Plus que jamais, éprouver la sécurité du système d’information est un impératif. GIAC vient de lancer une nouvelle certification dédiée aux tests de pénétration des systèmes et au métier de Pentester.
Acteur incontournable de la cybersécurité, GIAC vient de mettre en place une nouvelle certification à son catalogue: la certification GCPN, acronyme de GIAC Cloud Penetration Testing.
Celle-ci vise en premier lieu à certifier les compétences des Pentesters, ces experts en sécurité chargés de mener les tests d’intrusion, mais elle peut être pertinente pour des profils tels que les analystes de sécurité travaillant sur les vulnérabilités, les ingénieurs DevSecOps.
La sécurité du Cloud, une problématique de plus en plus prégnante pour les entreprises
L’examen, d’une durée de 2 heures maximum, se compose de 75 questions qui portent sur les points fondamentaux des tests de pénétrations de système Cloud, sur le mapping des environnements et la découverte des services exploités par l’entreprise. La certification se concentre sur les Clouds publics Amazon Web Services et Azure ainsi que les méthodes d’attaque sur ces services, sur les applications natives Cloud s’appuyant sur des conteneurs et, enfin, les pipelines CI/CD. Le candidat doit aussi démontrer sa connaissance des processus et outils de test mis en oeuvre par les « Red Team » pour pénétrer les infrastructures informatiques de leurs clients.
SANS Institute propose un portefeuille complet de formations en ligne sur 1 à 2 jours pour les plus courts, sur 5 à 6 jours plus généralement. Le cours « SEC588: Cloud Penetration Testing » correspond aux thèmes abordés lors de la certification. Moses Frost, expert à l’origine du programme de cette certification, souligne : « Cette certification s’inspire de divers domaines de l’informatique. Elle est fortement influencée par l’administration des systèmes, plus particulièrement les opérations ainsi que les sections axées sur le développement. Elle marie ce qu’un Pentester réseau, un développeur d’application et un Pentester orienté applicatif (AppSec) devraient connaître, ainsi que les DevOps. »
Le Pentester dispose de plus en plus de sources de données sur les attaques
L’expert souligne que cette certification porte sur toutes les compétences nécessaires au Pentesting dans le Cloud. « Je pense que les attaquants nous obligent à être de meilleurs défenseurs et de meilleurs testeurs » ajoute Moses Frost. « Le problème est de comprendre ce qu’ils font et d’en faire l’analyse. La meilleure façon d’y parvenir est de regarder les attaquants venir sur les honeypots. C’est toujours fascinant ! Vous pouvez voir et déconstruire ce qu’ils font. » Pour l’expert, « plus on en apprendra sur les violations et les attaques des États nations, plus il sera facile de modéliser les agresseurs. »
L’expert souligne la profusion d’écrits et de vidéos auxquels les pentesters ont maintenant accès. « J’ai commencé à faire ce travail à l’époque où le mieux que l’on pouvait espérer était un magazine électronique (e-zine) comme Phrack ou d’autres qui circulaient et qui pouvaient décrire ce qui se passait. C’était la meilleure source ouverte de renseignements que vous aviez, à part le fait de vous en approprier. Aujourd’hui, nous avons accès à tant de données, comme les rapports de bugs et autres sources d’information ; il serait embêtant de ne pas regarder cela. C’est ainsi que nous pouvons être meilleurs, et c’est ainsi que nous pouvons suivre le rythme. »
Ce seront autant de sources de données à intégrer pour se préparer à cette certification dédiée aux technologies Cloud.
Informations sur la formation:
Cloud Penetration Testing Course | SANS SEC588
Alain Clapaud
