Formation certification CCZT

Origines & Fondamentaux Zero Trust

• Genèse du concept : John Kindervag et la stratégie “Never Trust, Always Verify”
• Principes NIST 800-207 : policy engine, policy enforcement, trust algorithm
• Terminologie clé : protect surface, explicit verification, continuous monitoring
• Différences périmètre traditionnel vs. Zero Trust Edge
• Cadre de référence de la Cloud Security Alliance (CSA ZT Working Group)

Vision Stratégique & Gouvernance ZT

• Alignement business : objectifs, sponsors, parties prenantes
• Rôles & responsabilités : comité Zero Trust, RACI, budget et KPIs/KRIs
• Intégration réglementaire : RGPD, ISO 27001/17, FedRAMP, SecNumCloud
• Roadmap 18 mois : quick wins vs. chantiers structurants
• Atelier : Prioriser les initiatives Zero Trust (matrice valeur/effort)

Gestion du Risque & Maturité Zero Trust

• Méthode de cartographie des actifs et données critiques
• Évaluation du risque latéral et attaques d’identité
• ZT Maturity Model (CISA, Gartner ZTX) : auto-diagnostic organisationnel
• Heat-map risques cloud : impact/probabilité & plans de remédiation
• Outils de mesure continue : scorecards, tableaux de bord COMEX

Architecture Zero Trust (ZTA)

• Plans de contrôle, de données et de gestion
• Micro-segmentation réseau : overlay SD-WAN, ZTNA, proxy inversé
• Conception d’un Policy Decision Point (PDP) et Policy Enforcement Point (PEP)
• Intégration multi-cloud : AWS PrivateLink, Azure Private Link, Identity Broker
• Atelier : Schématiser l’architecture cible sur Draw.io

Software-Defined Perimeter & Accès Confiance Zéro

• Concepts CSA SDP : mutual TLS, cloaking, posture device
• Modèles d’authentification contextuelle : MFA, FIDO2, risk-based access
• Autorisation dynamique : ABAC, policy OPA/Rego, tags de sécurité
• Déploiement d’une passerelle ZTNA open-source (OpenZiti / Cloudflare Tunnel)
• Atelier : Publier un service interne via SDP et tester l’isolation

Identity, Devices & Micro-Segmentation

• Stratégies “least privilege” : rôle, attribut, identité de workload
• Gestion du cycle de vie des identités (CIEM, SCIM)
• Validation de posture des terminaux : EDR, Device Health Attestation
• Micro-segmentation Kubernetes : Cilium/eBPF, policies réseau, service mesh
• Atelier : Pipeline GitOps : push d’une policy OPA et validation CI/CD

Observabilité, Automation & DevSecOps

• Journalisation unifiée : SIEM/SOAR multicloud, UEBA, deception tokens
• Télémétrie en temps réel : metrics, traces, events et score Zero Trust
• Automatisation IaC / GitOps : Terraform, Ansible, politiques de contrôle
• Scans sécurité : SAST, SCA, SBOM continu, contrôle de dérive
• Optimisation des coûts (FinOps) dans une posture Zero Trust

Réponse aux Incidents & Amélioration Continue

• Runbooks IR Zero Trust : isolation segment, rotation secrets, forensics cloud
• Exercices de chaos engineering : test de résilience et fail-open/close
• Gestion des dérives de configuration : drift detection & auto-remediation
• Boucle PDCA : audit, revue KPI, mise à jour politiques et scripts
• Tableaux de bord d’amélioration de maturité ZT trimestriels

Préparation à l’Examen CCZT & Prochaines Étapes

• Structure officielle de l’examen : 60 QCM, 120 min, open-book, seuil 80 %
• Stratégiques de révision : banque de questions, indexation des supports
• Examen blanc chronométré et débrief personnalisé
• Plan de montée en compétence : CCZT → CCSK / CCSP / Spécialités Cloud
• Communauté CSA : Circle, Slack alumni, webinars d’actualisation