Reconnue à travers le monde, la certification CISSP témoigne des compétences des professionnels de la sécurité informatique. Via son common Body of Knowledge, cette certification englobe tous les aspects de la cybersécurité. Il ne s’agit pas seulement de connaître les concepts théoriques, mais surtout de les appliquer aux spécificités de l’entreprise. Alors qu’est-ce que la CISSP ? Quel est le programme ? Et quels sont les pré-requis ? Découvrez les réponses.
CISSP, Certified Information Systems Security Professional
La CISSP (ou Certified Information Systems Security Professional) est une certification professionnelle à destination des experts de la cybersécurité. C’est d’ailleurs l’une des premières puisqu’elle a vu le jour en 1994 aux États-Unis. Alors qu’Internet n’était encore qu’à ses prémisses, les problématiques liées à la sécurité des systèmes d’information commençaient déjà à émerger.
Aujourd’hui, la CISSP est beaucoup plus exigeante à mesure que la cybersécurité se complexifie. Les hackers malveillants étant de plus en plus compétents, les experts cyber doivent redoubler d’efforts et d’ingéniosité pour parer leurs attaques.
Ainsi, la CISSP analyse les connaissances techniques du certifié, mais aussi ses capacités d’analyse des risques et ses aptitudes à réaliser des audits des systèmes. L’idée est surtout d’être capable d’appliquer les principes de la cybersécurité aux besoins spécifiques des organisations.
Les 8 domaines du CBK
Géré par l’(ISC)² (ou International Information Systems Security Certification Consortium), le programme de la formation CISSP repose sur un ensemble de connaissances ; le CBK. Ce Common Body of Knowledge s’articule autour de 8 domaines où chacun a un poids différent dans la note finale.
1 - Sécurité et gestion des risques
Ce domaine compte pour 16 % dans la note. C’est le plus important. Et pour cause, vous devrez démontrer vos connaissances sur les concepts clés de la cybersécurité, à savoir :
- La confidentialité, l’intégrité et la disponibilité des données ;
- Les bases de la gestion des risques (notamment l’identification, l’évaluation, et le traitement des risques) ;
- Les normes ISO/IEC, la gestion des politiques de sécurité, l’analyse d’impact sur l’entreprise ;
- Le respect des lois, des réglementations et des normes de l’industrie.
2 - La sécurité des assets
Représentant 10 % de la note, ce domaine de la CISSP se focalise sur la classification de l’information (en fonction de la sensibilité et la criticité des données).
Vous verrez également les rôles des propriétaires/gardiens d’actifs, le cycle de vie des informations, la protection et la destruction des supports.
3 - Architecture et ingénierie de la sécurité
Comptant 13 % de la note, ce sont surtout les processus d’engineering qui sont étudiés. Concrètement, ce domaine se focalise sur :
- Les principes d’architecture de sécurité et modèles de sécurité ;
- Le développement et l’évaluation de l’architecture sécurisée ;
- Les principes, méthodes et applications cryptographiques ;
- La sécurité des installations et des équipements.
4 - Sécurité des télécommunications et des réseaux
Vous démontrez votre capacité à sécuriser les composants réseau, concevoir des canaux de communication sécurisés et prévenir les attaques réseau.
Voici les points étudiés :
- Topologies, protocoles, et dispositifs de réseau ;
- Pare-feu, systèmes de détection d’intrusion, VPN ;
- Authentification et autorisation dans les environnements réseau ;
- Types d’attaques réseau et mesures de protection.
Ce domaine vaut 13 % de la note finale CISSP.
5 - Gestion des identités et des accès (IAM)
Comptant également pour 13 %, ce domaine se concentre sur tous les contrôles d’accès physique et logique aux ressources.
Voici les points étudiés :
- Méthodes et technologies de gestion des identités ;
- Modèles de contrôle d’accès (RBAC, ABAC, MAC, DAC) ;
- Création, gestion et suppression des identités ;
- Technologies d’IAM (SSO, MFA, annuaires LDAP).
6 - Évaluation de la sécurité et tests
Valant 12 % de la certification CISSP, vous démontrez vos connaissances sur les stratégies d’évaluation et les tests de sécurité (vulnérabilité, pénétration, positionnement, fonctionnels, non fonctionnels, …) et les audits internes.
7 - Opération de sécurité
À travers ce domaine (13 % de la note finale), vous verrez :
- La gestion des incidents : détection, réponse et récupération suite à un incident de sécurité.
- Le plan de continuité et de reprise après sinistre : préparation et réaction aux situations d’urgence.
- La gestion des ressources de sécurité : surveillance, journalisation, et maintenance des dispositifs de sécurité.
- La gestion de la sécurité des installations : sécurisation des installations contre les intrusions et les catastrophes.
8 - Sécurité du développement logiciel
Comptant pour 10 %, ce domaine s’attarde sur la sécurité tout au long du cycle de vie de développement logiciel. Et ce, dans différents environnements.
Avec ses 8 domaines ultra complets, la CISSP est considérée comme l’une des formations les plus difficiles dans le domaine de la sécurité des données. Mais c’est aussi l’une des plus recherchées et les plus rémunératrices.
Une certification réservée aux experts de la cybersécurité
Le prestige de la CISSP tient à ses difficultés. Et pour cause, avant même de passer l’examen, vous devez respecter 4 pré-requis obligatoires :
- Justifier de 5 ans d’expérience professionnelle dans la cybersécurité ;
- Recevoir le parrainage d’un tiers ;
- Adhérer au code éthique de l'(ISC)² ;
- Accepter la possibilité d’être audité.
Ensuite, il faut passer le CISSP qui se déroule sous la forme d’un QCM de 100 à 150 questions. Vous devez alors obtenir 70 % de bonnes réponses.
Pour réussir l’examen de certification CISSP, mieux vaut bien s’y préparer. Et ça commence par la formation. DataScientest vous accompagne via sa formation Analyste Cyber.