Présentation du GCIH (Giac Certified Incident Handler)
La
certification GCIH est une certification SANS délivrée par le Giac
(organisme de certification). Cette certification couvre plusieurs
domaines techniques relatifs aux incidents de sécurité.
- Méthodologie de gestion des incidents
- Compréhension des menaces qui affectent le système d'information
- Capacité d'identifier rapidement les contremesures pour parer aux menaces
- Connaissance des outils et techniques d'attaques
- Connaissance des outils et techniques de protection
Orientation
La certification GCIH est très cohérente, elle permet de faire le lien entre les attaques et la façon de s'en protéger.
Pourquoi le GCIH
Toute
entreprise ou toute personne qui met en oeuvre un service de gestion
des incidents de sécurité devrait être convaincue de l'intéret d'une
certification comme le GCIH. Cela permet d'avoir une méthodologie de
traitement des incidents de sécurité reconnue dans le monde entier.
L'orientation GCIH
GCIH
est en bonne partie une certification technique mais elle a l'avantage
de mettre à profit toutes les compétences techniques vers un seul et
même objectif : le traitment des incidents de sécurité. Ainsi, tout
contenu technique doit être perçu sur le plan de la menace et de la
détection.
La particularité des certifications Giac réside dans les
certifications silver et gold. Lorsqu'une personne réussit lae passage
de l'examen, elle obtient la certification silver. Pour obtenir la
certification goldn il faudra que cette même personne publie un
document technique validé par ses pairs. Le SANS publie tous les
documents validés au sein du SANS Reading Room.
La difficulté
Le
GCIH est réputé comme étant une certification difficile. Il ne
l'est pas tant que cela dès lors que l'on a une certaine
connaissance des attaques informatiques et des solutions mises en
oeuvre pour s'en protéger.
L'accès à l'examen
Aucune
restriction n'existe pour s'inscrire au GCIH. Il suffit de s'inscrire
sur le site du GIAC. La meilleure formule reste probablement de coupler
la certification GCIH à une formation du SANS (la formation 504 est
sûrement la plus adaptée).
L'examen
L'examen
dure 4h pendant lesquelles 150 questions sont posées. L'épreuve se
déroule sur un mode open-book, c'est à dire qu'il est tout à fait
possible d'apporter ses livres ou cours pendant l'examen et de les
consulter. Bien évidemment les questions sont en anglais.
L'application
utilisée pour le passage de l'examen permet de mettre de côté 5
questions sur lesquelles il est possible de revenir à la fin de
l'examen.
La réponse arrive dès la fin de l'examen. Il faut obtenir un score de 70 % pour obtenir la certification.
Mon expérience de la préparation de cette certification
J'ai
pour ma part assister à la formation SANS 504: Hackers Techniques,
Exploit and incident Handling. Cette formation est très intéressante
dans la mesure où elle permet de mettre en parallèle attaque et mode de
réaction.
Ensuite, j'ai pris le temps de relire les cours de la
formation pour me présenter à la certification 2 mois après la fin des
cours.
Les
formations SANS sont vraiment d'un très bon niveau et j'invite
fortement les entreprises françaises à envoyer leurs équipes techniques
se former aux différents cursus existants.