Aujourd’hui, plutôt que de vous parler des nouveautés en cybersécurité, nous allons faire le point sur les études et certifications en cybersécurité. Nous aimerions nous adresser aux professionnels du milieu qui désirent atteindre un autre niveau et se positionner comme des experts dans leur domaine. Comme vous le savez, le monde de la cybersécurité est très large et il y a plusieurs corps de métiers différents dans lesquels vous pouvez vous spécialiser.
Vous êtes un analyste voulant en apprendre plus sur un produit, un pen tester, un conseiller en architecture ou en gouvernance? Cet article va vous intéresser!
Dans cet article, vous trouverez de l’information pratique qui vous permettra de mieux vous orienter dans cette jungle que sont les formations académiques et certifications. Pour ceux et celles qui sont autodidactes, ces formations et certifications vous permettront d’officialiser vos compétences! Pour nous aider à y voir plus clair, Jean-Philippe, notre président, répond à quelques-unes de nos questions.
Tout d’abord, pourquoi aborder ce sujet aujourd’hui?
Certains professionnels en sécurité que je rencontre font face à une même problématique: ils travaillent et ont de l’expérience en cybersécurité depuis plus de 5 ans, mais ils y sont arrivés sans formation officielle. Ils sont « tombés dedans » — souvent par intérêt — et ont appris sur le tas, de façon très autodidacte. Il vient un temps où ils aimeraient officialiser leurs compétences afin d’avancer plus rapidement dans leur carrière.
Et il y a également ceux qui ont de 1 à 4 ans d’expérience dans le domaine, ou encore qui désirent se spécialiser à temps plein dans ce créneau. Dans ce cas précis, ils proviennent souvent du domaine des télécommunications ou de l’administration réseau et ils ont eu à faire de la sécurité « par la bande » avec leurs multiples chapeaux. Ils tentent alors de percer en tant qu’analystes ou architectes de sécurité. Mais ils ont de la difficulté à convaincre un employeur de les engager afin de faire de la sécurité à temps plein.
Une question revient donc à chaque fois : « quelles études ou certifications en cybersécurité s’offrent à moi? ».
J’aimerais aujourd’hui leur apporter une réponse.
Peux-tu nous parler de ton parcours à toi?
Quelles formations en sécurité as-tu suivies?
À l’aube des années 2000, j’ai tout d’abord fait une formation collégiale avec une Attestation d’Études collégiales (AEC) en Installation et gestion de réseaux du collège Multihexa. Comme je n’avais pas de DEC, j’ai rapidement commencé à faire des certifications telles que le MCSE 2000/2003 de Microsoft ainsi que le Cisco CCNA. J’ai alors occupé des postes à titre de spécialiste technique de niveau 1, 2 et 3. À ce moment, je n’étais pas encore spécialisé en sécurité.
Comme je l’ai déjà raconté dans un article précédent, j’ai eu une aventure dans le passé qui m’a quelque peu traumatisé et qui a grandement influencé mon intérêt envers le domaine de la cybersécurité.
J’ai donc eu l’opportunité d’effectuer un premier mandat en sécurité à titre d’analyste en sécurité. Je me suis spécialisé dans les technologies Check Point et Juniper Network. Voulant devenir un peu moins spécifique sur les produits de sécurité et apprendre les techniques plus « générales » du domaine, j’ai par la suite poursuivi les certifications COMPTIA Sécurity+, ISC2 CISSP ainsi que ISACA CISA. J’ai alors pu faire des mandats en architecture de sécurité et en gouvernance de la sécurité dans les années qui ont suivi.
Finalement, ayant toujours mon AEC en poche, il me manquait des qualifications universitaires. C’est dans ce contexte que suite à bien des démarches, j’ai pu être admis au programme de Maîtrise en gouvernance, audit et sécurité des TI (GASTI) de l’Université de Sherbrooke. Plus récemment, j’ai obtenu la certification CCSK du CSA qui traite spécifiquement de la sécurité de l’infonuagique.
Maintenant à la tête de Cyberswat, je consacre un peu plus mes efforts à parfaire mes connaissances à titre de décideur d’entreprise et de gestionnaire… Mais qui sait? J’aime tellement la sécurité que je vais probablement suivre à nouveau un cours ou une certification dans mon domaine de prédilection 😉
Wow! Cela fait beaucoup d’acronymes!
Peux-tu nous en dire plus sur ces certifications?
Bien sûr! Je vais entrer un peu plus dans le détail dans les formations qui, selon moi, sont les plus prometteuses pour l’avancement d’une carrière en sécurité.
Pour celui qui a entre 1 et 4 ans d’expérience, les principales certifications qui sont intéressantes sont les suivantes:
1- La certification CompTIA Security +
S’il fallait commencer par une certification, ce serait celle-ci. Cette certification a une approche globale et permet de valider les compétences de base d’une personne se destinant à une carrière en cybersécurité. Plusieurs sujets sont abordés tels que les menaces, les types d’attaques, les vulnérabilités, la gestion du risque, la cryptographie et la gestion des identités et des accès. Afin d’obtenir la certification, un examen de 90 minutes doit être réalisé.
2- La certification SSCP – Systems Security Certified Practitioner
Reconnue globalement et entérinée par ISC2, cette certification est un excellent moyen de faire avancer sa carrière en attestant de sa capacité à sécuriser davantage les actifs critiques de son entreprise. Je vois beaucoup d’analystes en sécurité qui commence par cette certification en vue de faire éventuellement le CISSP.
La certification permet de démontrer que l’on possède des compétences techniques poussées. Elle démontre aussi qu’on a les connaissances pour mettre en place, monitorer et gérer une infrastructure de TI, tout en s’assurant de respecter les meilleures pratiques et procédures de sécurité. Elle ne requiert pas d’expérience préalable, mais demandera d’aller faire un examen chez Person Vue et il y aura des frais annuels de maintenance de la certification. Généralement ton employeur va accepter de payer les frais de maintien de la certification; en tout cas, c’est le cas chez Cyberswat 😉
3- La certification CompTIA Cybersecurity Analyst+ (CySA+)
Je n’ai jamais fait l’examen du CySA+, mais je vois de plus en plus de personnes certifiées; signe d’une popularité croissante. Attention, ce n’est pas la même certification que le CISA de ISACA, elles n’ont pas du tout le même niveau de difficulté. Fait par CompTIA tout comme le Security+, il est vu comme étant la suite de cette première certification. Security+ est un peu plus technique sur les protocoles de sécurité, cryptographie, etc. CySA+ sera davantage orienté vers les malwares, le piratage, etc. dans le but de faire partie de la fameuse « blueteam ». Comme le Security+, c’est une bonne première certification à aller chercher.
4- Les certifications CEH de EC-Concil et OSCP de Offensive Security
La certification CEH est très populaire auprès des gens qui désirent en savoir plus sur les techniques de tests d’intrusion et de balayages de vulnérabilités. Donc contrairement au CySA+, on se retrouve davantage du côté de l’attaque, soit dans la « redteam ». Malgré son nom, il ne faut pas croire qu’une personne certifiée est déjà toute prête pour faire des tests d’intrusion avancés. Il faudra des années d’expérience dans le domaine avant de pouvoir prétendre le faire. Cependant, c’est un bon moyen pour s’orienter dans le domaine du pen test et pour démontrer, à des employeurs potentiels, son désir de continuer dans cette lignée. Pour obtenir la certification, il faudra faire un examen de 4h chez Person VUE qui totalise 125 questions.
De plus, sachez qu’il y a également le Offensive Security Certified Professional (OSCP) qui est de plus en plus populaire et qui est bien reconnu.
Ok! Peux-tu nous en dire plus sur les certifications plus avancées?
Oui, je vais les présenter. Bien qu’il soit possible pour des personnes débutantes dans le domaine d’aller faire les examens de certification ci-dessous, elles sont davantage pour les personnes ayant 5 ans et plus d’expérience en sécurité. Les principales certifications qui sont intéressantes sont les suivantes:
1- La certification CISSP (Certified Information Systems Security Professional)
Beaucoup de « généralistes » en sécurité désirant démontrer leur expertise choisissent le CISSP de l’organisme ISC2. Il s’agit de l’une des certifications les plus connues et réputées du domaine qui n’est pas spécifique à un manufacturier précis. Pour ceux ayant réalisé le SSCP, il s’agit de la suite logique. Par contre, il n’est pas nécessaire de faire le SSCP avant.
Ce qui distingue cette certification des autres présentés plus tôt, c’est qu’après avoir fait l’examen, il faut passer par un processus de « Certification ». Le candidat devra prouver qu’il détient bien 5 années d’expérience dans un ou plusieurs des domaines de connaissance du CISSP.
C’est une étape très importante; je vois souvent des personnes qui ont réalisé l’examen et qui malheureusement n’ont pas pris le temps de faire la seconde étape de la certification. C’est dommage, car à ce moment, on n’a pas le droit de s’afficher en tant que personne certifiée. Cela a bien sûr des impacts dans la perception des employeurs et des clients qui engagent des spécialistes en sécurité.
De mon côté, j’ai fait cet examen en 2007 et je dois avouer que c’est l’examen le plus stressant que j’ai eu à faire de ma vie! Cet examen de 6 heures avait plus de 250 questions à l’époque. Il se déroulait dans une grande salle avec des dizaines d’autres personnes. Nous n’avions même pas le droit d’avoir une barre tendre à notre bureau. Quelqu’un nous suivait jusqu’à l’entrée des toilettes pour s’assurer que nous n’essayions pas de tricher! La formule a légèrement changé depuis, mais la nature des questions demeure la même; c’est un examen relativement technique et il y a tout de même pas mal de par cœur. C’est d’ailleurs un volet qui est critiqué dans cette certification. Elle n’est pas gage de tout: la certification atteste d’un certain niveau de connaissance, mais elle ne garantit pas le bon sens des gens 😉
2- La certification CISA (Certified Information Systems Auditor)
La certification CISA faite par ISACA est une certification très prisée des auditeurs en sécurité. Reconnue mondialement, elle représente un standard de réussite auprès de tous les intervenants en sécurité qui participent à la vérification, au contrôle et à l’évaluation des systèmes TI d’une entreprise ou organisation. Moins technique que le CISSP, c’est une très bonne certification pour une personne qui désire confirmer son expertise dans le domaine.
Contrairement à la certification CISSP qui visent uniquement les professionnels en TI, le CISA attire également les gens provenant du domaine financier et de la comptabilité. Cette certification est très demandée par les clients et employeurs qui veulent faire auditer leurs systèmes informatiques.
Comme pour le CISSP, il faut prouver son expérience (5 ans) dans le domaine de la sécurité et de l’audit une fois que l’on a réussi l’examen. ISACA-Québec offre du coaching pour faire la certification, c’est ce que j’avais fait à l’époque pour l’obtenir.
3- La certification CISM (Certified Information Security Manager)
Cette certification est également faite par ISACA et le processus pour l’obtenir est similaire. La différence avec le CISA est principalement qu’elle est axée sur la gestion de la sécurité au lieu de l’audit. Elle est populaire chez les gens qui désirent démontrer leur expertise du domaine et qui visent un poste de direction.
Mais maintenant, qu’en est-il de la formation académique de niveau universitaire? Est-ce que ça vaut la peine?
Oui certainement. J’ai beaucoup mis de l’avant les certifications, mais il demeure que d’obtenir des diplômes officiels du Ministère de l’Éducation est un must! Le niveau de scolarité obtenu est important pour les employeurs et pour les clients provenant des grandes entreprises. Alors, c’est définitivement un chemin qu’il faut suivre. Voici quelques exemples:
1- HEC – Microprogramme en sécurité informatique des systèmes (1er cycle)
Cette formation, qui permet de cumuler 15 crédits universitaires, peut s’effectuer à temps partiel et sur une année.
Elle vous préparera à la certification CISSP tout en vous donnant un aperçu de la gestion des systèmes d’information : architecture, gouvernance, gestion des risques, développement, cadre réglementaire, normes, sécurité physique, sécurité des infrastructures et des applications, analyse des processus et exploitation de la sécurité. Avec ce certificat en poche, vous pourrez éventuellement devenir spécialiste en sécurité TI, analyste en cybersécurité ou encore conseiller en sécurité de l’information.
2- Université de Sherbrooke – Maîtrise en administration – GASTI – Gouvernance, audit et sécurité des technologies de l’information
Cette maîtrise est unique au Québec. Elle permet d’acquérir non seulement toutes les notions nécessaires pour devenir gestionnaire spécialisé en TI, mais aussi celles nécessaires pour réussir l’examen CISA d’ISACA. C’est cette maîtrise que je suis allé chercher à l’époque. Ce fut un long processus puisque que les cours étaient de soir et fin de semaine. Mais je n’ai pas eu à quitter le marché du travail pour la compléter, ce qui a été un très grand avantage. Dans ce contexte, cette formation est spécialement conçue pour les professionnels en exercice. Elle est donnée à temps partiel à Longueuil, mais il est possible de suivre les cours en ligne depuis la maison.
3- Certificats et BAC en cybersécurité de la Polytechnique de Montréal
La polytechnique de Montréal offre 3 certificats en cybersécurité:
- Cyberenquête
- Cyberfraude
- Cybersécurité des réseaux informatiques
Ces certificats ont le gros avantage d’être des programmes en ligne avec possibilité de le faire à temps partiel, donc les étudiants peuvent les suivre sans devoir arrêter de travailler pour étudier. La particularité de ce programme, outre qu’il offre vraiment un tour complet des enjeux en cybersécurité, est qu’il permet d’obtenir un bac par cumul si on réussit les 3.
Ce cursus est très populaire en ce moment, on voit beaucoup de professionnels du marché qui ont étudié ou étudient actuellement pour ces certificats. Ils sont aussi bien reconnus par les employeurs et les clients. Ce programme permet de voir autant des volets techniques que de la gestion donc il est très complet. C’est un bon moyen d’aller chercher un diplôme universitaire qui fait la différence sur le marché, surtout à Québec.
J’ai choisi de parler de ces 3 programmes universitaires, car ce sont ceux que je connais le plus personnellement. Cependant, la cybersécurité est vraiment un domaine qui prend de l’ampleur ces dernières années donc les formations se multiplient. Le Serene Risc a fait une compilation de tous les programmes en cybersécurité au Québec: https://www.serene-risc.ca/fr/repertoire-des-programmes-en-cybersecurite
Selon toi, quel est le programme ou la certification la plus pertinente à faire pour être en phase avec la transformation numérique en cours?
S’il n’y avait qu’une seule certification à faire pour les enjeux futurs, ce serait:
La certification CCSK ou la CCSP
La CCSK est axée sur le cloud computing (infonuagique) et est entérinée par le Cloud Security Alliance (CSA) . Avec elle, vous pourrez valider vos compétences et connaissances tout en prouvant votre capacité à développer un programme de sécurité infonuagique qui respecte les standards de l’industrie. Outre l’examen, elle ne demande pas de faire un processus de certification formel, mais elle vous donnera clairement un avantage compétitif sur un marché grandissant. Pour en savoir plus
Sachez qu’il y a également une autre certification cloud qui fait sa place dans le marché, soit le Certified Cloud Security Professional (CCSP) entériné par ISC2. Ayant été fait en collaboration avec le CSA, il est probable qu’elle ait un bon potentiel.
As-tu quelque chose à rajouter sur les formations en cybersécurité en général?
Aujourd’hui plus que jamais, les formations en cybersécurité prennent tout leur sens. En plus, nous n’avons même pas eu le temps d’aborder les formations et certifications en lien avec les normes ISO comme ISO/IEC 27001 Lead Implementer, ISO/IEC 27001 Lead Auditor ou encore ISO/IEC 27005 Risk Manager qui sont très pertinente également.
Finalement, il faut retenir que de nombreux emplois sont créés chaque année afin de protéger les entreprises contre les risques liés aux TI. Si on parle juste de l’année 2019, avec les gros incidents de sécurité qui ont fait la une des journaux depuis quelques mois, la cybersécurité a pris une place au-devant de la scène. Tout le monde en parle et cette prise de conscience collective se répercute inexorablement sur les entreprises. Aucun dirigeant ne veut voir son entreprise épinglée pour un incident de cybersécurité donc les professionnels du domaine sont de plus en plus recherchés.
En effet, on estime que d’ici 2020, à l’échelle internationale, on manquera de 1,5 million d’experts en cybersécurité. Au Canada, on parle de dizaines de milliers.*
L’expérience dont vous disposez est un sérieux atout. Une certification ou un diplôme pour l’appuyer fera de vous un candidat très prisé. En effet, les employeurs se basent souvent sur les diplômes et les certifications pour évaluer le niveau d’un candidat.
*Benoît Dupont, de la chaire de recherche du Canada en cybersécurité à l’UdeM
1 réflexion au sujet de « Certifications et diplômes en cybersécurité »
Certains cours des certificats en cybersécurité à la Polytechnique sont maintenant offerts en anglais et d’autres sur place (pas sur Internet) durant le jour. La qualité des cours varie en fonction du chargé de cours. Il y a des répétitions des notions vues dans plusieurs cours différents, p. ex. OWASP Top 10, analyse des risques, classification, etc.
L’université Concordia offre également des programmes de maîtrise en cybersécurité: Master of Information Systems Security (MEng et MAsc). Réf. https://www.concordia.ca/ginacody/info-systems-eng/programs/information-systems-security.html
Concernant les certifications « avancées », il y a aussi celles délivrées par GIAC/SANS (réf. https://www.giac.org/ et Offensive Security (OSCP, OSCE, OSWE, réf. https://www.offensive-security.com/information-security-certifications/.