Les certifications ISO à passer par les professionnels de la sécurité de l’information

l’ISO (i.e. International Organization for Standardization) et la IEC (i.e. International Electrotechnical Commission) ont publié plusieurs standards dans le domaine de la sécurité de l’information et de la cybersécurité.

La certifications des professionnels ne concerne pas toutes les normes, nous vous explicitons alors dans la suite de cet article les certifications ISO auxquelles vous pouvez être certifié afin de prouver vos connaissances et savoir faire dans les domaines de la SSI.

ISO/IEC 27005 RISK MANAGER :

Pour commencer un professionnel de sécurité de l’information devrait être capable de comprendre la notion de risque de sécurité et de mettre en place les processus et outils nécessaires pour le maitriser.

La 27005 est un bon début pour comprendre le jargon et le processus de gestion des risques de sécurité, cette certification vous permettra de mieux appréhender les bases du Risk Management , à savoir : les menaces, les sources de menaces, la vraisemblance, les vulnérabilités , l’impact, les conséquences, le traitement des risques et l’amélioration continue.

L’ISO 27005 n’est pas difficile à obtenir, il suffit de suivre une formation de 3 jours et maitriser les notions essentielles de la gestion des risques, puis passer un examen de certification en QCM.

Quatre titres sont possibles pour les certifiés ISO 27005 :

  • Certified ISO/IEC 27005 Provisional Risk Manager : Sans expérience professionnelle dans le domaine.
  • Certified ISO/IEC 27005 Risk Manager : 2 ans d’expériences, dont un an en gestion des risques.
  • Certified ISO/IEC 27005 Lead Risk Manager : 5 ans d’expériences, dont 2 ans en gestion des risques.
  • Certified ISO/IEC 27005 Senior Lead Risk Manager : 10 ans d’expériences, dont 7 ans en gestion des risques.

EBIOS/MEHARI Risk Manager :

Contrairement à l’ISO 27005 Risk Manager, EBIOS ou MEHARI Risk manager est une certification plutôt orientée outils et techniques d’appréciation des risques.

EBIOS étant la méthode la plus utilisée en France et même en Europe et en Afrique du Nord, les professionnels ont tendance à privilégier l’EBIOS Risk Manager.

Cette certification vous sera très utile si la méthode utilisé pour apprécier les risques au sein de votre entreprise repose sur l’une des méthodes proposées par l’ISO/IEC.

Comme pour l’ISO 27005 la formation dure 3 jours avec un examen d’évaluation à la fin.

Les titres de certification possibles ressemblent à ceux de la ISO 27005 :

  • Certified ISO/IEC EBIOS/MEHARI Provisional Risk Manager : Sans expérience professionnelle dans le domaine.
  • Certified ISO/IEC EBIOS/MEHARI Risk Manager : 2 ans d’expériences, dont un an en gestion des risques.
  • Certified ISO/IEC EBIOS/MEHARI Lead Risk Manager : 5 ans d’expériences, dont 2 ans en gestion des risques.
  • Certified ISO/IEC EBIOS/MEHARI Senior Lead Risk Manager : 10 ans d’expériences, dont 7 ans en gestion des risques.

ISO/IEC 27001 :

La certification ISO 27001 est sans doute la plus importante et la plus convoitée des certifications ISO/IEC , mais également la plus recherchée sur le marché de l’emploi, en effet, cette certification permet d’avoir des notions plus approfondies et transverses dans le domaine de la sécurité de l’information.

Les personnes certifiées ISO 27001 seront capables de comprendre, implémenter et auditer des systèmes de management de sécurité de l’information (SMSI). Un SMSI se compose de plusieurs briques de sécurité avec un modèle qui repose sur une gestion PDCA (i.e. Plan, DO, Check, Act) ou plus communément la roue de Deming.

Pour l’ISO 27001 pour pouvez choisir entre deux certifications :

  • ISO/IEC 27001 Implementer (LI) : Pour être capable de mettre en place et maintenir un SMSI.
  • ISO/IEC 27701 Auditor (LA) : Pour être capable d’évaluer le niveau de conformité d’un SMSI par rapport aux exigences de la norme 27001.

Il est recommandé de maitriser également l’ISO 27002 qui est le guide des bonnes pratiques de management de la sécurité de l’information avant de passer la 27001. Notez qu’il n y a pas de certification ISO 27002.

La plupart des professionnels passent les deux certifications (LI et LA) pour acquérir les compétences nécessaires pour l’implémentation et aussi pour l’audit des SMSI, les deux aspects sont très demandés par les organismes voulant être certifiés ISO 27001.

N.B. Même les entreprises et organismes publiques pourraient être certifiés ISO 27001, ceci pour prouver que leur SMSI est bien conforme à la norme.

Les titres de certification possibles de l’ISO 27001 sont :

  • Certified ISO/IEC 27001 Provisional Implementer/Auditor : Sans expérience professionnelle dans le domaine.
  • Certified ISO/IEC 27001 Implementer/Auditor : 2 ans d’expériences, dont un an en sécurité de l’information.
  • Certified ISO/IEC ISO 27001 Lead Implementer/Auditor : 5 ans d’expériences, dont 2 ans en sécurité de l’information.
  • Certified ISO/IEC ISO 27001 Senior Lead Implementer/Auditor : 10 ans d’expériences, dont 7 ans en sécurité de l’information.

ISO/IEC 22301 :

La certification de l’ISO 22301 est très similaire à celle de 27001 dans l’approche et la méthodologie suivie pour la mise en place du système de management.

L’ISO 22301 vise l’implémentation et l’audit des systèmes de management de la continuité de l’activité (SMCA).

Les personnes certifiées ISO 22301 seront capables de comprendre, implémenter et auditer des systèmes de management de continuité de l’activité (SMCA).

Pour l’ISO 22301 comme pour l’ISO 27001 pour pouvez choisir entre deux certifications :

  • ISO/IEC 22301 Implementer (LI) : Pour être capable de mettre en place et maintenir un SMCA.
  • ISO/IEC 22301 Auditor (LA) : Pour être capable d’évaluer le niveau de conformité d’un SMCA par rapport aux exigences de la norme 22301.

Si vous possédez déjà la certification ISO 27001 LA , vous pourriez vous contenter de l’ISO 22301 LI , vu que la méthodologie est la même à partir du moment que vous connaissiez les contrôles qui doivent être implémentés dans le cadre d’un SMCA.

N.B. Même les entreprises et organismes publiques pourraient être certifiés ISO 22301 pour prouver que leur SMCA est bien conforme à la norme.

Les titres de certification possibles de l’ISO 22301 sont :

  • Certified ISO/IEC 22301 Provisional Implementer/Auditor : Sans expérience professionnelle dans le domaine.
  • Certified ISO/IEC 22301 Implementer/Auditor : 2 ans d’expériences, dont un an en sécurité de l’information.
  • Certified ISO/IEC ISO 22301 Lead Implementer/Auditor : 5 ans d’expériences, dont 2 ans en sécurité de l’information.
  • Certified ISO/IEC ISO 22301 Senior Lead Implementer/Auditor : 10 ans d’expériences, dont 7 ans en sécurité de l’information.

ISO/IEC 27032 :

La ISO 27032 permet de développer les connaissances et les compétences nécessaires pour accompagner une organisation dans la mise en œuvre et la gestion d’un programme de cybersécurité.

Avec cette certification vous prouvez vos compétences dans la mise en place des Politiques de cybersécurité, management du risque et mécanismes d’attaque , mise en place des mesures de contrôle de cybersécurité, partage et coordination de l’information ainsi que la gestion des incidents, suivi et amélioration continue.

Les titres de certification possibles de l’ISO 27032 sont :

  • Certified ISO/IEC 27032 Provisional Cybersecurity Manager : Sans expérience professionnelle dans le domaine.
  • Certified ISO/IEC 27032 Cybersecurity Manager : 2 ans d’expériences, dont un an en cybersécurité.
  • Certified ISO/IEC ISO 27032 Lead Cybersecurity Manager : 5 ans d’expériences, dont 2 ans en cybersécurité.
  • Certified ISO/IEC ISO 27032 Senior Lead Cybersecurity Manager : 10 ans d’expériences, dont 7 ans en cybersécurité.

ISO/IEC Cloud Security Manager:

Avec la transition massive des entreprises et des organismes vers les solutions Cloud, cette certification devient de plus en plus convoitée et qui permet aux professionnels d’acquérir les connaissances et les compétences nécessaires pour aider un organisme à planifier, mettre en œuvre, gérer, surveiller et maintenir efficacement un programme de sécurité du cloud.

Cette certification permet de maitriser les notions abordées par les deux normes ISO/IEC 27017 et ISO/IEC 2701 , à savoir : les principes du cloud computing, la gestion des risques de sécurité du cloud computing, les mesures spécifiques au cloud, la gestion des incidents de sécurité du cloud et les tests de sécurité du cloud.

Les titres de certification possibles de l’ISO Cloud Security Manager sont :

  • Certified ISO/IEC Provisional Cloud Security Manager : Sans expérience professionnelle dans le domaine.
  • Certified ISO/IEC Cloud Security Manager : 2 ans d’expériences, dont un an en sécurité du Cloud.
  • Certified ISO/IEC ISO Lead Cloud Security Manager : 5 ans d’expériences, dont 2 ans en sécurité du Cloud.
  • Certified ISO/IEC ISO Senior Lead Cloud Security Manager : 10 ans d’expériences, dont 7 ans en sécurité du Cloud.

Autres certifications :

D’autres certifications moins populaires existent et permettent aux professionnels de développer des compétences dans des domaines spécifiques et pointus :

  • ISO/IEC Pen Test Professional : vous permettra d’acquérir l’expertise nécessaire pour mener un test d’intrusion professionnel en utilisant un ensemble de techniques, pratiques et compétences de gestion
  • ISO/IEC Disaster recovery manager : vous permettra d’acquérir les connaissances nécessaires pour soutenir une organisation dans la mise en œuvre, la gestion et la tenue à jour d’un plan de reprise d’activité après sinistre.

(Visited 16 times, 1 visits today)

Vous aimerez aussi...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *