Processus d’examen Certified Ethical Hacker (CEH)

Le Conseil International des Consultants en commerce électronique (EC-Council), propriétaire et créateur du populaire titre Certified Ethical Hacker (CEH), a aidé le piratage éthique à être reconnu par le grand public en tant qu’élément fondamental de la cybersécurité. Les pirates éthiques sont des individus embauchés par une organisation pour pirater des réseaux à l’aide de techniques de test de pénétration afin de découvrir et de signaler les vulnérabilités de sécurité susceptibles d’être exploitées par les cybercriminels. Ces personnes sont également appelées « pirates informatiques à chapeau blanc. »

Les CEH jouent un rôle central dans le secteur des technologies de l’information. Les entreprises, plus que jamais, augmentent la demande de pirates informatiques éthiques qui peuvent aider à protéger leurs réseaux et leurs données contre les menaces en constante évolution d’Internet. C’est certainement une incitation pour les professionnels de l’informatique ayant le bon état d’esprit à suivre un cheminement de carrière qui peut certainement être intéressant, stimulant et financièrement gratifiant. En fait, le salaire moyen gagné par un CEH est de 71 331 $ par année en 2018.

Qui devrait passer l’examen CEH?

Selon le Conseil de l’EC, « pour attraper un pirate, il faut penser comme un seul. »Un CEH doit appliquer les mêmes connaissances et outils que les pirates malveillants, mais de manière légale et légitime. Le credential CEH peut aider les professionnels à identifier et à actualiser le savoir-faire nécessaire pour le faire.

Selon le Conseil CE,  » La certification Certified Ethical Hacker renforcera les connaissances des agents de sécurité, des auditeurs, des professionnels de la sécurité, des administrateurs de sites et de toute personne soucieuse de l’intégrité de l’infrastructure réseau ”, le tout dans une perspective neutre pour les fournisseurs. La certification peut aider les professionnels à se démarquer en prouvant qu’ils ont la formation théorique appropriée, ainsi que les compétences pratiques et l’expérience nécessaires pour durcir le cadre informatique d’une entreprise. Un CEH devrait être en mesure d’appliquer des outils et des techniques efficaces pour identifier les problèmes au-delà de ce qui peut être mis en évidence par un logiciel de numérisation.

Aujourd’hui, la certification est considérée comme l’une des références les plus recherchées par les professionnels. Le Département américain de la Défense l’a inclus comme norme obligatoire pour les fournisseurs de services de défense de réseaux informatiques (CND-SP) dans la directive 8570, et il est également conforme à la norme ANSI 17024.

Comment postuler à l’examen CEH?

Le Conseil de la CE a lancé la certification Certified Ethical Hacker en 2003. Le CEH couvre les connaissances de base et constitue la première étape pour les pros qui souhaitent faire carrière dans le piratage éthique. Ils peuvent ensuite passer à des options plus avancées grâce aux options Certified Security Analyst et Licensed Penetration Tester (ECSA / LPT) qui sont également proposées par le Conseil EC.

Pour être considérés pour le titre de compétence, les candidats doivent avoir au moins deux ans d’expérience professionnelle dans le domaine de la sécurité de l’information. Pour prouver leurs connaissances, ils peuvent suivre une formation officielle du Conseil CE soit dans un centre de formation agréé, soit dans un établissement universitaire agréé. Comme alternative, les candidats peuvent passer par un processus de demande d’admissibilité qui implique le paiement de frais non remboursables de 100 $ et la soumission d’un formulaire. Si la candidature est approuvée, le candidat dispose de trois mois pour acheter le bon de test sur la boutique en ligne EC-Council ou sur l’un de ses canaux autorisés.

Le délai de traitement de la demande prend entre cinq et dix jours ouvrables après que les vérificateurs de la demande ont répondu aux demandes d’informations du Conseil CE. Les testeurs reçoivent le code d’éligibilité et le code de bon d’achat, qu’ils peuvent utiliser pour s’inscrire et planifier le test dans les centres de test Pearson VUE et EC-Council.

Combien de questions sont à l’examen CEH?

L’examen lui-même est livré entièrement en ligne. Il dure 4 heures et comporte 125 questions à choix multiples.

Quels sont les sujets de l’examen CEH?

Les testeurs doivent se préparer sur les sujets suivants:

• Éthique et légalité
• Empreinte et reconnaissance
• Réseaux de numérisation
• Énumération li>
• Piratage du système
• Menaces de logiciels malveillants
• Renifleurs
• Déni de service
• Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site Web.si vous acceptez l’utilisation de cookies, veuillez nous contacter pour plus d’informations.si vous acceptez l’utilisation de cookies, veuillez nous contacter.si vous acceptez l’utilisation de cookies, veuillez nous contacter pour plus d’informations.si vous acceptez l’utilisation de cookies, veuillez nous contacter.si vous acceptez l’utilisation de cookies, veuillez nous contacter pour plus d’informations.Si vous acceptez l’utilisation de cookies, veuillez nous contacter pour plus d’informations.Si vous acceptez l’utilisation de cookies, veuillez nous contacter pour plus d’informations.Si vous acceptez l’utilisation de cookies.Si vous acceptez l’utilisation de cookies, veuillez nous contacter.Si vous acceptez l’utilisation de cookies.Si vous acceptez l’utilisation de cookies.Si vous acceptez l’utilisation de cookies.Si vous acceptez l’utilisation de cookies.Si vous acceptez l’utilisation de cookies.Si vous acceptez l’utilisation de cookies.Si vous acceptez l’utilisation de cookies.Si vous acceptez l’utilisation de cookies.Si vous acceptez l’utilisation de cookies.Si vous acceptez l’utilisation de cookies. applications
• Injection SQL
• Piratage des réseaux sans fil
• Piratage des plates-formes mobiles
• Evading ID, pare-feu et honeypots
• Cryptographie
• Cloud computing

Et pour la version 10, le test inclut désormais:

• Analyse de vulnérabilité
• Analyse des logiciels malveillants
• Internet des objets (IoT)

Ces sujets sont devenus courants en réponse aux changements rapides de la technologie.

Comment l’examen CEH est-il noté?

L’examen CEH comprend sept domaines différents. Ces différents domaines, ainsi que leurs scores pondérés et le nombre de questions d’examen, sont indiqués ci-dessous:

1. Contexte : Poids de 4 %, 6 éléments

• Technologies de mise en réseau (p. ex. matériel, infrastructure)
• Technologies Web (p. ex. web 2.0, Skype)
• Technologies de systèmes
• Protocoles de communication
• Opérations de malware
• Technologies mobiles
• Technologies de télécommunications
• Sauvegardes et archivage (par exemple Local, réseau)

2. Analyse / évaluation: Poids de 13%, 19 éléments

• Analyse des données
• Analyse des systèmes
• Évaluations des risques
• Méthodes d’évaluation technique

3. Sécurité: 25% de poids, 38 éléments

• Contrôles de sécurité des systèmes
• Serveur d’applications/ de fichiers
• Pare-feu
• Cryptographie
• Sécurité réseau
• Sécurité physique
• Modélisation des menaces
• Procédures de vérification (par exemple Validation de faux positifs/négatifs)
• Ingénierie sociale (manipulation de facteurs humains)
• Scanners de vulnérabilités
• Répercussions sur la politique de sécurité
• Vie privée/confidentialité (en ce qui concerne l’engagement)
• Biométrie
• Technologie d’accès sans fil (p. ex. réseau, RFID, bluetooth)
• Réseaux de confiance
• Vulnérabilités

4. Outils / Systèmes / programmes: Poids de 32%, 40 éléments

• Intrusion réseau / hôte
• Renifleurs réseau / sans fil (par exemple WireShark, Airsnort)
• Mécanismes de contrôle d’accès (par exemple cartes à puce)
• Techniques de cryptographie (par exemple IPSec, SSL, PGP)
• Langages de programmation (par exemple C++, Java, C#, C)
• Langages de script (par exemple, PHP, Javascript)
• Appliances de protection des limites
• Topologies de réseau
• Sous-réseau
• Analyse des ports (par exemple NMAP)
• Système de noms de domaine (DNS)
• Routeurs/modems/commutateurs
• Scanner de vulnérabilités (par exemple Nessus, Retina)
• Systèmes de gestion et de protection des vulnérabilités (par exemple Foundstone, Ecora)
• Environnements d’exploitation (par exemple Linux, Windows, Mac)
• Systèmes et programmes antivirus
• Outils d’analyse des journaux
• Modèles de sécurité
• Outils d’exploitation
• Structures de base de données

5. Procédures / Méthodologie: 20 % de poids, 25 éléments

• Cryptographie
• Infrastructure à clé publique (ICP)
• Architecture de sécurité (SA)
• Architecture orientée services
• Incident de sécurité de l’information
• Conception d’applications à n niveaux
• Réseau TCP/IP (par exemple routage réseau)
• Méthodologie de test de sécurité

6. Règlement / Politique : poids de 4%, 5 articles

• Politiques de sécurité
• Réglementations de conformité (p. ex. PCI)

7. Éthique: 2% de poids, 3 items

• Code de conduite professionnel
• Pertinence du piratage

Quel score avez-vous besoin pour réussir l’examen CEH?

La notation pour l’examen CEH est intéressante car il n’y a pas de note de passage ou de pourcentage prédéfini spécifique. Le nombre de réponses correctes requises dépend de la difficulté des questions posées lors de cette session particulière.

Une fois le test réussi et toutes les autres conditions remplies, la certification est accordée et reste valable pendant trois ans. Trois années de validité supplémentaires peuvent être obtenues en gagnant 120 crédits pour maintenir la certification. La personne doit renouveler ses informations d’identification en lui demandant de soumettre une preuve de tous les crédits gagnés via le portail Delta du Conseil EC, y compris les webinaires, conférences ou cours de formation auxquels elle a assisté.

Quelles sont les politiques d’examen de certification du Conseil EC?

Un certain nombre de politiques ont été conçues par le Conseil CE pour maintenir les normes élevées demandées pour leur programme de certification et pour soutenir leurs objectifs.

• L’accord de non-divulgation (NDA) empêche les candidats de divulguer des informations sur le test et les questions.
• Les candidats sont également tenus de respecter un Accord de Certification des candidats du Conseil CE qui les limite aux règles et réglementations relatives à l’utilisation et à l’obtention de toutes les certifications détenues.
• Une politique de sécurité et d’intégrité régit ce qui constitue un comportement frauduleux et une tricherie, ainsi que les conséquences.
• La politique de reprise permet aux candidats d’acheter un autre bon d’examen sans aucun temps d’attente lorsqu’ils ne réussissent pas le test à la première tentative. Les échecs ultérieurs pour réussir l’examen obligeront le candidat à attendre 14 jours entre les reprises jusqu’à un maximum de cinq fois en 12 mois. Une sixième tentative nécessite une période d’attente de 12 mois.
• La politique d’extension permet aux candidats de prolonger la validité de leur bon au-delà de la période normale de 12 mois. Une prolongation unique est possible pour trois mois au coût de 35 $ si le bon est toujours valide et inutilisé.
• La politique sur les bons régit l’utilisation des bons d’examen non remboursables, non transférables et non échangeables.
• La politique d’adaptation permet aux candidats ayant un handicap certifié de passer le test malgré les difficultés d’utilisation de l’équipement standard ou en raison d’autres obstacles.

Préparation et formation à l’examen CEH v10

Le test théorique a été développé par des experts en la matière dans le domaine du piratage éthique et vise à identifier les connaissances et les compétences qui aident les pirates éthiques à exceller. CEH v10 ajoute plusieurs nouveaux modules pour suivre les tendances actuelles en matière de cybersécurité, notamment l’analyse des vulnérabilités, l’analyse des logiciels malveillants et l’Internet des objets (IoT). Les candidats qui se préparent au test doivent examiner les nouveaux documents afin d’être prêts pour l’examen.

La formation Ethical Hacking Boot Camp – CEH v10 de l’Institut InfoSec est un choix très populaire pour les experts en cybersécurité qui souhaitent apprendre l’art du piratage. En plus du tout nouveau CEH v10, les étudiants pourraient également être intéressés par le cours en ligne de formation aux pirates informatiques, qui couvre les techniques utilisées par les pirates malveillants ou illégaux (chapeau noir) avec des conférences et des exercices pratiques en laboratoire. Les compétences de l’examen de pratique CEH (avec des questions de type quiz) sont également disponibles.

En ce qui concerne les crédits de formation continue, il existe de nombreuses options, y compris la plus grande conférence annuelle du Conseil de la CE, Hacker Halted, qui contribue à sensibiliser la communauté internationale à une éducation et à une éthique accrues en matière de sécurité informatique. Il s’agit d’une excellente occasion d’obtenir des crédits de formation continue et de développement professionnel, tels qu’établis par le CE-Conseil pour les membres intéressés par le CEH.

Conclusion

Le CEH peut être une excellente référence à ajouter à vos compétences. Comme le dit le Conseil EC, « Vous sortez avec des compétences de piratage éthique très demandées, ainsi que la certification de piratage éthique certifiée internationalement reconnue. »

D’autres certifications répondent également aux besoins des professionnels intéressés par le piratage éthique, comme le testeur de pénétration GIAC® (Global Information Assurance Certification) (GPEN). Cependant, la certification Certified Ethical Hacker (CEH) est l’une des options les plus populaires et les plus respectées. La CEH est une certification de base, et de nombreux professionnels d’infosec optent pour des options plus avancées et des carrières spécialisées. Ils peuvent également envisager une approche plus approfondie à travers le Certified Ethical Hacker Practical, une extension de la certification CEH, qui est un examen supplémentaire et discrétionnaire construit sur des spécifications par des experts en la matière dans le domaine de l’EH et avec une approche plus pratique.