Security Certification Progression Chart 7.0 , octobre 2020
Le spécialiste de la sécurité de l'information, Paul Jerimy, a fait un excellent travail - et a mis en place un programme complet avec la procédure d'obtention de certificats dans tous les domaines de la sécurité de l'information: Security Certification Progression Chart . Aujourd'hui, il comprend 362 programmes de certification.
Il semble que la certification soit devenue une activité à part entière, où les centres de formation et les autorités de certification ne pensent pas tant à tester les connaissances des spécialistes qu'au profit.
Certaines certifications dépassent les coûts raisonnables. Pour chaque certificat, le tableau indique le coût de son obtention, ainsi que les frais de déplacement estimés. Ainsi, vous pouvez calculer approximativement combien il en coûte pour collecter toutes les "croûtes" nécessaires et aller de cette façon jusqu'au bout.
Le diagramme montre tous les programmes de certification liés à la sécurité connus de l'auteur. Certains ont une mauvaise réputation et certains sont considérés comme des normes de l'industrie.
Le diagramme se lit de bas en haut.
Les certificats ci-dessous sont le niveau le plus basique. Plus vous montez, plus les certifications sont avancées.
Par exemple, spécialité «Sécurité des réseaux et des communications». Au niveau inférieur se trouvent les examens d' administrateur certifié F5 Big-IP les plus élémentaires pour 135 $ et CompTIA Network + pour 319 $, et en haut de la pyramide se trouve un expert en implémentation de sécurité certifié Cisco (CCIE Sec) - 2050 $ par croûte plus environ 12000 $ de frais de voyage et architecte certifié Cisco(CCAr). Le rang le plus élevé dans la hiérarchie Cisco coûte 15 000 $ par examen.
La première version du tableau a été publiée en mars 2020, depuis lors, elle a été considérablement complétée et affinée. Les certificats dans la hiérarchie sont classés subjectivement, en tenant compte de leur autorité et des opinions de vrais experts - ce qui est vraiment important et ce qui ne l'est pas.
Les huit couleurs du diagramme représentent les huit zones de sécurité classées (ISC )² , le Consortium international de certification de la sécurité des systèmes d'information, qui maintient la certification CISSP. Certains certificats couvrent plusieurs domaines, ils sont donc répartis sur plusieurs «colonnes» mais sont colorés dans la couleur de domaine dominante.
Les zones de sécurité sont généralement divisées en sous-zones. Ils sont représentés par des zones ombrées dans les colonnes principales. Par exemple, la zone "Opérations de sécurité" comprend les tests d'intrusion et les exploits, et plus près du logiciel, les sous-domaines des opérations de sécurité comme "Forensics" ("Forensics") et "Incident Analysis" sont indiqués en bleu.
En général, pour une carrière type, une seule certification est recommandée toutes les 3 à 5 lignes dans un domaine spécifique. Cela n'a guère de sens d'obtenir le même certificat à un niveau proche de ce que nous avons déjà.
De plus, si vous comptez vous limiter à une ou deux certifications dans votre carrière, Paul Jerimi vous recommande de choisir celles qui couvrent plusieurs domaines, comme le GSEC.(GIAC Security Essentials) ou CASP + (CompTIA Advanced Security Practitioner).
Si vous souhaitez explorer une nouvelle zone, mais que vous n'avez absolument aucune expérience, il est recommandé de commencer par les deux lignes du bas. Cependant, ne sous-estimez pas votre expérience de travail réelle.
Outre de réels bénéfices pratiques pour les «carriéristes», ce schéma est également un exemple intéressant d'infographie interactive.
Alors qu'en réalité, la plupart des professionnels de la sécurité de l'information ont très peu de ces certifications, et certains n'en ont pas du tout. Tout comme un diplôme universitaire, ces certificats ont souvent une valeur douteuse. Mais chacun a son propre chemin. En un sens, la certification peut être une alternative plus pratique ou un complément à l'enseignement supérieur traditionnel.