Certified Information Systems Security Professional

Un article de Wikipédia, l'encyclopédie libre.


Certified Information Systems Security Professional (CISSP) est une certification professionnelle internationale et commercialement indépendante en sécurité des systèmes d'information. Le programme de certification est géré par le "International Information Systems Security Certification Consortium" (ISC²).

Cette certification est historiquement une des premières certifications de cybersécurité puisqu'elle a vu le jour aux États-Unis au début des années 1990 et l'une des plus difficiles au monde à obtenir. Elle a été désignée comme meilleure certification au monde en cybersécurité par FORBES en 2019[1]. Elle s'adresse particulièrement au métier de RSSI et de directeur de la sécurité mais de nombreux types de métiers sont aussi concernés par cette certification qui requiert des connaissances techniques. La CISSP nécessite de pouvoir justifier de 5 ans d'expérience dans le domaine de la cybersécurité (dans au moins 2 des 8 domaines) qui peuvent être réduits à 4 ans dans certaines conditions. Elle est valide pour une durée de 3 ans et propose un système de crédits à obtenir pour prolonger la validité de la certification en promouvant le domaine de la cybersécurité[2].

L'examen de la certification se présente actuellement sous deux formes au choix et nécessite 70 % de bonnes réponses pour être validé [2]:

  • 250 questions QCM pour une durée maximum de 6 heures (cette version n'est plus proposée pour la version anglaise mais uniquement pour le passage de l'examen dans une autre langue)
  • 100 à 150 questions QCM pour une durée maximum de 3 heures, le questionnaire est alors adaptatif, appelé CAT (Computerized Adaptive Testing) c'est-à-dire que le questionnaire s'adapte en fonction des réponses du candidat afin de déceler de potentielles faiblesses dans chacun des huit domaines étudiés. Il est à noter que l'examen CAT implique non seulement d'avoir 70 % de bonnes réponses au global mais aussi d'avoir au minimum 70 % de bonnes réponses dans chacun des domaines. Si un seul domaine est en dessous des 70 % et que le total est supérieur à 70 %, l'examen est considéré comme n'étant pas réussi. L'examen se déroule sur un minimum de 100 questions. Si le système détermine que le seuil de réussite a été atteint ou qu'il y a une probabilité de 95 % d'atteindre ce seuil par la suite, l'examen s'arrête, sinon celui-ci continue jusqu'à un maximum de 150 questions[3].

À la suite de la réussite de l'examen, il est nécessaire de réaliser la phase « endorsment » qui permet d'une part de justifier des 5 ans d'expérience dans le domaine, ainsi que d'être parrainé par un membre déjà certifié CISSP. L'ISC² enquête alors sur la validité des expériences avant de valider l'attribution de la certification[2].

Depuis le 12 mai 2020, le CISSP est reconnu comme un mastère en cybersécurité[4]. Il s'agit de la seule certification au monde en cybersécurité à avoir reçu un niveau de reconnaissance de ce niveau.

Sujets[modifier | modifier le code]

Le programme de la certification CISSP comporte dix chapitres :

  1. Contrôle d'accès
  2. Sécurité applicative
  3. Plan de continuité d'activité et de restauration en cas de désastre
  4. Cryptographie
  5. Sécurité de l'information et Gestion du risque
  6. Droit, règlement, conformité et investigations
  7. Sécurité des opérations
  8. Sécurité physique (environnementale)
  9. Modèles de sécurité informatique
  10. Sécurité des télécommunications et des réseaux

Une restructuration du programme de la certification CISSP a eu lieu le 15 avril 2015, et il contient désormais 8 domaines au lieu de 10 :

  1. Gestion des risques et de la sécurité
  2. Protection des actifs
  3. Ingénierie de la sécurité
  4. Sécurité des télécommunication et des réseaux
  5. Contrôle d’accès et gestion des identités
  6. Évaluation de la sécurité
  7. Sécurité des opérations
  8. Sécurité des développements

Répartition[modifier | modifier le code]

D'après l'(ISC)², au 31 mai 2019, 136480 personnes étaient certifiées CISSP dans 175 pays[5], majoritairement aux États-Unis.

Les cinq pays les plus représentés étaient :

La France arrive 13e du classement avec 1077 personnes certifiées.

Annexes[modifier | modifier le code]

Notes et références[modifier | modifier le code]

  1. (en) Louis Columbus, « Top 10 Most Popular Cybersecurity Certifications In 2019 », sur Forbes (consulté le 19 octobre 2019)
  2. a b et c « Cybersecurity Certification| CISSP - Certified Information Systems Security Professional | (ISC)² », sur www.isc2.org (consulté le 19 août 2019)
  3. « CISSP Computerized Adaptive Testing », sur www.isc2.org (consulté le 9 janvier 2020)
  4. « (ISC)² CISSP Certification Now Comparable to Masters Degree Standard », sur www.isc2.org (consulté le 14 mai 2020)
  5. « Member Counts », sur Isc2.org (consulté le 27 juillet 2020).

Voir aussi[modifier | modifier le code]

Liens externes[modifier | modifier le code]