lab 5 Encryption and Storage Security : création d'une clé KMS gérée par le client, volume EBS chiffré, politique de rotation des clés, sécurisation des snapshots
Lab 6 Application Security and Federation : déploiement d'une architecture 2-tiers dans le VPC, implémentation fédération OpenID Connect, test du flux d'authentification, revue des logs CloudWatch
Simulation examen : 30 questions type CCSK v5 sur les 12 domaines, conditions chronométrées, analyse des résultats par domaine
Stratégie de réponse open-book : utilisation de la Security Guidance v5 pendant l'épreuve, gestion du temps sur 60 questions en 90 minutes
Synthèse : carte mentale des 12 domaines, plan de révision sur 2 semaines, modalités d'inscription à l'examen CSA

Professionnel expert technique et pédagogique.

Résultats de la recherche