ISTQB CT-STE

ISTQB® CT - Security Test Engineer

Description

En tant qu'ingénieur/e de test de sécurité certifié par l'ISTQB®, vous pourrez :

  • Comprendre les paradigmes fondamentaux de la sécurité et leur impact sur les tests de sécurité.
  • Appliquer les techniques de test de sécurité appropriées, en reconnaissant leurs forces et leurs limites.
  • Contribuer à la planification, à la conception et à l'exécution des tests de sécurité.
  • Utiliser efficacement les normes et les meilleures pratiques en matière de tests de sécurité.
  • Adapter les activités de test de sécurité au contexte organisationnel spécifique.
  • Aligner les tests de sécurité sur les différentes méthodes de développement et sur les cycles de développement des logiciels.
  • Intégrer les résultats des tests de sécurité dans un système de gestion de la sécurité de l'information (SGSI) pour une gestion active des risques.
  • Collecter, évaluer et consolider les résultats des tests, en produisant un rapport détaillé contenant toutes les conclusions et preuves.
  • Identifier les besoins en outils pour les tests de sécurité et aider à sélectionner les outils appropriés en fonction de l'approche requise.

 

Chapitre 1 : Paradigmes de sécurité

  • Niveaux de sécurité des biens
    • Expliquer les différents niveaux de sécurité des biens et leur niveau de protection correspondant.
    • Expliquer la relation entre la sensibilité de l'information et les tests de sécurité.
  • Audits de sécurité
    • Décrire le rôle des tests de sécurité dans le contexte des audits de sécurité.
  • Le concept de confiance zéro (Zero Trust)
    • Expliquer le concept de confiance zéro.
    • Appliquer le concept de confiance zéro dans les tests de sécurité.
  • Logiciels libres
    • Illustrer le concept de réutilisation des logiciels libres (Open-Source Software, OSS) dans le développement de logiciels et son impact sur les tests de sécurité.

Chapritre 2 : Techniques de test de sécurité

  • Appliquer les types de tests de sécurité en fonction d'un contexte de test
    • Donner des exemples de types de  tests de sécurité en fonction du contexte de sécurité boîte noire, boîte grise ou boîte blanche.
    • Donner des exemples de types de  tests de sécurité en fonction des tests de sécurité dynamiques ou des tests de sécurité statiques.
  • Appliquer les types de tests de sécurité en fonction du projet et du contexte technique
    • Appliquer des cas de test de sécurité, sur la base d'une approche de test de sécurité donnée, ainsi que des risques de sécurité fonctionnels et structurels identifiés.
    • Décrire comment effectuer des tests de recertification et de réconciliation pour les identités et les permissions.
    • Décrire comment tester le contrôle de la gestion des identités et des accès.
    • Décrire comment tester le contrôle de la protection des données..
    • Décrire comment tester les technologies de protection.

Chapitre 3 : Le processus de test de sécurité

  • Le processus de test de sécurité
    • Expliquer les différentes activités, tâches et responsabilités au sein d'un processus de test de sécurité.
    • Comprendre les éléments clés et les caractéristiques d'un environnement de test de sécurité efficace.
  • Conception des tests de sécurité
    • Donner des exemples de tests de sécurité basés sur une base de code donnée au niveau des composants.
    • Donner des exemples de tests de sécurité basés sur des spécifications de conception au niveau de l'intégration des composants.
    • Mettre en œuvre un test de sécurité de bout en bout qui valide une ou plusieurs exigences de sécurité liées à un ou plusieurs processus métier.

Chapitre 4 : Normes et meilleures pratiques

  • Introduction aux normes et aux meilleures pratiques
    • Expliquer les différentes sources de normes de test et de meilleures pratiques et leur applicabilité.
  • Appliquer les normes et les meilleures pratiques nécessaires pour les tests de sécurité
    • Appliquer les concepts OWASP, CVE et CVSS et apprendre à les utiliser pour les tests de sécurité.
  • Exploiter les normes et les meilleures pratiques
    • Expliquer les avantages et les inconvénients des oracles de test utilisés pour les tests de sécurité.
    • Comprendre les avantages et les inconvénients de l'utilisation des meilleures pratiques et des standards de sécurité.

Chapitre 5 : S'adapter au contexte organisationnel

  • L'impact des structures organisationnelles dans le contexte des tests de sécurité
    • Analyser un contexte organisationnel donné et déterminer les aspects spécifiques à prendre en compte pour les tests de sécurité.
  • L'impact des réglementations sur les politiques de sécurité et comment les tester.
    • Analyser l'impact des réglementations sur les politiques de sécurité et la manière de les tester.
  • Analyser un scénario d'attaque
    • Analyser un scénario d'attaque (attaque réalisée et découverte) et identifier les sources et motivations possibles de l'attaque.

Chapitre 6 : S'adapter aux modèles de cycle de vie du développement logiciel

  • Les effets des différents modèles de cycle de vie du développement logiciel
    • Résumer les raisons pour lesquelles les activités de test de sécurité devraient couvrir le cycle de vie du développement logiciel.
    • Analyser l'impact des différents modèles de développement de systèmes sur les activités de test de sécurité.
  • Tests de sécurité pendant la maintenance
    • Définir et effectuer des tests de régression et de confirmation de la sécurité en fonction des changements apportés au système's.
    • Analyser les résultats des tests de sécurité pour déterminer la nature d'une vulnérabilité de sécurité et son impact technique potentiel.

Chapitre 7 : Les tests de sécurité dans le cadre d'un système de gestion de la sécurité de l'information

  • Critères d'acceptation des tests de sécurité
    • Comprendre les critères d'acceptation des tests de sécurité et la manière dont ils influencent le choix des approches et des techniques de test de sécurité.
  • Contribuer à un système de gestion de la sécurité de l'information
    • Comprendre le rôle des tests de sécurité pour un système de gestion de la sécurité de l'information efficace.
  • Améliorer un système de gestion de la sécurité de l'information (SGSI) par des tests de sécurité adaptés
    • Évaluer la maturité d'un SGSI en introduisant des approches de test différentes, de nouveaux objets de test ou une couverture améliorée.
    • Comprendre la mesurabilité au sein d'un SGSI.

Chapitre 8 : Rapport sur les résultats des tests

  • Rapport sur les tests de sécurité
    • Comprendre la criticité des résultats des tests de sécurité et comment cela affecte leur traitement et leur communication.
  • Identifier et analyser les vulnérabilités
    • Évaluer les résultats d'un test de sécurité donné afin d'identifier les vulnérabilités.
  • Fermer les vulnérabilités
    • Évaluer les différentes techniques permettant de fermer les vulnérabilités identifiées.

Chapitre 9 : Outils de test de sécurité

  • Catégorisation des outils de test de sécurité
    • Analyser les différents cas d'utilisation et appliquer les catégorisations des outils de test de sécurité.
  • Sélection des outils de test de sécurité
  • Comprendre l'utilisation et les concepts des outils de test de sécurité dynamiques.
  • Comprendre l'utilisation et les concepts des outils de test de sécurité statiques.

Public cible

Cette certification est idéale pour les professionnels et professionnelles qui souhaitent renforcer leurs connaissances en matière de tests de sécurité, améliorer la sécurité des logiciels et garantir la conformité aux normes de l'industrie.

Elle s'adresse en particulier :

  • Testeurs et testeuses de logiciels & ingénieur.e.s de test – qui cherchent à développer leur expertise en matière de techniques et méthodologies de test de sécurité.
  • Les testeurs et testeuses de sécurité & les hackers éthiques – qui ont besoin d'une approche structurée des processus, des normes et des meilleures pratiques en matière de tests de sécurité.
  • Test Managers & professionnels et professionnelles de l'assurance qualité – responsables de l'intégration des tests de sécurité dans les stratégies de test et de la conformité aux politiques de sécurité.
  • Développeurs et développeuses de logiciels & architectes – qui souhaitent comprendre les vulnérabilités en matière de sécurité, mettre en œuvre des pratiques de codage sécurisées et collaborer avec les équipes de tests de sécurité.
  • Les ingénieurs et ingénieures DevOps & sécurité – qui travaillent avec des pipelines CI/CD, des tests de sécurité automatisés et l'atténuation des risques.
  • Auditeurs et auditrices informatiques & responsables de la conformité – qui nécessitent un aperçu du rôle des tests de sécurité dans les audits, les réglementations et l'intégration du SGSI.

Conditions requises

  • Avoir réussi l'examen de certification ISTQB® CTFL et détenir le certificat.
  • Une première expérience dans le domaine de la sécurité est recommandée mais non requise.

Téléchargez le descriptif de cette certification ou consultez des exemples d'examens.

Accéder aux ressources

The global exam price vary depending on the certification and your geographical location.

Réservez votre examen de certification

brightest private exams

Brightest Private Exams

Examens électroniques pour les particuliers, administrés par un expert de Pearson Vue en temps réel au moyen d'une webcam (disponible aussi pour les examens ISTQB).

brightest-center-exam

Brightest Center

Exams

Disponible en différentes langues dans quelque 5200 centres d’examen. Inscription simplifiée via la page Brightest du site Internet de Pearson Vue.

S'inscrire maintenant
brightest green exam

Brightest Green

Exams

Examens électroniques pour des groupes comptant au moins 6 personnes, disponibles en français, anglais, espagnol ou allemand, partout dans le monde.

brightest paper exam

Brightest Paper

Exams

La formule classique de l’examen, destinée à des groupes d’au moins 6 participants dans un nombre croissant de langues. 

Contactez-nous