Le marché de l'emploi pour ceux qui sont ou veulent être impliqués dans la sécurité informatique est prometteur. Le manque de professionnels ayant des connaissances suffisantes dans ce domaine n'est pas un problème nouveau et il semble qu'il continuera à s'aggraver dans les années à venir. En fait, 65 % des responsables informatiques ou de sécurité s'accordent à dire que le manque de professionnels ayant des compétences suffisantes a un impact négatif sur l'efficacité de leurs équipes, selon un rapport de la plateforme éducative Cybrary.

Par conséquent, compte tenu de la forte demande qui existe, ceux qui parviennent à développer leurs connaissances et leurs compétences ont de grandes possibilités de s'insérer sur le marché du travail ou de se développer professionnellement. Comme nous l'avons vu récemment, il existe différents profils professionnels dans l'industrie et il y a plusieurs façons possibles d'être performant dans ce domaine. En ce qui concerne la valeur des certifications, il convient de mentionner que, selon un rapport de l'ISSA, 52 % des professionnels de la sécurité considèrent l'expérience comme plus importante que les certifications, tandis que 44 % les jugent tout aussi importantes. D'autre part, de nombreuses entreprises, lorsqu'elles recrutent des professionnels, incluent des certifications dans les exigences des descriptions de poste.

Au-delà de cela, de nombreux acteurs de l'industrie choisissent de poursuivre la certification pour valider leurs connaissances et ainsi ouvrir les portes de l'expérience nécessaire pour accéder à de meilleurs projets ou postes en fonction des intérêts individuels.

Certains profils sont peut-être plus demandés que d'autres, mais l'important est que, le sachant et tenant compte des intérêts que chacun peut avoir, la connaissance des différents rôles et certifications qui existent dans ce secteur permet de planifier le développement d'une carrière.  C'est pourquoi, dans le cadre d'une série d'articles que nous publions à l'occasion de la célébration de la Journée anti logiciels malveillants, nous passons en revue certaines des certifications les plus populaires.

Bien qu'il existe une grande variété de certifications disponibles et d'organisations qui les proposent, selon les données du rapport 2019 (ISC)² sur la main-d'œuvre dans le domaine de la cybersécurité et du rapport 2020 de l'ISSA, les certifications de sécurité les plus professionnelles disponibles aujourd'hui et les organisations qui les proposent sont :

  • CISSP – (ISC)²
  • CISSP with concentration - (ISC)²
  • CCNA Security - Cisco
  • CCSP- (ISC)²
  • CCNP Security - Cisco
  • CIW – Certifications Partners
  • GSAE - SANS/GIAC - GIAC Security Audit Essentials
  • CCSK - CSA
  • CISA – ISACA
  • CISM - ISACA
  • CASP+ - CompTIA
  • Security+ - CompTIA
  • CEH - EC Council

Du point de vue des organismes offrant des certifications, selon le rapport (ISC)², les plus professionnelles ont été celles offertes par les entités suivantes :

  • (ISC)²
  • CompTIA
  • CSA
  • CIW
  • ISACA
  • ASIS International
  • CREST
  • EC-Council
  • DRI INternational
  • GIAC

Il convient de noter que dans certains cas, les certifications ont un impact direct sur les salaires. Selon l'étude (ISC)², il existe une différence de salaire entre les professionnels de l'industrie qui ont des certifications, bien que cette différence soit plus évidente aux États-Unis et en Asie-Pacifique. Dans le cas de l'Europe ou de l'Amérique latine, il existe, mais l'écart n'est pas aussi grand que dans d'autres régions.

Vous trouverez ci-dessous une description plus détaillée sur certaines de ces certifications et sur d'autres.

Notez bien : la liste suivante n'est pas exhaustive et ne constitue pas une liste de certifications que nous recommandons. L'objectif de cet article est de fournir des conseils qui permettront aux personnes intéressées de rechercher des informations complémentaires en se référant à certaines des certifications les plus connues.

Nous essayons d'en répartir certains selon le niveau d'expérience et d'expertise, bien que dans certains cas, la même certification puisse entrer dans plusieurs catégories et être utile pour plus de profils que ceux énumérés ci-dessous. Il est donc recommandé de lire les spécifications de chaque organisme de certification.

Certifications pour les postes de début de carrière

Pour ceux qui ne sont pas spécialisés dans un profil particulier et qui recherchent une certification qui leur permette de valider leurs connaissances théoriques. Sans entrer dans les détails techniques, voici quelques-unes des plus connues :

Security+ de CompTIA : une certification très demandée par les débutants. En plus d'être l'un des plus connus, il présente les concepts de base de la cybersécurité en général et convient à pratiquement tous les rôles dans l'industrie.

GSEC (GIAC Security Essentials) : peut présenter quelques similitudes avec le Security+ de CompTIA, mais est plus exigeant.

CEH (Certified Ethical Hacker) : Une certification populaire de niveau d'entrée qui est souvent considérée comme faisant partie des exigences des offres d'emploi.

Certifications destinées aux professionnels plus spécialisés

Une fois engagé dans la voie professionnelle, plusieurs spécialisations s’offrent à vous. On peut dire que pour chaque domaine particulier, il existe un ensemble de certifications qui sont, pour la plupart, destinées à ceux qui ont une base conceptuelle et technique plus solide et qui cherchent à valider des connaissances techniques avancées :

Pour un analyste expérimenté ou senior :

Dans ce cas, il est supposé que la personne a déjà une base conceptuelle claire et une formation technique et qu'elle recherche des certifications qui valident un niveau technique assez élevé. Au-delà du domaine d'action particulier que l'analyste peut exercer, nous supposons qu'il est un professionnel polyvalent ou qu'il effectue différents types de tâches.

CAP (Certified Authorization Professional) : Pour effectuer cette certification proposée par (ISC)², il est nécessaire de démontrer deux années d'expérience rémunérée dans le domaine de la sécurité. Le CAP permet de valider que le professionnel dispose de connaissances techniques avancées et de connaissances pour la maintenance des systèmes d'information dans un cadre de gestion des risques, puisqu'il enseigne comment mettre en œuvre les contrôles et est lié aux normes ISO 2700x.

Pour un pentester expérimenté ou senior :

GPEN : Les certifications proposées par le SANS (par l'intermédiaire du GIAC) sont parmi les plus appréciées d'un point de vue technique. Celui qui détient l'une de ces certifications prouve qu'il possède de grandes connaissances, ce que beaucoup d'entreprises recherchent pour couvrir des postes semi-senior ou supérieurs. Cependant, il est important de garder deux aspects à l'esprit : ils sont souvent exigeants (même pour ceux qui ont de l'expérience) et aussi coûteux.

OSCP : proposé par Offensive Security, c'est une option similaire à la précédente et également bien connue dans l'industrie.

OSCE : également proposée par Offensive Security, il s'agit d'une certification très populaire dans laquelle vous devez passer un examen pratique exigeant de 48 heures. Offensive Security a récemment annoncé un programme actualisé. Les étudiants sont encouragés à suivre le PCOS avant de tenter d'obtenir l'OSCE.

GWAPT : une autre certification proposée par le SANS par l'intermédiaire du GIAC, mais dans ce cas-ci orientée vers les applications web, également très demandées. Les personnes qui obtiendront cette certification auront démontré qu'elles savent traiter certains problèmes de sécurité des applications web et qu'elles sont capables de réaliser des tests de pénétration.

Pour le responsable de l'incident, l'analyste scientifique ou le responsable du renseignement sur les menaces expérimenté ou senior :

Dans notre billet sur les profils professionnels, nous avons mentionné le rôle d'intervenant en cas d'incident, tandis que le rôle du renseignement sur les menaces est celui qui est informé en permanence et qui enquête et collecte des informations sur les menaces, les vulnérabilités et les incidents qui se produisent pour analyser ensuite ces informations et mener des actions de renseignement sur les menaces pour la réalité de l'organisation. Même si, comme dans d'autres domaines, il existe de nombreuses certifications, certaines des plus connues sont :

GCFE (GIAC Certified Forensic Examiner) : Il s'agit d'une certification très technique et très demandée pour les profils qui sont dédiés à la réponse aux incidents ou aux tâches médico-légales.

SEC487 : Une autre certification offerte par le SANS qui, dans ce cas, est orientée vers la collecte et la gestion de sources d'information publiques, c'est-à-dire plus orientée vers le renseignement sur les menaces.

SEC541: Surveillance de la sécurité des nuages et chasse aux menaces, également de la SANS.

D'autres certifications connues pour ces profils peuvent être EnCECCE.

Pour un ingénieur en sécurité du cloud ou de réseaux :

Les certifications pour les infrastructures, qu'elles soient physiques ou dans le nuage, sont généralement plus liées à une marque spécifique (celle utilisée par l'entreprise qui embauche). Cependant, l'un des plus connus parmi ceux proposés par les organismes de certification est le CCSP (Certified Cloud Security Professional) accordé par (ISC)².

Pour les managers ou les chefs d'équipe :

Bien que les certifications demandées aux professionnels qui occupent des postes de direction dans une entreprise ne privilégient pas tant la partie technique, ce que les entreprises recherchent, c'est que ceux qui occupent ces postes puissent prouver une connaissance approfondie des aspects méthodologiques de la sécurité appliqués dans l'ensemble de l'entreprise :

CISSP : comme nous l'avons déjà mentionné lorsque nous faisons référence à cette certification offerte par (ISC)², elle est très demandée et constitue généralement une « garantie de confiance ». En effet, il est nécessaire de démontrer que la personne a au moins 5 ans d'expérience de travail dans ce domaine pour obtenir cette certification. Il s'agit d'une certification très théorique.

Parmi les autres certifications de leadership à mentionner, mentions notamment CISM et CISA, toutes deux offertes par l'ISACA.

La réalité est qu'il existe beaucoup plus de certifications. Étant donné qu'il existe plusieurs titres différents pour décrire les différents postes qu'un professionnel peut occuper dans l'industrie de la sécurité, nous espérons que cette liste servira de guide à ceux qui souhaitent étendre ou valider leurs connaissances afin d'avoir une référence où commencer à chercher.

Quelle certification recommanderiez-vous et pourquoi? Dites-le nous dans les commentaires afin que les autres lecteurs puissent lire votre opinion.