Certified Information Systems Security Professional

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche

Certified Information Systems Security Professional (CISSP) est une certification professionnelle internationale et commercialement indépendante en sécurité des systèmes d'information. Le programme de certification est géré par le "International Information Systems Security Certification Consortium" (ISC²).

Cette certification est historiquement une des premières certifications de cybersécurité puisqu'elle a vu le jour aux États-Unis au début des années 90 et l'une des plus difficiles au monde à obtenir. Elle a été désignée comme meilleure certification au monde en cybersécurité par FORBES en 2019[1]. Elle s'adresse particulièrement au métier de RSSI mais de nombreux types de métiers sont aussi concernés par cette certification qui requiert des connaissances techniques. La CISSP nécessite de pouvoir justifier de 5 ans d'expérience dans le domaine de la cybersécurité (dans au moins 2 des 8 domaines) qui peuvent être réduit à 4 ans dans certaines conditions. Elle est valide pour une durée de 3 ans et propose un système de crédits à obtenir pour prolonger la validité de la certification en promouvant le domaine de la cybersécurité[2].

L'examen de la certification se présente actuellement sous deux formes au choix et nécessite 70% de bonnes réponses pour être validé [2]:

  • 250 questions QCM pour une durée maximum de 6 heures (cette version n'est plus proposée pour la version anglaise mais uniquement pour le passage de l'examen dans une autre langue)
  • 100 à 150 questions QCM pour une durée maximum de 3 heures, le questionnaire est alors adaptatif, appelé CAT (Computerized Adaptive Testing) c'est à dire que le questionnaire s'adapte en fonction des réponses du candidat afin de déceler de potentielles faiblesses dans chacun des huit domaines étudiés. Il est à noter que l'examen CAT implique non seulement d'avoir 70% de bonnes réponses au global mais aussi d'avoir au minimum 70% de bonnes réponses dans chacun des domaines. Si un seul domaine est en dessous des 70% et que le total est supérieur à 70%, l'examen est considéré comme n'étant pas réussi. L'examen se déroule sur un minimum de 100 questions. Si le système détermine que les 70% ont été atteints ou qu'il y a une probabilité de 95% d'atteindre les ce seuil par la suite, l'examen s'arrête, sinon celui-ci continue jusqu'à un maximum de 150 questions.

Suite à la réussite de l'examen, il est nécessaire de réaliser la phase "endorsment" qui permet d'une part de justifier des 5 ans d'expérience dans le domaine, ainsi que d'être parrainé par un membre déjà certifié CISSP. L'ISC² enquête alors sur la validité des expériences avant de valider l'attribution de la certification[2].

Sujets[modifier | modifier le code]

Le programme de la certification CISSP comporte dix chapitres :

  1. Contrôle d'accès
  2. Sécurité applicative
  3. Plan de continuité d'activité et de restauration en cas de désastre
  4. Cryptographie
  5. Sécurité de l'information et Gestion du risque
  6. Droit, règlement, conformité et investigations
  7. Sécurité des opérations
  8. Sécurité physique (environnementale)
  9. Modèles de sécurité informatique
  10. Sécurité des télécommunications et des réseaux

Une restructuration du programme de la certification CISSP a eu lieu le 15 avril 2015, et il contient désormais 8 domaines au lieu de 10 :

  1. Gestion des risques et de la sécurité
  2. Protection des actifs
  3. Ingénierie de la sécurité
  4. Sécurité des télécommunication et des réseaux
  5. Contrôle d’accès et gestion des identités
  6. Évaluation de la sécurité
  7. Sécurité des opérations
  8. Sécurité des développements

Répartition[modifier | modifier le code]

D'après l'(ISC)², au 31 Mai 2019, 136480 personnes étaient certifiées CISSP dans 175 pays[3], majoritairement aux États-Unis.

Les cinq pays les plus représentés étaient :

La France arrive 12e du classement avec 1077 personnes certifiées.

Annexes[modifier | modifier le code]

Notes et références[modifier | modifier le code]

Voir aussi[modifier | modifier le code]

Liens externes[modifier | modifier le code]