Formation certification CCAK

Comprendre les fondamentaux de l’audit cloud

• Évolution du cloud computing et défis pour l’audit
• Spécificités du cloud : élasticité, self-service, mutualisation
• Modèle de responsabilité partagée client / fournisseur
• Rôle de l’audit dans les environnements cloud
• Présentation générale de la certification CCAK

Gouvernance et cadre de conformité cloud

• Référentiels : ISO 27001/17, RGPD, NIST, SecNumCloud
• Acteurs clés : client, fournisseur, tiers, régulateurs
• Politique de sécurité et pilotage des contrôles cloud
• Gouvernance des données et enjeux transfrontaliers
• Outils de traçabilité et contractualisation des engagements
• Atelier : Identifier les responsabilités contractuelles dans un projet SaaS en s’appuyant sur le modèle CCM

Construire un programme de conformité cloud

• Définir les objectifs de conformité dans un contexte multicloud
• Méthodologie d’élaboration d’un programme de conformité
• Choisir les contrôles pertinents à auditer
• Intégration des standards CSA : CCM v4, CAIQ
• Introduction au programme CSA STAR

Maîtriser la Cloud Controls Matrix (CCM v4)

• Architecture de la CCM : domaines, contrôles, mapping ISO/NIST
• Utiliser la CAIQ pour auditer un fournisseur cloud
• Focus sur les contrôles critiques (IAM, logs, chiffrement, réseau)
• Adapter la CCM à un environnement IaaS, PaaS ou SaaS
• Introduction aux guides d’audit CSA et à la notation
• Atelier : Évaluer un contrôle CCM “IAM” à l’aide d’un guide d’audit CSA et noter la conformité

Évaluer les risques et menaces liés au cloud

• Risques spécifiques au cloud : shadow IT, mauvaise configuration, log insuffisant
• Menaces : perte de données, compromission d’API, vulnérabilités partagées
• Modèles d’analyse : STRIDE, impact business, arbres d’attaque
• Priorisation par gravité et probabilité
• Techniques d’audit orientées risque
• Atelier : Construire une heatmap de risques cloud pour une entreprise fictive (multicloud + SaaS)

Préparer et réaliser un audit cloud

• Définir le périmètre de l’audit cloud
• Sélection des contrôles : approche basée sur le risque
• Méthodologie d’audit (planification, collecte, scoring, restitution)
• Différences avec un audit IT traditionnel
• Livrables attendus : plan d’audit, grilles, rapport final

Assurance continue, DevSecOps & automatisation

• Intégrer l’audit dans un pipeline CI/CD
• Notions de drift detection et contrôles en continu
• Outils DevSecOps : GitOps, Terraform, OPA/Rego
• Journalisation et supervision automatisée
• Audit des workloads cloud-natifs (VM, conteneurs, fonctions)
• Atelier : Implémenter un scan de conformité (secrets, vulnérabilités) dans un pipeline CI/CD GitHub Actions

Exploiter le programme CSA STAR

• Fonctionnement du programme STAR
• Auto-évaluation, certification ISO 27001 et attestations SOC 2
• Intégrer STAR dans une démarche de sélection fournisseur
• Utiliser STAR pour comparer les postures sécurité cloud
• Lien entre STAR, CCM et due diligence fournisseurs

Préparer et réussir la certification CCAK

• Structure de l’examen : 76 QCM, 2h, score requis 70 %
• Types de questions posées et thématiques clés
• Recommandations pour l’étude et lecture active du référentiel
• Simulations d’audit : synthèse, restitution, présentation COMEX
• Examen blanc + plan de révision personnalisé