1) Pourquoi la certification par HS2 ?
1.1) Introduction
Une certification est la preuve qu’un individu répond à un besoin courant minimum. La mission d’HS2 est de fournir une assurance aux employeurs que les certifiés ont les compétences requises sur les thèmes abordés à l’examen. Pour accomplir cette mission, HS2 va au-delà de la théorie et de la terminologie et teste le pragmatisme du candidat dans des tâches variées : organisation de la sécurité et de la continuité, audit de sécurité, exploitation de la sécurité, gestion de la sécurité, et sécurité des logiciels.
L’objectif du programme de certification d’HS2 est de répondre à la nécessité de valider les compétences des professionnels de la sécurité des systèmes d’information ou cybersécurité, de la vie privée et de la continuité d’activité. Les certifications HS2 offrent l’assurance qu’une personne certifiée répond à un niveau minimum de capacités et possède les compétences nécessaires pour mener à bien ses missions sur les thèmes abordés à l’examen. Les certifications HS2 sont développées en utilisant l’expérience unique acquise depuis 1989 par HS2 et en respectant les référentiels les plus exigeants des métiers de la cybersécurité, que ce soit des normes, des référentiels reconnus comme ceux de l’ANSSI et de la CNIL, les lois, et les bonnes pratiques de la profession.
1.2) Intérêt pour les candidats, professionnels et futurs professionnels
Pour les administrateurs système, réseau et sécurité, pour les développeurs de logiciels, et pour les professionnels de la sécurité comme les consultants, les analystes, les auditeurs, les enquêteurs, les responsables de la sécurité des systèmes d’informations (RSSI), les data privacy officer (DPO) et les responsables du plan de continuité d’activité (RPCA), le programme de certification HS2 apporte la confiance sur le fait que chaque professionnel sait quelles tâches doivent être réalisées pour protéger les systèmes d’information, les réseaux, et les applications, et qu’il possède les compétences nécessaires pour mener à bien ces tâches.
1.3) Intérêt pour les employeurs
Pour les employeurs, c’est une assurance accrue que les personnes certifiées par HS2, chargées de l’organisation de la cybersécurité, la vie privée ou de la continuité, ou les personnes chargées de la sécurisation de leurs systèmes, réseaux et applications, de la détection et de la réponse aux incidents, et de leurs consultants, auront les connaissances nécessaires à la réalisation effective de leur travail.
La formation HS2 en amont de la certification HS2 fournit aux professionnels de la cybersécurité ou de la continuité les compétences techniques nécessaires pour répondre à leurs responsabilités.
1.4) Historique et reconnaissance
Hervé Schauer a créé sa première société en 1989 pour délivrer des formations en français, en sécurité informatique, de classe mondiale, et celle-ci a validé les compétences des professionnels de la sécurité de l’information par des certification indépendantes dès 2005. HS2 s’inscrit dans cette continuité et son but est de fournir une assurance qu’une personne certifiée possède les connaissances et compétences nécessaires pour un praticien dans les domaines clés de la sécurité informatique, la sécurité de l’information, la sécurité des logiciels, la vie privée et la continuité d’activité. Les certifications HS2 sont avalisées par de nombreuses sociétés et organismes gouvernementaux, en France et dans les pays francophones.
1.5) Domaines couverts
Les certifications HS2 s’adressent à un large éventail de compétences, allant de débutants en cybersécurité jusqu’à des domaines de pointe comme :
• Gestion de la cybersécurité
• Gestion de la vie privée
• Gestion de la continuité d’activité
• Droit de la cybersécurité
• Architectures de sécurité réseaux
• Sécurité des systèmes d’exploitation Windows et Unix/Linux
• Logiciels intégrant la sécurité et développement d’applications sécurisées
• Détection d’intrusion
• Gestion des incidents
• Inforensique (Investigation numérique)
• Intrusion et sécurité offensive
• Cybersécurité des systèmes industriels
1.6) Originalité des certifications HS2
Les formations et les certifications HS2 sont uniques car elles sont en français, elles respectent le droit européen et français, elles appliquent les recommandations de l’ANSSI, de la CNIL et des autorités des pays francophones. Elles mesurent les compétences correspondant à des métiers ou des domaines de connaissances précis. Il existe d’autres certifications, soient internationales comme le CISSP, soient sur les normes comme ISO27005 Risk Manager, auxquelles HS2 forme. Ces certifications sont parfois émises par des organismes de certification indépendants accrédités. Les certifications HS2 n’entrent pas en concurrence avec ces certifications existantes, elles complètent cette offre pour répondre à la demande, par des certifications en français, qui couvrent des métiers reconnus en entreprise mais ne disposant pas de référentiel précis et exhaustif, et qui couvrent des domaines techniques avancés et des sujets précis dans lesquels il n’existait aucune certification.
2) Fonctionnement des certifications HS2
2.1) Introduction
Les certifications indépendantes et la certification HS2 répondent aux attentes des professionnels et de l’évolution légale, le Compte Personnel Formation imposant un examen sanctionnant les formations. Les certifications HS2 sont parmi les premières certifications francophones portant sur des métiers ou des domaines techniques de la cybersécurité.
2.2) Fonctionnement des examens HS2
Les examens des certifications HS2 se tentent à l’issue d’une formation HS2. Même les professionnels expérimentés tireront bénéfice d’une formation qui revoit le domaine concerné avant l’examen de certification.
Il n’y a aucune condition préalable nécessaire pour tenter une certification HS2, cependant, nous recommandons de suivre les pré-requis indiqués pour chaque formation. Les examens des certifications HS2 se déroulent dans la foulée de la formation HS2, au même endroit, et ne nécessitent pas de longue préparation individuelle supplémentaire, ni de revenir plus tard dans un centre d’examen.
Les examens de certification HS2 incluent tous des questions à choix multiples qui se déroulent sur ordinateur. Dans certaines spécialités techniques, un exercice pratique appelé CTF (capture the flag) est également sanctionné et compte pour l’examen. L’inscription à l’examen est obligatoire et associée à la formation.
Une fois que le candidat démarre son examen, il doit répondre à chaque question du mieux possible selon son avis, dans l’ordre où elles apparaissent. Le candidat peut mettre de côté des questions qui réapparaîtront à la fin. L’examen ne peut pas être mis en pause.
Une fois que le candidat commence, il doit terminer l’examen complet. Chaque examen de certification a son propre seuil de réussite.
2.3) Durée des examens
La durée de l’examen varie en fonction du type d’examen. Un examen peut avoir une durée pour la partie questions à choix multiples, et une durée pour l’exercice pratique (CTF).
Un délai supplémentaire peut être accordé par HS2 aux candidats qui passent l’examen dans une autre langue que leur langue maternelle, ou qui possèdent un handicap justifié, à la demande des candidats, le jour de l’examen.
2.4) Résultat des examens HS2
Le candidat à un examen de certification HS2 reçoit dans un délai maximum d’un mois un courriel indiquant ses résultats à l’examen.
En cas de réussite, le candidat reçoit son certificat cartonné par courrier postal à l’adresse postale de son choix. Chaque certificat précise le nom du certifié, le nom de la certification qui est le même que celui de la formation, le nom de l’organisme de certification HS2, le numéro et la date du certificat.
Les certificats émis par HS2 demeurent la propriété d’HS2.
2.5) Repassage d’un examen HS2
En cas d’échec à un examen de certification HS2 le candidat à une certification HS2 peut repasser l’examen, dans un délai d’un an, à l’occasion d’une session suivante de la formation, en s’acquittant des frais afférents à l’examen.
Les candidats doivent arriver au moins trente (30) minutes avant le début de l’examen de certification. Les candidats qui arrivent en retard ne pourront pas bénéficier d’un délai supplémentaire pour compenser leur arrivée tardive et peuvent se voir refuser l’entrée à la salle d’examen.
2.6) Contrôle d’identité des candidats
Le programme de certification HS2 propose des tentatives de certification pour des candidats personne physique. HS2 garantit la vérification de l’identité individuelle du candidat par la présentation d’une pièce d’identité avec une photo en cours de validité à son arrivée le premier jour de la formation (carte d’identité, passeport, permis de conduire ou toute autre pièce d’identité valable).
HS2 et les revendeurs HS2 sont les seuls habilités à vendre les formations et les certifications HS2. HS2 est le seul à vendre les examens HS2. HS2 ne permet pas la revente ou le transfert d’une inscription à un examen de certification. Chaque tentative de certification achetée est non transférable et toute inscription ou candidature à l’examen de certification est intrinsèquement liée à un et un seul individu.
2.7) Validité des certifications HS2
Les certifications HS2 sont valables à vie. Les certificats de compétences sont numérotés et datés. Le professionnel certifié par HS2 n’a rien à payer ni rien à déclarer dans le temps. Comme pour tout diplôme, l’employeur a la date de certification sur le certificat et sait à quelle date le professionnel a été certifié.
2.8) Retour de la part des candidats
HS2 reçoit avec intérêt les retours et plaintes des candidats aux certifications HS2 à formations@hs2.fr et s’engage à y répondre dans le cadre de son système de management de la qualité. Les candidats sont invités à remplir la feuille d’appréciation de l’examen afin de donner leur avis et faire des commentaires, notamment sur des inexactitudes techniques, des questions apparaissant avoir plus d’une bonne réponse, des fautes d’orthographe ou des erreurs typographiques.
3) Code d’éthique et de déontologie HS2
3.1) Introduction
HS2 respecte un code d’éthique et de déontologie vis-à-vis de ses clients en 17 points, pour rappel :
1/ Légalité
HS2 s’engage à réaliser toutes ses prestations dans le respect des législations en vigueur.
2/ Moralité
HS2 s’engage à ne pas employer de personnes malveillantes ou ayant fait l’objet de condamnation pour piratage.
3/ Engagement
HS2 certifie que tous les employés de la société ont accepté les principes et règles du code d’éthique et de déontologie HS2.
4/ Transparence
HS2 fournit à ses clients toutes les informations relatives à son identité, ses actionnaires, son personnel, ses sous-traitants, ses méthodologies et pratiques.
5/ Compétence
HS2 s’engage à ne pas revendiquer une compétence ou une expérience qu’il ne possède pas.
6/ Probité
HS2 agit en toute indépendance, vis-à-vis notamment des fournisseurs. Il indique les éventuels liens d’intérêts qui sont concernés par l’exécution de la mission.
7/ Neutralité
HS2 formule ses recommandations en toute objectivité, dans le seul intérêt de son client.
8/ Information
HS2 informe son client, durant toute la mission, des éléments importants qui le concernent.
9/ Suivi
HS2 intègre le suivi de ses prestations en associant un support par courrier électronique, et en corrigeant des erreurs éventuelles dans les rapports et par une information lorsque les circonstances l’imposent.
10/ Exhaustivité
HS2 précise dans ses rapports toutes les opérations réalisées, les logiciels employés, et fournit tous les résultats obtenus. Lorsqu’un outil spécifique a été développé, HS2 fournit le code source.
11/ Confidentialité
HS2 agit en toute confidentialité et respecte les accords de confidentialité de ses clients. HS2 s’engage à protéger les données fournies ou acquises lors de ses missions.
12/ Respect de la vie privée
HS2 s’engage à ne pas reproduire ni divulguer le contenu d’un message privé.
13/ Qualité
HS2 s’engage à apporter tous les soins nécessaires à ses missions, dans le respect des règles de l’art et des usages de la profession.
14/ Responsabilité
Lors des prestations qui le justifient comme les tests d’intrusion, HS2 vérifie que le mandataire ou le signataire a bien la propriété ou la responsabilité vis-à-vis des systèmes sur lesquels il demande l’intrusion.
15/ Traçabilité
HS2 s’engage à réaliser ses tests d’intrusion depuis des adresses IP identifiées et utilisées uniquement par HS2.
16/ Sous-traitance
HS2 s’engage à ne pas proposer de sous-traiter à un tiers sans l’accord préalable de son client.
17/ Assurance
HS2 dispose d’une assurance en responsabilité civile professionnelle couvrant toutes ses prestations.
HS2 applique ce code d’éthique et de déontologie préexistant à ses formations et certifications.
3.2) Impartialité d’HS2
HS2 comprend l’importance de l’impartialité, de la gestion des conflits d’intérêts et de l’objectivité, et la direction générale d’HS2 est déterminée au respect de ces pratiques dans nos activités de certification.
HS2 offre aux professionnels de la sécurité de l’information, de la vie privée et de la continuité d’activité la possibilité de se certifier dès qu’ils ont les compétences nécessaires pour faire le travail. Les professionnels certifiés par HS2 sont des personnes qui ont les connaissances et les compétences opérationnelles qui les distinguent dans leur profession. Pour permettre à HS2 de maintenir cette reconnaissance de grande valeur, nous nous assurons que notre programme de certification adhère à des moyens et des mesures pré-définies pour préserver l’intégrité, l’impartialité, la validité et l’équité.
Dans notre effort pour maintenir l’impartialité, HS2 effectue régulièrement dans le cadre de son système de management de la qualité des ré-examens pour évaluer les menaces potentielles pour l’impartialité et agit de façon proactive pour atténuer les conflits d’intérêts et son indépendance face aux menaces réelles et perçues. Nous accueillons des questions ou des commentaires au sujet de notre programme de certification : formations@hs2.fr
3.3) Ethique des candidats
Les professionnels de la cybersécurité, de la vie privée et de la continuité ont de grandes responsabilités. Une confiance importante leur est faite dans la protection et la sécurité des actifs d’information des organisations. Les services fournis par un professionnel peuvent être vitaux à la réussite d’une organisation, au respect des lois, règlements en contrats, et un respect mutuel dans la société et sa communauté, de la cybersécurité, de la vie privée et de la continuité d’activité. Ces responsabilités impliquent un engagement des professionnels certifiés de respecter et faire respecter une éthique pour le bien commun de leur discipline.
Il ne suffit pas pour ces professionnels de simplement « faire le travail ». Ils doivent avoir un comportement exemplaire, se discipliner eux-mêmes, et respecter des exigences de conduite éthique et professionnelle.
Un professionnel certifié par HS2 reconnaît qu’une telle certification est un privilège qui doit être gagné et confirmé. Les professionnels HS2 certifiés s’engagent à défendre, respecter et soutenir le code d’éthique des certifiés HS2.
HS2 est engagé à faire respecter ces exigences et à les encourager dans la communauté. Ainsi tous les individus certifiés HS2 et tous les candidats à la certification HS2 acceptent de respecter et d’être liés par ce code d’éthique du règlement de certification HS2.
Les professionnels certifiés HS2 qui violent délibérément un principe du code d’éthique des certifiés HS2 peuvent faire l’objet d’une annulation de leur(s) certification(s) par HS2.
3.4) Éthique de l’examen
Si des anomalies d’examen sont détectées avant, pendant ou après une tentative d’examen HS2, HS2 a le droit d’aménager les résultats d’examens selon une méthode communiquée aux candidats, ou d’annuler les résultats de certification, et d’offrir aux candidats un nouveau test dans des conditions formelles surveillées.
3.5) Respect pour le public
Le certifié HS2 a la responsabilité de prendre des décisions en tenant compte de la cybersécurité, de la vie privée et de l’intérêt de la communauté. Le certifié HS2 s’engage à ne pas faire d’actes contraires à l’éthique ou illégaux, qui affecteraient négativement la communauté, leur réputation professionnelle, ou la discipline cybersécurité.
3.6) Respect de la certification
Le candidat à une certification HS2 ne doit pas partager, diffuser ou distribuer des informations confidentielles ou propriétaire concernant les examens et le processus de certification HS2. Le certifié HS2 ne doit utiliser ses certifications, ou des informations associées à sa certification (comme les certificats ou logos) pour représenter une personne ou une entité autre que lui-même comme étant le certifié par HS2. La formation et la certification HS2 doivent être payées et dans le respect des délais convenus, sous peine de retrait de la certification.
3.7) Respect de son employeur
Le certifié HS2 délivre un service conforme aux attentes de sa certification et de son poste. Le certifié HS2 protège les informations confidentielles et privées qu’il détient. Le certifié HS2 tente de réduire les risques d’une atteinte à la disponibilité, intégrité, confidentialité et auditabilité, conformément aux bonnes pratiques de la gestion des risques.
3.8) Respect par le certifié de lui-même
Le certifié HS2 évite les conflits d’intérêts. Le certifié HS2 n’abuse pas de toute information ou privilège qui lui a été accordé dans le cadre de ses responsabilités.
S’il y a des éléments qui affectent la capacité d’une personne certifiée à garder les compétences associées à une certification HS2 qu’elle détient, la personne certifiée est requise en vertu du code d’éthique d’en informer HS2 sans délai par courriel : formations@hs2.fr
Dans le cas où le statut certifié HS2 d’un individu est retiré pour toute raison que ce soit, la personne doit s’abstenir d’utiliser toutes les références à un statut certifié HS2.
4) Mentions légales
4.1) Données à caractère personnel
HS2 porte une attention particulière au respect de la vie privée et à la protection des données à caractère personnel. En particulier, HS2 est organisé pour respecter le règlement européen sur la protection des données à caractère personnel (RGPD), ainsi que l’ensemble des obligations juridiques françaises et européennes liées à la protection des données personnelles.
HS2 est le responsable de traitement pour les traitements mis en œuvre à l’occasion des formations et des certifications. Nos coordonnées sont 10, rue des Poissonniers, F-92200 Neuilly-sur-Seine, privacy@hs2.fr
A la date de cette version du règlement, HS2 n’a pas encore désigné de délégué à la protection des données. Ses coordonnées seront les mêmes que ci-dessus « A l’attention du Délégué à la Protection des Données ».
4.2) Traitements sur les données à caractère personnel
Les traitements sur les données à caractère personnel sont :
La gestion du processus de certification d’HS2 tel que décrit dans le système de management de la qualité d’HS2.
L’émission de certificats et d’attestations de réussite à l’examen.
La base juridique des traitements est l’intérêt légitime d’HS2, consistant à conserver la trace des réussites aux examens et à proposer aux personnes formées de nouvelles formations en rapport avec les compétences déjà acquises.
Le recueil des données personnelles conditionne la conclusion du contrat de formation, de sorte que l’absence de communication des informations ne permettra pas d’inscrire le candidat à la formation et à la certification.
Les destinataires des données personnelles fournies par les candidats ou leur service formation sont:
le service formation d’HS2
les formateurs intervenant sur la session de formation
les revendeurs des formations HS2, le cas échéant
les sous-traitants d’HS2 pour le suivi des clients et la prospection des formations, le cas échéant
avec l’accord de la personne concernée : autorités de tutelle, employeurs, cabinets de recrutement, sociétés de vérification de certificats dûment mandatées, consulats de France à l’étranger en vue de la délivrance d’un visa à un candidat étranger à une certification HS2.
Hormis les cas précédents, les données personnelles des candidats ou des détenteurs d’une certification HS2 ne sont jamais cédées ou vendues à des tiers.
Les données personnelles collectées par HS2 dans le cadre de ses formations et certifications ne sont pas transférées en dehors de l’Union européenne.
4.3) Conservation des données à caractère personnel
HS2 conserve les données des personnes certifiées en vue de pouvoir leur délivrer des attestations de réussite tout au long de leur carrière.
Une personne concernée pouvant avoir besoin de prouver la réussite à une certification à tout moment lors de sa carrière, HS2 conserve l’information de réussite à un examen tout au long de la vie professionnelle de l’intéressé. En revanche, l’information d’échec à un examen est conservée pendant un an après ce dernier. En tout état de cause, la personne concernée peut exercer à tout moment son droit d’opposition à formations@hs2.fr pour obtenir la suppression de ces enregistrements.
Les autres données, notamment commerciales, sont conservées pendant une durée de trois ans à compter de leur collecte ou du dernier contact émanant du prospect. Au terme de ce délai de trois ans, HS2 pourra reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales. En l’absence de réponse positive et explicite de la personne, les données seront supprimées ou archivées conformément aux dispositions en vigueur, et notamment celles prévues par le code de commerce, le code civil et le code de la consommation.
4.4) Droits des personnes concernées
Les candidats aux examens de certification HS2 et les certifiés peuvent exercer leur droit d’accès, de rectification, d’effacement, d’opposition, de portabilité ou de limitation du traitement en écrivant à privacy@hs2.fr. Ils disposent du droit d’introduire une réclamation auprès de la CNIL.
4.5) Communication du certificat par les certifiés
Les certifiés HS2 peuvent librement communiquer leur certificat sous réserve que les copies soient complètes et conformes à l’original.
4.6) Modification du règlement de certification
HS2 se réserve la possibilité de modifier le règlement de certification à tout moment y compris en matière de données à caractère personnel.