CERTIFIED APPLICATION SECURITY LEAD IMPLEMENTER MAÎTRISER LA MISE EN ŒUVRE DE PROCESSUS, D ACTIVITÉS ET DE TECHNIQUES DE SÉCURITÉ, À TRAVERS L ORGANISATION SUR LA BASE DE LA NORME INTERNATIONALE SÉCURITÉ DES APPLICATIONS (SA) 1. SOMMAIRE Ce cours intensif de cinq jours permet aux participants de comprendre les principes et les concepts spécifiques proposés par la norme, en matière de SA, et de comprendre comment mettre en œuvre la SA, étape par étape, afin d aider les organisations à développer, acquérir, implanter, utiliser et maintenir des applications à un niveau de confiance préalablement ciblé, en fonction de leur contexte d'affaires spécifique, et ce, à un coût acceptable. Plus précisément, le cadre propose des composants et des processus pouvant fournir des preuves vérifiables confirmant que les exigences de SA ont été atteintes et maintenues au niveau de confiance ciblé, tel que spécifié par l'organisation. La responsabilité d un Certified ISO/CEI 27034 Application Security Lead consiste à aider les organisations à mettre en place les éléments de la structure 27034 requis et de guider l'organisation à intégrer les contrôles de sécurité des applications (CSA) de façon transparente, tout au long du cycle de vie de leurs applications. La SA s intègre non seulement au logiciel d'une application, mais elle englobe aussi l ensemble des autres composantes et facteurs qui influent sur sa sécurité, à savoir : son contexte technologique, son contexte réglementaire, son contexte d'affaires, ses spécifications, la sensibilité de ses données, ainsi que les processus et les acteurs intervenant tout au long de son cycle de vie. Ce cadre s applique à toutes les tailles et tous les types d'organisations (i.e., non seulement les entreprises commerciales, les organismes gouvernementaux et les organismes sans but lucratif qui utilisent des applications, mais aussi les grandes, moyennes et petites entreprises qui développent des logiciels, des applications et des services d affaires) exposées à des risques de sécurité menaçant les informations liées à leurs applications.
2. PLAN DU COURS DURÉE : 5 JOURS JOUR 1 Introduction Comprendre le cadre Vue d ensemble de la SA et des concepts tels que proposés par Introduction à AS et vision globale Principes fondamentaux en sécurité de l information Aperçu, concepts, principes, définitions, étendue, composants, processus et acteurs de la SA Concepts implicites intégrés Présentation de la série 27034 : Part 1: Overview & concepts Part 2: AS in an organization Part 3: AS in a project Part 4: AS validation, verification and certification Part 5: AS structures requirements Part 5-1: XML Schemas Part 6: Examples and cases study JOUR 2 Mise en œuvre de la SA selon Sécurité dans un projet d application Processus de gestion de la sécurité des applications Acquisition et opération d une application Maintien du niveau de confiance réel au niveau de confiance ciblé Développement de la validation de la SA
JOUR 3 JOUR 4 Mise en œuvre de la SA selon (suite) Validation et certification de la SA SA au niveau organisationnel Objectifs de la SA pour une organisation Cadre normatif de l organisation (CNO) Comité du CNO Processus de gestion du CNO Intégration des éléments d dans les processus existants de l organisation Conception, validation, implantation, vérification, opération et évolution des contrôles de la sécurité des applications (CSA) Bibliothèque des CSA Matrice de traçabilité de la SA Ébauche du processus de certification Conseils de sécurité pour des organisations et des applications spécifiques Études de cas Exemples d implantation dans de petites et grandes organisations Comment peut contribuer à résoudre des exigences réglementaires contradictoires pour une application Développement de CSA Acquisition de CSA Les objectifs d un audit interne de la SA Minimiser les coûts d un audit S assurer que toutes les preuves attendues sont prêtes Présentation des processus de validation et de certification SA selon. Comment aider une organisation à être certifiée Comment aider un projet d application à être certifié Protocoles et structures de donnée des CSA, basés sur ISO/CEI 27034 Un langage formel gratuit pour communiquer les CSA XML Schémas proposes par ISO/CEI 27034 Structure de données, descriptions, représentation graphique ISO/CEI 27034 AS Révision finale JOUR 5 Certification Retour Réponses aux dernières questions et complément d'information si désiré. de certification de certification (3 heures, notes de cours autorisées).
3. QUI DEVRAIT S'INSCRIRE? Les gestionnaires, tels que les responsables de la sécurité de l information, les chefs de projets, les administrateurs, les gestionnaires de développement de logiciels, les propriétaires d applications et les membres de la haute direction qui souhaitent : équilibrer le coût de la mise en œuvre et le maintien de la SA par rapport aux risques et à la valeur qu elle représente pour l organisation; préparer et soutenir une organisation dans la mise en œuvre d'un projet de SA. Les membres des équipes d'approvisionnement et d opération, tels que les : architectes, analystes, programmeurs, testeurs, administrateurs système, administrateurs de bases de données, administrateurs réseau ainsi que le personnel technique qui souhaitent : minimiser l'impact des CSA à introduire dans les processus existants des organisations, tels que la conception, le développement, l'essai, le déploiement, l'exploitation, l'archivage et la destruction; comprendre quels contrôles devraient être appliqués à chaque étape du cycle de vie de l application et lesquels doivent être mis en œuvre dans l'application elle-même. Les acheteurs et les fournisseurs qui souhaitent : préparer/répondre aux demandes de soumission qui comportent des exigences pour les CSA et le niveau de confiance. Les auditeurs qui souhaitent : Comprendre les processus SA impliqués dans la norme. 4. OBJECTIFS D APPRENTISSAGE Comprendre l'application d'un programme de sécurité des applications dans le contexte d' Acquérir une compréhension approfondie des concepts, des approches, des normes, des méthodes et des techniques nécessaires à la gestion efficace de la SA Comprendre la relation entre les composantes de la SA, y compris la gestion des risques, les contrôles et la conformité, et les exigences des différentes parties prenantes dans une organisation Acquérir les compétences nécessaires pour soutenir une organisation dans la mise en œuvre, la gestion et le maintien d'un programme de SA conforme aux spécifications de la norme Acquérir l expertise nécessaire pour gérer une équipe d implantation de la norme Développer les connaissances et les compétences nécessaires pour conseiller les organisations sur les meilleures pratiques de gestion de la SA Améliorer les compétences analytiques et décisionnelles dans le cadre de la SA
5. DOMAINES DE COMPÉTENCES L'examen de Certification ISO/CEI 27034 Application Security Lead répond pleinement aux exigences du programme de certification PECB (ECP : Examination and Certification Program). L'examen porte sur les domaines de compétences suivants : DOMAINE 1 : PRINCIPES ET CONCEPTS FONDAMENTAUX DE LA SÉCURITÉ DES APPLICATIONS Objectif principal : veiller à ce que le candidat à la certification de la norme Application Security Lead puisse comprendre, interpréter et illustrer les concepts clés de la SA liés à sa mise en œuvre dans une organisation et dans un projet d'application en conformité de la norme, y compris la portée de la SA, comment la SA se rattache à ISO/IEC 27001, ses avantages et ses limites. DOMAINE 2 : CONTRÔLES DE SÉCURITÉ DES APPLICATIONS (CSA) ET AUTRES BONNES PRATIQUES EN SA Objectif principal : veiller à ce que le candidat à la certification de la norme AS Lead puisse comprendre, interpréter et fournir des conseils sur la façon de mettre en œuvre et gérer les meilleures pratiques de CSA pour appuyer et soutenir d autres nomes et les meilleures pratiques telles que : ISO/IEC 27002, ISO/IEC 15288, les Critères communs, CMMI, PMI, ITIL, COBIT et OWASP. DOMAINE 3 : PRÉPARATION D UN PROGRAMME DE SA SELON Objectif principal : veiller à ce que le candidat à la certification de la norme AS Lead puisse planifier et préparer de manière appropriée l implantation d un projet de SA organisationnel ou un projet d application dans le contexte d ISO/IEC 27034. DOMAINE 4 : MISE EN ŒUVRE D UN PROGRAMME DE SA BASÉ SUR Objectif principal : s assurer que le candidat à la certification de la norme AS Lead puisse mettre en œuvre les processus nécessaires et les CSA dans un projet d une organisation ou un projet d application en conformité avec. DOMAINE 5 : ÉVALUATION DE LA PERFORMANCE, SUIVI ET MESURE D UN PROGRAMME DE SÉCURITÉ DES APPLICATIONS BASÉ SUR Objectif principal : s assurer que le candidat à la certification de la norme AS Lead puisse surveiller et évaluer, dans le contexte des besoins en SA d une organisation, la performance d un projet de SA organisationnel ou d un projet d application basé sur. DOMAINE 6 : AMÉLIORATION CONTINUE D UN PROGRAMME DE SA BASÉ SUR Objectif principal : s assurer que le candidat à la certification de la norme AS Lead puisse fournir des conseils sur l amélioration continue d un projet organisationnel de SA ou un projet d application SA dans le contexte d.
DOMAINE 7 : PRÉPARATION D UN AUDIT DE CERTIFICATION DE SA BASÉ SUR Objectif principal : s assurer que le candidat à la certification de la norme AS Lead puisse préparer et conseiller une organisation dans sa démarche de certification standard. Ces certifications peuvent être obtenues au niveau de l organisation en soi, ou encore pour des applications spécifiques. 6. EXAMEN L examen de certification Application Security Lead est disponible en différentes langues, incluant l anglais, le français et l espagnol. Durée : 3 heures Pour des informations complémentaires, en ce qui a trait à l examen, veuillez visiter le site : www.pecb.org 7. CERTIFICATION Après avoir réussi l examen, les participants peuvent appliquer pour obtenir une reconnaissance de Certified ISO/CEI 27034 Application Security Provisional, Certified ISO/CEI 27034 Application Security ou Certified ISO/CEI 27034 Application Security Lead, selon leur niveau d expérience. Ces reconnaissances professionnelles sont accessibles autant aux auditeurs internes qu aux auditeurs externes. Un certificat sera émis aux participants qui passent l examen avec succès, et répondent aux exigences liées à la reconnaissance désirée : Reconnaissance Certified Application Security Provisional Certified Application Security Certified Application Security Lead CASLI Application Security Lead Application Security Lead Application Security Lead Expérience professionnelle Expérience en ITST Audit experience ITST Project experience Autres exigences Aucun Aucun Aucun Signer le code d'éthique PECB 2 ans Un an d'expérience en technique de sécurité des technologies de l information 5 ans Deux ans d'expérience en technique de sécurité des technologies de l information Aucun Aucun Projets totalisant 200 heures d'activités Projets totalisant 300 heures d'activités Signer le code d'éthique PECB Signer le code d'éthique PECB
8. INFORMATION GÉNÉRALE Les frais de certification sont inclus dans le coût de l examen. Le manuel du participant contient plus de 350 pages d information et d exemples pratiques. Un certificat de participation de 31 DPC (développement professionnel continu) des crédits sera délivré aux participants. En cas d échec à l examen, les participants peuvent le reprendre gratuitement à certaines conditions. Les participants devraient acquérir et apporter une copie légale de la Norme Internationale Information technology Security techniques Application security Part 1: Overview and concepts, pour consultation durant la formation.