Alain Deladrière
ICT Control et le Professeur Georges Ataya de Solvay Brussels Schools viennent d’annoncer la création d’un accord avec ISACA pour l’organisation des Cours Cyber Security Nexus (CSX) en Europe, au Moyen-Orient et en Asie du Sud-Est.
ISACA est une association professionnelle internationale qui regroupe plus de 130.000 personnes spécialisées dans la sécurité, le contrôle, l’audit informatique, de la gestion de risques et de la gouvernance. En Europe, ils sont 25.000 professionnels dont 850 en Belgique. « Fondée en 1967, cette organisation avait notamment lancé dans les années 1980 une certification réputée, Certified Information System Auditor (CISA) pour les auditeurs en informatique et en 2002 le Certified Information Security Manager (CISM), » explique Georges Ataya. « Ces deux certifications comptent respectivement 75.000 et 25.000 professionnels dans le monde. »
Cinq domaines essentiels
ISACA a créé d’autres certifications comme la Certified in the Governance of Enterprise IT (CGEIT) créée en 2008 et la Certified in Risk and Information Systems Control (CRISC) en 2010. L’Association publie régulièrement des articles, des méthodes de travail et des cadres de références. « Elle a publié il y a un an une nouvelle recherche ‘Cyber Security Nexus (CSX)’. Il s’agit en l’occurrence d’un ensemble de corps de connaissances couvrant les aspects de la gestion de la cybersécurité et des réponses à cette cybersécurité, c’est-à-dire les différents domaines où une entreprise doit pouvoir avoir des connaissances, des compétences, des expertises pour pouvoir faire face au cinq domaines de la cybersécurité à savoir : 1.Identification, 2.Protection, 3.Détection, 4.Réponses aux incidents, 5.Récupération dans la situation initiale. »
Ces compétences figurent quasiment de la même manière dans la publication américaine ‘Risk Cyber Security Management’, un manuel pour les entreprises qui réalisent des infrastructures critiques c’est-à-dire toutes les grandes entreprises essentielles pour le pays. L’Institut de standardisation technologique américain (IST) avait publié un document en 2014 reprenant ces domaines. Cela signifie qu’il y a un corps de connaissances qui existe aujourd’hui dans le monde et qui couvre les domaines qu’une entreprise doit connaître pour gérer ces problèmes cruciaux de cybersécurité qui deviennent de plus en plus graves.
« Cela fait un an environ que je suis en contact avec ISACA à propos de ces formations. Certes je connaissais déjà l’association dont j’ai été dans le passé vice-président mondial ; j’ai en outre été co-auteur de nombreuses méthodes et publications avec ISACA. Mais je viens d’obtenir la possibilité d’offrir ces cours au sein de mon entreprise de conseil ICT Control (www.ictc.eu) en Europe, au Moyen-Orient et en Asie du Sud-Est dans deux domaines, Fundamentals et Practitioner.
Ces formations s’adressent aux experts multidisciplines, qui couvrent les 5 domaines de la cybersécurité. C’est important dans le sens où les entreprises ont absolument besoin d’avoir en leur sein pas seulement un expert technique qui s’y connaît très bien dans un domaine car des types de hacking peuvent passer par les mailles du filet.
Il va de soi que nous ne laisserons jamais quelqu’un qui n’a pas le minimum de connaissances suivre les formations en Practitioner. Il devra d’abord suivre les cours de base. A noter qu’au-delà des formations Fundamentals et Practitioner, nous allons commencer à offrir des formations en interne c’est-à-dire dans les entreprises qui veulent former tout leur personnel en général ou plus spécialement en informatique sur les fondamentaux de la cybersécurité (sur 2 heures, une journée, deux journées). Les personnes qui ont suivi les formations d’une ou deux journées peuvent ensuite passer les examens pour les certification sur les fondamentaux. »
Une certification Fundamentals
ISACA a donc lancé une certification CSX Fundamentals sur les fondamentaux de la cybersécurité que chaque professionnel de l’informatique – et en fait chaque professionnel tout court – doit connaître. Cette certification est précédée par une ou deux journées de cours pour préparer les participants à cette matière. Il existe également une publication intitulée ‘CSX Fundamentals’ d’un peu moins de 200 pages reprenant toutes ces compétences et connaissances.
Une certification Practitioner
A cela s’ajoute une deuxième formation un peu plus avancée, CSX Practitioner Bootcamp qui concentre en une semaine les connaissances nécessaires pour un expert en cybersécurité pour pouvoir travailler de manière efficace et informée. Les formations de Practioner sont accompagnées d’un accès au Laboratoire virtuel mis en place par ISACA. Cela se termine par un examen débouchant sur une certification.
A noter que cette certification peut être suivie à raison de trois semaines de travail plutôt qu’une semaine de bootcamp condensée. Au cours de ces trois semaines, les mêmes domaines de connaissances sont abordés mais de façon beaucoup plus détaillée avec notamment plus d’exercices, etc. Pour appuyer cette formation d’une ou trois semaines, les participants ont accès à un laboratoire virtuel permettant d’aller sur Internet et vivre une simulation d’incident de cybersécurité. Cela permet d’être confronté à une vraie situation de stress et de problème à résoudre.
« Si pendant 6 mois les participants ont accès à ce laboratoire virtuel, la formation est physique. Ainsi chez nous, les formations CSX Fundamentals et CSX Practitioner Bootcamp auront lieu en novembre et décembre 2016 à Bruxelles (www.ictc.eu/csx). Des dates seront bientôt définies à Londres, Paris, Dubai et Singapour. »
Formation de stress
Georges Ataya : « Nous planchons aussi sur une autre formation sur le stress qui consiste à suivre pendant deux jours et demi un exercice de crise couvrant divers domaines. Les participants doivent travailler en équipe et montrer comment faire face à des situations difficiles. Ces formations travaillent tant sur les compétences que la capacité de pouvoir faire face à une crise. »
Infos : www.ictc.eu/csx, +32 2 340 32 00.
