ISTQB CT-SEC

ISTQB® CT - Testeur de Sécurité (Security Tester)

Description

La certification ISTQB® CT - Security Tester s'adresse aux professionnels du logiciel qui possèdent déjà le certificat ISTQB® Foundation et qui cherchent à approfondir leur compréhension des tests de logiciels pour devenir Security Tester.

La qualification de Security Tester s'adresse aux personnes qui ont déjà atteint un stade avancé dans leur carrière de testeur de logiciels et qui souhaitent développer davantage leur expertise en matière de tests d'automatisation.

Chapitre 1 : Les fondements des tests de sécurité

Chapitre 2 : Buts, objectifs et stratégies des tests de sécurité

Chapitre 3 : Processus des tests de sécurité

Chapitre 4 : Les tests de sécurité tout au long du cycle de vie du logiciel

Chapitre 5 : Tester les mécanismes de sécurité

Chapitre 6 : Facteurs humains dans les tests de sécurité

Chapitre 7 : Évaluation des tests de sécurité et rapports

Chapitre 8 : Outils de test de sécurité

Chapitre 9 : Normes et tendances de l'industrie

 

Business outcomes (Résultats commerciaux)

La réussite de ce niveau démontre que les candidats peuvent :

  • Comprendre le rôle de l'évaluation des risques en fournissant des informations pour la planification et la conception des tests de sécurité et en alignant les tests de sécurité sur les besoins de l'entreprise.
  • Identifier les actifs importants à protéger, la valeur de chaque actif et les données requises pour évaluer le niveau de sécurité nécessaire pour chaque actif.
  • Analyser l'utilisation efficace des techniques d'évaluation des risques dans une situation donnée afin d'identifier les menaces actuelles et futures pour la sécurité.
  • Comprendre le concept de politiques et de procédures de sécurité et comment elles sont appliquées dans les systèmes d'information.
  • Analyser un ensemble donné de politiques et de procédures de sécurité ainsi que les résultats des tests de sécurité pour en déterminer l'efficacité.
  • Comprendre l'objectif d'un audit de sécurité.
  • Comprendre pourquoi les tests de sécurité sont nécessaires dans une organisation, y compris les avantages pour l'organisation tels que la réduction des risques et des niveaux plus élevés de confiance.
  • Comprendre comment les réalités du projet, les contraintes commerciales, le cycle de développement du logiciel et d'autres considérations affectent la mission de l'équipe de test de sécurité.
  • Expliquer pourquoi les buts et objectifs des tests de sécurité doivent s'aligner sur la politique de sécurité de l'organisation et sur les autres objectifs de test de l'organisation.
  • Pour un scénario de projet donné, démontrer la capacité à identifier les objectifs de test de sécurité en fonction de la fonctionnalité, des attributs technologiques et des vulnérabilités connues.
  • Comprendre la relation entre l'assurance de l'information et les tests de sécurité.
  • Pour un projet donné, démontrer la capacité à définir la relation entre les objectifs des tests de sécurité et la nécessité de renforcer l'intégrité des actifs numériques et physiques sensibles.
  • Analyser une situation donnée et déterminer quelles approches de test de sécurité ont le plus de chances de réussir.
  • Analyser une situation dans laquelle une approche de test de sécurité donnée a échoué, en identifiant les causes probables de l'échec.
  • Pour un scénario donné, démontrer la capacité d'identifier les différentes parties prenantes et illustrer les avantages des tests de sécurité pour chaque groupe de parties prenantes.
  • Analyser les KPI (indicateurs clés de performance) pour identifier les pratiques de test de sécurité nécessitant une amélioration et les éléments ne nécessitant pas d'amélioration.
  • Pour un projet donné, démontrer la capacité à définir les éléments d'un processus de test de sécurité efficace.
  • Analyser un plan de test de sécurité donné, en donnant son avis sur les forces et les faiblesses du plan.
  • Pour un projet donné, mettre en œuvre des tests de sécurité conceptuels (abstraits), sur la base d'une approche de test de sécurité donnée, ainsi que des risques de sécurité fonctionnels et structurels identifiés.
  • Mettre en œuvre des cas de test pour valider les politiques et procédures de sécurité.
  • Comprendre les éléments clés et les caractéristiques d'un environnement de test de sécurité efficace.
  • Comprendre l'importance de la planification et de l'obtention des approbations avant d'effectuer tout test de sécurité.
  • Analyser les résultats des tests de sécurité pour déterminer ce qui suit :
    • Nature de la vulnérabilité de la sécurité
    • Ampleur de la vulnérabilité de la sécurité
    • Impact potentiel de la vulnérabilité de la sécurité
    • Remédiation suggérée
  • Comprendre l'importance de maintenir des processus de test de sécurité compte tenu de la nature évolutive de la technologie et des menaces.
  • Expliquez pourquoi la sécurité est mieux assurée dans le cadre d'un processus de cycle de vie.
  • Mettre en œuvre les activités liées à la sécurité appropriées pour un cycle de vie logiciel donné (par exemple, itératif, séquentiel).
  • Analyser un ensemble donné d'exigences du point de vue de la sécurité afin d'identifier les déficiences.
  • Analyser un document de conception donné du point de vue de la sécurité afin d'identifier les déficiences.
  • Comprendre le rôle des tests de sécurité lors des tests de composants..
  • Mettre en œuvre des tests de sécurité au niveau des composants (abstrait) à partir d'une spécification de codage définie.
  • Analyser les résultats d'un test de niveau composant donné pour déterminer l'adéquation du code du point de vue de la sécurité.
  • Comprendre le rôle des tests de sécurité lors des tests d'intégration des composants.
  • Implémenter des tests de sécurité d'intégration de composants (abstrait) à partir d'une spécification système définie.
  • Mettre en œuvre un scénario de test de bout en bout pour les tests de sécurité qui vérifie une ou plusieurs exigences de sécurité données et teste un processus fonctionnel décrit.
  • Démontrer la capacité de définir un ensemble de critères d'acceptation pour les aspects de sécurité d'un test d'acceptation donné.
  • Mettre en œuvre une approche de test de rétrospection/régression de la sécurité de bout en bout sur la base d'un scénario donné.
  • Comprendre le concept de renforcement des systèmes et son rôle dans l'amélioration de la sécurité AS-5.1.2 (K3) Démontrer comment tester l'efficacité des mécanismes courants de renforcement des systèmes.
  • Comprendre la relation entre l'authentification et l'autorisation et comment elles sont appliquées dans la sécurisation des systèmes d'information.
  • Démontrer comment tester l'efficacité des mécanismes courants d'authentification et d'autorisation.
  • Comprendre le concept de cryptage et son application à la sécurisation des systèmes d'information..
  • Démontrer comment tester l'efficacité des mécanismes de cryptage courants.
  • Comprendre le concept de pare-feu et l'utilisation de zones réseau et comment ils sont appliqués dans la sécurisation des systèmes d'information.
  • Démontrer comment tester l'efficacité des implémentations de pare-feu et des zones de réseau existantes.
  • Comprendre le concept des outils de détection d'intrusion et comment ils sont appliqués dans la sécurisation des systèmes d'information.
  • Démontrer comment tester l'efficacité des implémentations d'outils de détection d'intrusion existants.
  • Comprendre le concept d'outils d'analyse des logiciels malveillants et comment ils sont appliqués dans la sécurisation des systèmes d'information.
  • Démontrer comment tester l'efficacité de la mise en œuvre d'un outil de détection des logiciels malveillants.
  • Comprendre le concept des outils d'obfuscation des données et comment ils sont appliqués dans la sécurisation des systèmes d'information.
  • Démontrer comment tester l'efficacité des approches d'obscurcissement des données.
  • Comprendre le concept de la formation à la sécurité en tant qu'activité du cycle de vie des logiciels et pourquoi elle est nécessaire pour sécuriser les systèmes d'information.
  • Démontrer comment tester l'efficacité de la formation à la sécurité.
  • Expliquez comment le comportement humain peut entraîner des risques pour la sécurité et comment il influe sur l'efficacité des tests de sécurité.
  • Pour un scénario donné, démontrer la capacité à identifier les moyens par lesquels un attaquant pourrait découvrir des informations clés sur une cible et appliquer des mesures pour protéger l'environnement.
  • Expliquer les motivations et les sources communes pour effectuer des attaques de systèmes informatiques (K4) Analyser un scénario d'attaque (attaque effectuée et découverte) et identifier les sources et les motivations possibles de l'attaque.
  • Expliquez comment les défenses de sécurité peuvent être compromises par l'ingénierie sociale.
  • Comprendre l'importance de la sensibilisation à la sécurité dans l'ensemble de l'organisation.
  • Compte tenu de certains résultats de test, appliquer les actions appropriées pour accroître la sensibilisation à la sécurité.
  • Comprendre la nécessité de réviser les attentes en matière de sécurité et les critères d'acceptation à mesure que la portée et les objectifs d'un projet évoluent.
  • Comprendre l'importance de préserver la confidentialité et la sécurité des résultats des tests de sécurité. 
  • Comprendre la nécessité de créer des contrôles et des mécanismes de collecte de données appropriés afin de fournir les données sources pour les rapports d'état des tests de sécurité de manière opportune, exacte et précise (par exemple, un tableau de bord des tests de sécurité).
  • Analyser un rapport d'état de test de sécurité provisoire donné pour déterminer le niveau d'exactitude, de compréhension et de pertinence pour les parties prenantes (Steakholders).
  • Expliquer le rôle des outils d'analyse statique et dynamique dans les tests de sécurité.
  • Analyser et documenter les besoins en matière de tests de sécurité devant être traités par un ou plusieurs outils (K2) Comprendre les problèmes liés aux outils open source.
  • Comprenez la nécessité d'évaluer les capacités du fournisseur à mettre à jour fréquemment ses outils pour rester à jour avec les menaces de sécurité.
  • Comprendre l'importance de préserver la confidentialité et la sécurité des résultats des tests de sécurité.
  • Comprendre la nécessité de créer des contrôles et des mécanismes de collecte de données appropriés afin de fournir les données sources pour les rapports d'état des tests de sécurité de manière opportune, exacte et précise (par exemple, un tableau de bord des tests de sécurité).
  • Analyser un rapport d'état de test de sécurité provisoire donné pour déterminer le niveau d'exactitude, de compréhension et de pertinence pour les parties prenantes.
  • Expliquer le rôle des outils d'analyse statique et dynamique dans les tests de sécurité.
  • Analyser et documenter les besoins en matière de tests de sécurité devant être traités par un ou plusieurs outils (K2) Comprendre les problèmes liés aux outils open source.
  • Comprenez la nécessité d'évaluer les capacités du fournisseur à mettre à jour fréquemment ses outils pour rester à jour avec les menaces de sécurité.

Public cible

Testeurs, analystes d'essais, ingénieurs d'essais, consultants en essais et développeurs de logiciels.

Conditions requises

  • Have successfully passed the ISTQB® CTFL Certification exam and hold the certificate.
  • Expérience professionnelle pertinente suffisante dans le secteur des tests de logiciels, généralement d'au moins 18 mois. 

Téléchargez le descriptif de cette certification ou consultez des exemples d'examens.

Accéder aux ressources

The global exam price vary depending on the certification and your geographical location.

Réservez votre examen de certification

brightest private exams

Brightest Private Exams

Examens électroniques pour les particuliers, administrés par un expert de Pearson Vue en temps réel au moyen d'une webcam (disponible aussi pour les examens ISTQB).

brightest-center-exam

Brightest Center

Exams

Disponible en différentes langues dans quelque 5200 centres d’examen. Inscription simplifiée via la page Brightest du site Internet de Pearson Vue.

S'inscrire maintenant
brightest green exam

Brightest Green

Exams

Examens électroniques pour des groupes comptant au moins 6 personnes, disponibles en français, anglais, espagnol ou allemand, partout dans le monde.

brightest paper exam

Brightest Paper

Exams

La formule classique de l’examen, destinée à des groupes d’au moins 6 participants dans un nombre croissant de langues. 

Contactez-nous