SANS FRAIS 1 877-777-6412

Certifications et diplômes en cybersécurité

certifications et études en cybersécurité

Aujourd’hui, plutôt que de vous parler des nouveautés en cybersécurité, nous allons faire le point sur les études et certifications en cybersécurité. Nous aimerions nous adresser aux professionnels du milieu qui désirent atteindre un autre niveau et se positionner comme des experts dans leur domaine. Comme vous le savez, le monde de la cybersécurité est très large et il y a plusieurs corps de métiers différents dans lesquels vous pouvez vous spécialiser.

Vous êtes un analyste voulant en apprendre plus sur un produit, un pen tester, un conseiller en architecture ou en gouvernance? Cet article va vous intéresser!

Dans cet article, vous trouverez de l’information pratique qui vous permettra de mieux vous orienter dans cette jungle que sont les formations académiques et certifications. Pour ceux et celles qui sont autodidactes, ces formations et certifications vous permettront d’officialiser vos compétences! Pour nous aider à y voir plus clair, Jean-Philippe, notre président, répond à quelques-unes de nos questions.

Tout d’abord, pourquoi aborder ce sujet aujourd’hui?

Certains professionnels en sécurité que je rencontre font face à une même problématique: ils travaillent et ont de l’expérience en cybersécurité depuis plus de 5 ans, mais ils y sont arrivés sans formation officielle. Ils sont « tombés dedans » — souvent par intérêt — et ont appris sur le tas, de façon très autodidacte. Il vient un temps où ils aimeraient officialiser leurs compétences afin d’avancer plus rapidement dans leur carrière.

Et il y a également ceux qui ont de 1 à 4 ans d’expérience dans le domaine, ou encore qui désirent se spécialiser à temps plein dans ce créneau. Dans ce cas précis, ils proviennent souvent du domaine des télécommunications ou de l’administration réseau et ils ont eu à faire de la sécurité « par la bande » avec leurs multiples chapeaux. Ils tentent alors de percer en tant qu’analystes ou architectes de sécurité. Mais ils ont de la difficulté à convaincre un employeur de les engager afin de faire de la sécurité à temps plein.

Une question revient donc à chaque fois : « quelles études ou certifications en cybersécurité s’offrent à moi? ».

J’aimerais aujourd’hui leur apporter une réponse.

Peux-tu nous parler de ton parcours à toi? Quelles formations en sécurité as-tu suivies?

À l’aube des années 2000, j’ai tout d’abord fait une formation collégiale avec une Attestation d’Études collégiales (AEC) en Installation et gestion de réseaux du collège Multihexa. Comme je n’avais pas de DEC, j’ai rapidement commencé à faire des certifications telles que le MCSE 2000/2003 de Microsoft ainsi que le Cisco CCNA. J’ai alors occupé des postes à titre de spécialiste technique de niveau 1, 2 et 3. À ce moment, je n’étais pas encore spécialisé en sécurité.

Comme je l’ai déjà raconté dans un article précédent, j’ai eu une aventure dans le passé qui m’a quelque peu traumatisé et qui a grandement influencé mon intérêt envers le domaine de la cybersécurité.

J’ai donc eu l’opportunité d’effectuer un premier mandat en sécurité à titre d’analyste en sécurité. Je me suis spécialisé dans les technologies Check Point et Juniper Network. Voulant devenir un peu moins spécifique sur les produits de sécurité et apprendre les techniques plus « générales » du domaine, j’ai par la suite poursuivi les certifications COMPTIA Sécurity+, ISC2 CISSP ainsi que ISACA CISA. J’ai alors pu faire des mandats en architecture de sécurité et en gouvernance de la sécurité dans les années qui ont suivi.

Finalement, ayant toujours mon AEC en poche, il me manquait des qualifications universitaires. C’est dans ce contexte que suite à bien des démarches, j’ai pu être admis au programme de Maîtrise en gouvernance, audit et sécurité des TI (GASTI) de l’Université de Sherbrooke. Plus récemment, j’ai obtenu la certification CCSK du CSA qui traite spécifiquement de la sécurité de l’infonuagique.

Maintenant à la tête de Cyberswat, je consacre un peu plus mes efforts à parfaire mes connaissances à titre de décideur d’entreprise et de gestionnaire… Mais qui sait? J’aime tellement la sécurité que je vais probablement suivre à nouveau un cours ou une certification dans mon domaine de prédilection 😉

Wow! Cela fait beaucoup d’acronymes! Peux-tu nous en dire plus sur ces certifications?

Bien sûr! Je vais entrer un peu plus dans le détail dans les formations qui, selon moi, sont les plus prometteuses pour l’avancement d’une carrière en sécurité.

Pour celui qui a entre 1 et 4 ans d’expérience, les principales certifications qui sont intéressantes sont les suivantes:

1- La certification CompTIA Security +

S’il fallait commencer par une certification, ce serait celle-ci. Cette certification a une approche globale et permet de valider les compétences de base d’une personne se destinant à une carrière en cybersécurité. Plusieurs sujets sont abordés tels que les menaces, les types d’attaques, les vulnérabilités, la gestion du risque, la cryptographie et la gestion des identités et des accès. Afin d’obtenir la certification, un examen de 90 minutes doit être réalisé.

Pour en savoir plus

2- La certification SSCP – Systems Security Certified Practitioner

sscpReconnue globalement et entérinée par ISC2, cette certification est un excellent moyen de faire avancer sa carrière en attestant de sa capacité à sécuriser davantage les actifs critiques de son entreprise. Je vois beaucoup d’analystes en sécurité qui commence par cette certification en vue de faire éventuellement le CISSP.

La certification permet de démontrer que l’on possède des compétences techniques poussées. Elle démontre aussi qu’on a les connaissances pour mettre en place, monitorer et gérer une infrastructure de TI, tout en s’assurant de respecter les meilleures pratiques et procédures de sécurité. Elle ne requiert pas d’expérience préalable, mais demandera d’aller faire un examen chez Person Vue et il y aura des frais annuels de maintenance de la certification. Généralement ton employeur va accepter de payer les frais de maintien de la certification; en tout cas, c’est le cas chez Cyberswat 😉

Pour en savoir plus 

3- La certification CompTIA Cybersecurity Analyst+ (CySA+)

Je n’ai jamais fait l’examen du CySA+, mais je vois de plus en plus de personnes certifiées; signe d’une popularité croissante. Attention, ce n’est pas la même certification que le CISA de ISACA, elles n’ont pas du tout le même niveau de difficulté. Fait par CompTIA tout comme le Security+, il est vu comme étant la suite de cette première certification. Security+ est un peu plus technique sur les protocoles de sécurité, cryptographie, etc. CySA+ sera davantage orienté vers les malwares, le piratage, etc. dans le but de faire partie de la fameuse « blueteam ». Comme le Security+, c’est une bonne première certification à aller chercher.

Pour en savoir plus

4- Les certifications CEH de EC-Concil et OSCP de Offensive Security

CEHLa certification CEH est très populaire auprès des gens qui désirent en savoir plus sur les techniques de tests d’intrusion et de balayages de vulnérabilités. Donc contrairement au CySA+, on se retrouve davantage du côté de l’attaque, soit dans la « redteam ». Malgré son nom, il ne faut pas croire qu’une personne certifiée est déjà toute prête pour faire des tests d’intrusion avancés. Il faudra des années d’expérience dans le domaine avant de pouvoir prétendre le faire. Cependant, c’est un bon moyen pour s’orienter dans le domaine du pen test et pour démontrer, à des employeurs potentiels, son désir de continuer dans cette lignée. Pour obtenir la certification, il faudra faire un examen de 4h chez Person VUE qui totalise 125 questions.OSCP

Pour en savoir plus 

De plus, sachez qu’il y a également le Offensive Security Certified Professional (OSCP) qui est de plus en plus populaire et qui est bien reconnu.

Ok! Peux-tu nous en dire plus sur les certifications plus avancées?

Oui, je vais les présenter. Bien qu’il soit possible pour des personnes débutantes dans le domaine d’aller faire les examens de certification ci-dessous, elles sont davantage pour les personnes ayant 5 ans et plus d’expérience en sécurité. Les principales certifications qui sont intéressantes sont les suivantes:

1- La certification CISSP (Certified Information Systems Security Professional)

Beaucoup de « généralistes » en sécurité désirant démontrer leur expertise choisissent le CISSP de l’organisme ISC2. Il s’agit de l’une des certifications les plus connues et réputées du domaine qui n’est pas spécifique à un manufacturier précis. Pour ceux ayant réalisé le SSCP, il s’agit de la suite logique. Par contre, il n’est pas nécessaire de faire le SSCP avant.

Ce qui distingue cette certification des autres présentés plus tôt, c’est qu’après avoir fait l’examen, il faut passer par un processus de « Certification ». Le candidat devra prouver qu’il détient bien 5 années d’expérience dans un ou plusieurs des domaines de connaissance du CISSP.

C’est une étape très importante; je vois souvent des personnes qui ont réalisé l’examen et qui malheureusement n’ont pas pris le temps de faire la seconde étape de la certification. C’est dommage, car à ce moment, on n’a pas le droit de s’afficher en tant que personne certifiée. Cela a bien sûr des impacts dans la perception des employeurs et des clients qui engagent des spécialistes en sécurité.

De mon côté, j’ai fait cet examen en 2007 et je dois avouer que c’est l’examen le plus stressant que j’ai eu à faire de ma vie! Cet examen de 6 heures avait plus de 250 questions à l’époque. Il se déroulait dans une grande salle avec des dizaines d’autres personnes. Nous n’avions même pas le droit d’avoir une barre tendre à notre bureau. Quelqu’un nous suivait jusqu’à l’entrée des toilettes pour s’assurer que nous n’essayions pas de tricher! La formule a légèrement changé depuis, mais la nature des questions demeure la même; c’est un examen relativement technique et il y a tout de même pas mal de par cœur. C’est d’ailleurs un volet qui est critiqué dans cette certification. Elle n’est pas gage de tout: la certification atteste d’un certain niveau de connaissance, mais elle ne garantit pas le bon sens des gens 😉

Pour en savoir plus 

2- La certification CISA (Certified Information Systems Auditor)

CISALa certification CISA faite par ISACA est une certification très prisée des auditeurs en sécurité. Reconnue mondialement, elle représente un standard de réussite auprès de tous les intervenants en sécurité qui participent à la vérification, au contrôle et à l’évaluation des systèmes TI d’une entreprise ou organisation. Moins technique que le CISSP, c’est une très bonne certification pour une personne qui désire confirmer son expertise dans le domaine.

Contrairement à la certification CISSP qui visent uniquement les professionnels en TI, le CISA attire également les gens provenant du domaine financier et de la comptabilité. Cette certification est très demandée par les clients et employeurs qui veulent faire auditer leurs systèmes informatiques.

Comme pour le CISSP, il faut prouver son expérience (5 ans) dans le domaine de la sécurité et de l’audit une fois que l’on a réussi l’examen. ISACA-Québec offre du coaching pour faire la certification, c’est ce que j’avais fait à l’époque pour l’obtenir.

Pour en savoir plus 

3-  La certification CISM (Certified Information Security Manager)

CISMCette certification est également faite par ISACA et le processus pour l’obtenir est similaire. La différence avec le CISA est principalement qu’elle est axée sur la gestion de la sécurité au lieu de l’audit. Elle est populaire chez les gens qui désirent démontrer leur expertise du domaine et qui visent un poste de direction.

Pour en savoir plus 

Mais maintenant, qu’en est-il de la formation académique de niveau universitaire? Est-ce que ça vaut la peine?

Oui certainement. J’ai beaucoup mis de l’avant les certifications, mais il demeure que d’obtenir des diplômes officiels du Ministère de l’Éducation est un must! Le niveau de scolarité obtenu est important pour les employeurs et pour les clients provenant des grandes entreprises. Alors, c’est définitivement un chemin qu’il faut suivre. Voici quelques exemples:

1- HEC – Microprogramme en sécurité informatique des systèmes (1er cycle)

hec montrealCette formation, qui permet de cumuler 15 crédits universitaires, peut s’effectuer à temps partiel et sur une année.

Elle vous préparera à la certification CISSP tout en vous donnant un aperçu de la gestion des systèmes d’information : architecture, gouvernance, gestion des risques, développement, cadre réglementaire, normes, sécurité physique, sécurité des infrastructures et des applications, analyse des processus et exploitation de la sécurité. Avec ce certificat en poche, vous pourrez éventuellement devenir spécialiste en sécurité TI, analyste en cybersécurité ou encore conseiller en sécurité de l’information.

Pour en savoir plus 

2- Université de Sherbrooke – Maîtrise en administration – GASTI – Gouvernance, audit et sécurité des technologies de l’information

sherbrooke universityCette maîtrise est unique au Québec. Elle permet d’acquérir non seulement toutes les notions nécessaires pour devenir gestionnaire spécialisé en TI, mais aussi celles nécessaires pour réussir l’examen CISA d’ISACA. C’est cette maîtrise que je suis allé chercher à l’époque. Ce fut un long processus puisque que les cours étaient de soir et fin de semaine. Mais je n’ai pas eu à quitter le marché du travail pour la compléter, ce qui a été un très grand avantage. Dans ce contexte, cette formation est spécialement conçue pour les professionnels en exercice. Elle est donnée à temps partiel à Longueuil, mais il est possible de suivre les cours en ligne depuis la maison.

Pour en savoir plus

3-  Certificats et BAC en cybersécurité de la Polytechnique de Montréal

polytechnique MontrealLa polytechnique de Montréal offre 3 certificats en cybersécurité:

  • Cyberenquête
  • Cyberfraude
  • Cybersécurité des réseaux informatiques

Ces certificats ont le gros avantage d’être des programmes en ligne avec possibilité de le faire à temps partiel, donc les étudiants peuvent les suivre sans devoir arrêter de travailler pour étudier. La particularité de ce programme, outre qu’il offre vraiment un tour complet des enjeux en cybersécurité, est qu’il permet d’obtenir un bac par cumul si on réussit les 3.

Ce cursus est très populaire en ce moment, on voit beaucoup de professionnels du marché qui ont étudié ou étudient actuellement pour ces certificats. Ils sont aussi bien reconnus par les employeurs et les clients. Ce programme permet de voir autant des volets techniques que de la gestion donc il est très complet. C’est un bon moyen d’aller chercher un diplôme universitaire qui fait la différence sur le marché, surtout à Québec.

Pour en savoir plus

celebration etude

J’ai choisi de parler de ces 3 programmes universitaires, car ce sont ceux que je connais le plus personnellement. Cependant, la cybersécurité est vraiment un domaine qui prend de l’ampleur ces dernières années donc les formations se multiplient. Le Serene Risc a fait une compilation de tous les programmes en cybersécurité au Québec: https://www.serene-risc.ca/fr/repertoire-des-programmes-en-cybersecurite

Selon toi, quel est le programme ou la certification la plus pertinente à faire pour être en phase avec la transformation numérique en cours?

S’il n’y avait qu’une seule certification à faire pour les enjeux futurs, ce serait:

La certification CCSK ou la CCSP

La CCSK est axée sur le cloud computing (infonuagique) et est entérinée par le Cloud Security Alliance (CSA) . Avec elle, vous pourrez valider vos compétences et connaissances tout en prouvant votre capacité à développer un programme de sécurité infonuagique qui respecte les standards de l’industrie. Outre l’examen, elle ne demande pas de faire un processus de certification formel, mais elle vous donnera clairement un avantage compétitif sur un marché grandissant. Pour en savoir plus

CCSPSachez qu’il y a également une autre certification cloud qui fait sa place dans le marché, soit le Certified Cloud Security Professional (CCSP) entériné par ISC2. Ayant été fait en collaboration avec le CSA, il est probable qu’elle ait un bon potentiel.

As-tu quelque chose à rajouter sur les formations en cybersécurité en général?

Aujourd’hui plus que jamais, les formations en cybersécurité prennent tout leur sens. En plus, nous n’avons même pas eu le temps d’aborder les formations et certifications en lien avec les normes ISO comme ISO/IEC 27001 Lead Implementer, ISO/IEC 27001 Lead Auditor ou encore ISO/IEC 27005 Risk Manager qui sont très pertinente également.

Finalement, il faut retenir que de nombreux emplois sont créés chaque année afin de protéger les entreprises contre les risques liés aux TI. Si on parle juste de l’année 2019, avec les gros incidents de sécurité qui ont fait la une des journaux depuis quelques mois, la cybersécurité a pris une place au-devant de la scène. Tout le monde en parle et cette prise de conscience collective se répercute inexorablement sur les entreprises. Aucun dirigeant ne veut voir son entreprise épinglée pour un incident de cybersécurité donc les professionnels du domaine sont de plus en plus recherchés.

En effet, on estime que d’ici 2020, à l’échelle internationale, on manquera de 1,5 million d’experts en cybersécurité. Au Canada, on parle de dizaines de milliers.*

L’expérience dont vous disposez est un sérieux atout. Une certification ou un diplôme pour l’appuyer fera de vous un candidat très prisé. En effet, les employeurs se basent souvent sur les diplômes et les certifications pour évaluer le niveau d’un candidat.

*Benoît Dupont, de la chaire de recherche du Canada en cybersécurité à l’UdeM

Les consommateurs prêts à fuir les commerces ayant subi une brèche de sécurité

Saviez-vous que les consommateurs seraient réellement prêts à fuir les commerces ayant subi une brèche de sécurité?
Un sondage réalisé aux États-Unis par la firme KPMG rapporte que 33 % des consommateurs sont susceptibles d’éviter de fréquenter un commerce pendant au moins trois mois si ce commerce subissait une brèche de sécurité.D’après l’enquête 2016 Consumer Loss Barometer, 19 % des répondants iraient même jusqu’à cesser de fréquenter un commerce qui serait à l’origine d’un piratage de leurs renseignements personnels, et ce, même si l’entreprise fait ce qu’il faut pour remédier à la situation.

L’analyse de risques de vos systèmes informatiques : un moyen efficace de prévenir une brèche de sécurité

Afin d’éviter qu’une brèche de sécurité survienne, plusieurs mesures de cybersécurité doivent être mises en place dans votre organisation. Or, il n’est pas toujours évident d’obtenir des recommandations concrètes et de prioriser ce qui doit être fait. De plus, si votre budget est serré, le recours prolongé à un consultant n’est pas toujours possible. Pourtant, il faut agir, car les consommateurs pourraient fuir votre commerce si un problème survenait!

Suivez-nous sur TwitterFacebook ou encore sur Linkedin.

Comment éviter de payer une rançon à des pirates informatiques

Les cas d’entreprises ayant dû payer une rançon à des pirates informatiques s’accumulent depuis les dernières années. Pourtant, bien souvent, cela pourait être facilement évité!

Le journal La Presse rapporte les conclusions d’une étude réalisée au Canada et dans trois autres pays : 44 des 125 entreprises canadiennes sondées avaient été victimes d’une extorsion informatique au cours des 12 mois précédents.

Selon cette étude, 75 % des entreprises canadiennes victimes d’un rançongiciel ont dû verser entre 1 000 $ et 50 000 $ aux pirates. Près de 10 % d’entre elles ont même cessé leurs activités un certain temps afin de régler le problème!

La sensibilisation de vos employés est un moyen efficace d’éviter de payer des rançons

Conscientiser les membres de votre personnel aux dangers informatiques permet en effet de diminuer les risques de se voir demander une telle rançon. Bien que plusieurs technologies puissent aider (antivirus, antimalware, antipourriel, etc.), les pirates informatiques trouvent souvent des moyens de passer entre les mailles de ces filets. Il faut donc que TOUS vos employés soient vigilants et qu’ils respectent les bonnes pratiques de sécurité communiquées par votre entreprise.

Vous pouvez également nous suivre sur TwitterFacebook ou encore sur Linkedin.

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.