En quoi consiste la certification CISSP ?
La certification CISSP (Certified Information Systems Security Professional, professionnel certifié de la sécurité des systèmes d’information) est une certification avancée en gestion de la cybersécurité pour les professionnels de l’IT, délivrée par l'(ISC)²,organisation à but non lucratif spécialisée dans la formation et la certification des professionnels de la cybersécurité. Pour pouvoir prétendre à cette certification et composer à l’examen, les professionnels de la cybersécurité doivent attester d’au moins cinq ans d’expérience.
Qu’est-ce que l'(ISC)² ?
L’International Information Systems Security Certification Consortium, plus souvent appelée (ISC)², est une organisation à but non lucratif créée en 1989. Spécialisée dans la formation et la certification des professionnels de la sécurité de l’information, elle est également connue pour avoir développé le modèle CBK, ou corpus commun de connaissances (Common Body of Knowledge).
Historique de la certification CISSP
En 1989, l’organisation à but non lucratif International Information Systems Security Certification Consortium, Inc., ou(ISC)², voit le jour. La même année, l’(ISC)² développe le prototype du modèle CBK. En 1994, le premier titre CISSP est établi et la première version de l’examen est mise au point. Depuis, des certifications supplémentaires ont été développées et accréditées et le nombre de titulaires a augmenté.
Depuis sa création, le CISSP a gagné en reconnaissance et est aujourd’hui l’une des certifications les plus recherchées dans le monde de la sécurité de l’information. Reconnue dans le monde entier, elle fait souvent partie des pré requis pour les postes les plus expérimentés du secteur.
Le corpus commun de connaissances
Le CBK (corpus commun de connaissances) (ISC)2 est un ensemble régulièrement mis à jour de sujets d’actualité qui concernent les professionnels de la sécurité du monde entier. Ces sujets incluent les compétences requises, les techniques et les bonnes pratiques. Le CBK est un cadre qui définit de manière standardisée la terminologie et les principes liés à la sécurité de l’information. Il fournit un vocabulaire commun aux professionnels de la sécurité du monde entier afin de les aider à échanger et à trouver des solutions aux problèmes qu’ils rencontrent au quotidien. Le CBK se divise en huit domaines, qui couvrent tout le spectre de la sécurité de l’information.
Vous souhaitez en savoir davantage sur la Quantification des Risques Cyber ?
Prenez rendez-vous pour discuter de la manière dont nos solutions de CRQ peuvent vous aider à identifier et quantifier vos risques cyber les plus fréquents et les plus couteux.
Quels sont les huit domaines abordés par le CISSP ?
Les huit domaines du CBK composent la certification CISSP (Certified Information Systems Security Professional). Cette certification a été conçue pour s’assurer que les professionnels disposent d’une compréhension large des grands sujets, principes éthiques, bonnes pratiques, etc. liés à la sécurité de l’information. Certains domaines peuvent se recouper, notamment certains concepts tels que la gestion du risque, les architectures de sécurité ou les contrôles d’accès, ce qui souligne la nature interconnectée des projets de sécurité de l’information. Chaque domaine présente un nombre variable d’objectifs : par exemple, la Sécurité des télécommunications et des réseaux ne compte que trois objectifs, contre 15 pour les Opérations de sécurité.
Voici les huit domaines abordés :
o Sécurité des informations et gestion des risques
o Sécurité des assets
o Architecture et ingénierie de la sécurité
o Sécurité des télécommunications et des réseaux
o Gestion des identités et des accès (IAM)
o Évaluation de la sécurité et tests
o Opérations de sécurité
o Sécurité du développement logiciel
La certification CISSP en 2024
On considère le CISSP comme l’étalon-maître des certifications en sécurité de l’information. S’il inspire toujours un grand respect chez les professionnels de la sécurité, c’est notamment parce que les sujets qu’il aborde sont remaniés en permanence. Le processus (ISC)² garantit que la certification reste pertinente et tient compte des développements du panorama des technologies et des menaces.
Le 15 avril 2024, la pondération de la notation des huit domaines de l’examen CISSP fera l’objet d’une mise à jour.
CISSP : examen de professionnel certifié en sécurité des systèmes d’information
Principaux aspects de l’examen de certification CISSP
Reconnaissance internationale : le CISSP est une certification reconnue internationalement dans le domaine de la sécurité de l’information et de l’IT. Il peut vous aider dans votre recherche d’emploi ou faciliter l’accès à des postes de plus haut niveau au sein de votre entreprise.
Champ d’application complet : le programme et l’examen CISSP couvrent les huit domaines du corpus commun de connaissances (CBK).
Expérience obligatoire : les candidats à la certification CISSP doivent justifier d’au moins cinq ans d’expérience cumulée et rémunérée dans au moins deux des huit domaines du CBK CISSP. Certaines certifications qualifiantes et certains diplômes peuvent ramener cette obligation à quatre ans.
Statut d’Associate CISSP : tout candidat à la certification CISSP qui ne remplit pas les critères d’expérience professionnelle établis reçoit le titre d’Associate CISSP lorsqu’il réussit l’examen CISSP. Les personnes au statut Associate (ISC)² ont six ans pour acquérir les cinq années d’expérience requises dans l’un des huit domaines de la certification. Une fois le niveau d’expérience requis obtenu, ces personnes sont pleinement certifiées CISSP.
Examen : deux types d’examens sont proposés :
o L’examen CISSP (CAT), pour Computerized Adaptive Testing, est un test adaptatif réalisé sur ordinateur. Les candidats disposent de 3 heures pour répondre à un ensemble de 100 à 150 questions à choix multiple et exercices innovants avancés. L’examen est uniquement disponible en anglais.
o L’examen CISSP (CBT), pour Computer Based Testing, est un test linéaire sur ordinateur disponible en chinois, coréen, allemand, japonais et espagnol ; il se compose de 225 questions à choix multiple et exercices innovants avancés. Cet examen dure 6 heures au total.
Parrainage et prolongation : une fois l’examen validé, les candidats doivent être parrainés par un autre professionnel certifié (ISC)² et accepter le Code d’éthique (ISC)². Les détenteurs de la certification CISSP doivent également obtenir et justifier de 120 crédits de formation continue professionnelle au cours des trois années suivantes afin de conserver leur certification. Le site web d'(ISC)² précise les modalités qui permettent d’obtenir des crédits de formation continue.
Avancement professionnel : la certification CISSP est particulièrement prisée dans l’industrie de la sécurité de l’information. La certification peut vous apporter des avantages en termes de salaire et d’opportunités professionnelles. Elle est souvent requise pour certains postes : directeur de la sécurité, analyste sécurité ou responsable de la sécurité des systèmes d’information, par exemple.
Principes d’éthique : la certification CISSP met en avant l’importance d’un comportement éthique et professionnel dans le domaine de la sécurité de l’information. Comme précisé ci-dessus, la certification requiert l’acceptation du Code d’éthique (ISC)².
Comment se préparer à l’examen CISSP ?
Comme pour de nombreux examens, il existe plusieurs méthodes de préparation en ligne : libre-service, groupes d’étude utilisant un manuel ou stages de préparation intensive. Le coût de la préparation varie selon la solution choisie : elle peut être gratuite si vous vous contentez d’emprunter le guide officiel en médiathèque et de travailler avec des ressources en ligne gratuites, ou atteindre plusieurs milliers de dollars si vous participez à un stage de formation.
Pour les candidats en préparation autonome, de nombreuses ressources gratuites sont mises à disposition en ligne, de même que des cours payants. L’ISC2 propose gratuitement des fiches de préparation à l’examen CISSP. Le guide de préparation officiel prend la forme d’une application disponible en version gratuite avec achats optionnels (freemium), ou en version payante. Il est important de bien se reporter au site web de l’ISC2 pour accéder aux ressources les plus récentes.
Influence du CISSP sur le salaire (et la sécurité de l’emploi)
Sur le marché du travail, les professionnels de la cybersécurité et des TIC certifiés CISSP sont généralement mieux rémunérés que leurs pairs non certifiés. D’après les grilles de salaires analysées par Payscale, un analyste cybersécurité gagne entre 65 k$ et 104 k$, tandis qu’un RSSI gagne entre 145 k$ et 252 k$. Le salaire moyen des professionnels certifiés CISSP, tous rôles confondus, est de 128 k$.
Outre ces prétentions salariales plus élevées, les professionnels certifiés CISSP bénéficient d’une meilleure sécurité de l’emploi. La demande de professionnels de la cybersécurité ne cesse de croître dans le monde entier. Selon le Bureau of Labor Statistics américain, le taux de croissance des professionnels de la cybersécurité devrait atteindre 22 % d’ici 2030.
Formation continue des professionnels du risque
La nature dynamique du panorama des risques cyber met en évidence l’efficacité et la nécessité de programmes de formation continue à destination des professionnels de la sécurité de l’information et des TIC. La certification CISSP reste particulièrement prisée des employeurs et constitue un accomplissement majeur pour les personnes qui réussissent l’examen. À l’image du CISSP, la formation continue et la certification garantissent que les professionnels du risque répondent toujours aux besoins du marché tout en participant de façon intégrale à la sécurisation de l’avenir des environnements numériques.
Si vous êtes intéressé par d’autres types de formation continue, C-Risk propose des formations à la quantification des risques cyber (CRQ) destinées aux professionnels qui interviennent dans la gestion des risques ou qui souhaitent en savoir plus sur la quantification basée sur la méthodologie FAIR. Pour plus d’informations, rendez-vous sur notre page de formation à la CRQ ou sur notre site web.
CISSP FAQ
À qui s'adresse la certification CISSP ?
Le CISSP est idéal pour les praticiens, les gestionnaires et les cadres expérimentés en matière de sécurité qui souhaitent prouver leur connaissance d'un large éventail de pratiques et de principes de sécurité. Il s'adresse notamment aux responsables de la sécurité, aux analystes de la sécurité, aux responsables de la sécurité de l'information (CISO), aux directeurs et responsables informatiques, aux auditeurs de la sécurité, aux architectes de la sécurité et aux architectes de réseau.
Quelles sont les autres certifications importantes en matière de cybersécurité et de sécurité de l'information en dehors de la certification CISSP ?
Il existe plusieurs autres certifications clés dans les domaines de la cybersécurité et de la sécurité de l'information que les professionnels peuvent obtenir pour améliorer leurs connaissances, leurs compétences et leurs perspectives de carrière. Il s'agit notamment de Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), CompTIA Security+ et Certified Ethical Hacker (CEH).
La formation CRQ de C-Risk est-elle réservée aux professionnels de la cybersécurité ?
Les programmes de formation de C-Risk sur la quantification du risque cyber sont conçus pour les professionnels des affaires et de la sécurité de l'information, avec un cours d'introduction pour les non-praticiens et un cours avancé pour les professionnels du risque qui souhaitent obtenir la certification FAIR. La norme FAIR est un modèle quantitatif pour la sécurité de l'information et le risque opérationnel. FAIR fournit un modèle pour comprendre la quantification du cyber-risque et du risque opérationnel en termes pertinents pour l'entreprise.
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.