J’ai passé la certification ISO27001 Lead Auditor

En juin dernier, William, consultant cybersécurité chez SkillX a passé la certification ISO27001 Lead Auditor. Il a accepté de partager cette étape clé de son année en répondant à quelques questions !

Dans quel contexte tu as souhaité passer cette certification ?

« Au préalable, il me parait important de préciser que chez SkillX, la formation occupe une place importante. Cela fait partie de nos valeurs : il est attendu de chaque SkillXmate qu’il se développe et qu’il aide également ses pairs à se développer. SkillX a à cœur de répondre aux besoins de ses collaborateurs et aux exigences de leurs missions en leur permettant de réaliser autant que possible, les formations nécessaires, le tout dans le respect d’une démarche frugale caractéristique de l’entreprise.

Dans ce contexte, il était donc naturellement prévu que je passe quelques certifications. De ce point de vue, je suis très heureux, car SkillX a bien tenu ses promesses et dès ma première année, j’ai pu passer des certifications dont une dans le domaine de la cybersécurité. De plus, l’année prochaine, j’aurai l’opportunité d’en passer plusieurs autres dans différents domaines dont l’IAM et le Cloud.

Je dois cependant dire que pour ma première certification, je n’avais pas prévu de passer la ISO27001 Lead Auditor. J’imaginais plutôt monter en compétence techniquement et me concentrais pour cela sur l’OSCP (Offensive Security Certified Professional). Cependant, du fait d’un besoin lié à ma mission actuelle, les choses se sont présentées autrement et j’ai saisi l’opportunité ! D’autant plus que, dans une de mes précédentes missions, j’avais mis en place un Système de Management de la Sécurité de l’Information (SMSI) à la suite d’une analyse de risques (EBIOS 2010). Grâce à cette expérience, je possédais donc de très bonnes connaissances dans le domaine et remplissais ainsi les prérequis pour passer cette certification. »

William, consultant cybersécurité

Quels avantages présente cette certification pour toi ? Pour SkillX ? 

« Vu mon profil junior et ma très jeune expérience, passer cette certification m’a permis de valoriser mes compétences et surtout d’en acquérir de nouvelles. J’ai ainsi plus de billes pour mener à bien ma mission actuelle. C’est aussi un atout pour mes futures missions car j’aurais plus de crédibilité auprès de nos futurs clients et aussi auprès de mes pairs.

Pour SkillX, cette certification élargit notre offre de services, car nous avons aujourd’hui la possibilité d’aller auditer les systèmes de management de la sécurité de l’information de nos clients. C’est également un gage de confiance auprès de nos actuels et futurs clients. »

D’un point de vue pratique, comment s’est organisée cette certification ?

Comme vous le savez, 2020 n’est pas une année comme les autres ! Comme dans la plupart des domaines, les organismes de formation ont dû s’adapter et repenser leur façon de faire. Ma formation était programmée à l’issue du premier confinement (juin 2020), j’ai donc dû la faire à distance sur Teams. C’est très différent d’une formation en présentiel : les interactions avec le formateur et les autres participants ne sont pas les mêmes… Néanmoins, la formation s’est super bien déroulée !

Nous n’étions que trois personnes, quatre avec le formateur. La communication était fluide, le formateur nous connaissait très bien et nous faisait tous participer. De nombreux ateliers et mises en situation réelles nous ont également permis de mettre en pratique ce que nous apprenions.

En outre, passer la formation à distance a présenté certains avantages comme notamment le fait de ne pas devoir se déplacer en Ile-de-France et éviter ainsi le stress des transports et toutes les notes de frais que ce genre de déplacement pourrait engendrer pour l’entreprise.

Quel était le niveau de difficulté par rapport à ce à quoi tu t’attendais ?

La formation a débuté le premier jour par une introduction à la sécurité de l’information et à la norme ISO 27001. J’étais plutôt à l’aise, car j’avais beaucoup étudié la norme durant mon cursus universitaire (à ISTV et à la Fac Sciences de Nancy). De plus, comme je l’ai dit précédemment, j’avais déjà travaillé avec la norme lors d’une mission précédente. C’était pour moi une piqûre de rappel.

Le deuxième jour nous sommes entrés dans le vif du sujet en abordant les concepts et principes fondamentaux de l’audit. Cette partie du cours était passionnante et en même temps très vaste ! Difficile de tout retenir du premier coup, mais il y a une phrase que j’ai bien aimée et qui va sans doute parler à tout le monde quel que soit le domaine :

« Auditer, c’est demander à l’audité ce qu’il fait et vérifier s’il le fait. »  

Je trouve qu’elle résume vraiment bien la notion d’audit ! Les jours suivants concernaient les activités d’audit sur site (ou audit partie 2) et les conclusions d’un audit. Les nombreux ateliers et exercices nous ont permis de nous mettre dans la peau d’auditeurs et de mieux appréhender le métier. Je n’ai pas vraiment eu de difficultés, car j’avais déjà fait des audits auparavant. Néanmoins, j’ai appris comment le faire de façon correcte, en suivant les bonnes pratiques. C’est surtout cela l’intérêt de passer des certifications. Grâce à cette formation, j’ai appris par exemple comment mieux communiquer durant mes audits, quelles procédures appliquer pour les tests, comment rédiger de la documentation de qualité en rapport avec l’audit, etc… Il faut également être doué de bon sens dans ce métier, car un auditeur ne sera pas toujours confronté aux mêmes situations. Il devra s’adapter en fonction des circonstances et prendre les décisions qui conviennent.

Combien d’heures ça représente ?

Quand on apprend, on ne compte pas les heures (rires). Plus sérieusement, la formation s’étalait sur 5 jours à raison de 7 h à 8 h de cours par jour, il faut ajouter à cela les heures passées à relire les cours le soir, à faire les exercices et à se préparer pour l’examen. Je n’ai pas passé l’examen à la fin de la formation mais une dizaine de jours plus tard. J’ai donc dû relire les cours ainsi que mes notes afin de me rafraîchir les idées avant de passer la certification. Au total, j’en ai eu pour un peu plus de 45 heures. Cela peut paraître énorme et je suis sûr que beaucoup ont eu la certification en bien moins de temps. Mais j’aime prendre mon temps pour bien faire les choses. Je m’étais secrètement fixé un challenge personnel : atteindre la note maximale ! Même si au final, je ne saurai jamais la note que j’ai obtenue vu qu’elle n’est pas affichée dans les résultats, je suis heureux de m’être donné au maximum.

Est-ce que ça a été instructif ?

Oui bien sûr, on apprend toujours énormément de choses dans ce genre de formation. Je suis certain que si je repassais la même formation, j’apprendrais encore de nouvelles choses, car en plus du contenu du cours, j’ai eu la chance de profiter de l’expérience du formateur qui nous l’a dispensée, mais également de celle de tous ceux qui ont participé à la formation.

L’après certification : comment tu la mets en pratique aujourd’hui ou compte le faire demain ?

Mon objectif en passant cette certification était de pouvoir accompagner mon RSSI dans les missions d’audit des filiales de l’entreprise que ce soit en France ou à l’étranger. Malheureusement, la situation actuelle ne nous permet pas de mener nos audits dans l’immédiat du fait du gel des déplacements. Néanmoins, je mets en pratique ce que j’ai appris au quotidien. Un exemple : en accompagnant les chefs de projet dans l’audit des partenaires avec lesquels ils sont sur le point de contractualiser. J’ai hâte d’aller sur le terrain et de mettre en pratique tout ce que j’ai appris !

Et pour conclure : ton prochain objectif de certification ?

Par la suite, j’aimerais bien compléter la Lead Auditor en passant la EBIOS Risk Manager et la ISO27001 Lead Implementer. Je garde aussi en tête mon objectif de monter en compétences sur de la technique avec l’OSCP. Et d’ici quelques années, lorsque j’aurais l’expérience requise, je pourrais passer d’autres certifications comme la CISSP. En outre, j’ai l’opportunité, avec les partenariats de SkillX avec Ping identity et AWS, de passer des certifications orientées Cloud security et IAM et je compte bien la saisir.