Certified Information Systems Security Professional
Certified Information Systems Security Professional (CISSP) est une certification professionnelle internationale et commercialement indépendante en sécurité des systèmes d'information. Le programme de certification est géré par le "International Information Systems Security Certification Consortium" (ISC²).
Cette certification est historiquement une des premières certifications de cybersécurité puisqu'elle a vu le jour aux États-Unis au début des années 1990 et l'une des plus difficiles au monde à obtenir. Elle a été désignée comme meilleure certification au monde en cybersécurité par FORBES en 2019[1]. Elle s'adresse particulièrement au métier de RSSI et de directeur de la sécurité mais de nombreux types de métiers sont aussi concernés par cette certification qui requiert des connaissances techniques. La CISSP nécessite de pouvoir justifier de 5 ans d'expérience dans le domaine de la cybersécurité (dans au moins 2 des 8 domaines) qui peuvent être réduits à 4 ans dans certaines conditions. Elle est valide pour une durée de 3 ans et propose un système de crédits à obtenir pour prolonger la validité de la certification en promouvant le domaine de la cybersécurité[2].
L'examen de la certification se présente actuellement sous deux formes au choix et nécessite 70 % de bonnes réponses pour être validé [2]:
- 250 questions QCM pour une durée maximum de 6 heures (cette version n'est plus proposée pour la version anglaise mais uniquement pour le passage de l'examen dans une autre langue)
- 125 à 175 questions QCM pour une durée maximum de 4 heures, le questionnaire est alors adaptatif, appelé CAT (Computerized Adaptive Testing) c'est-à-dire que le questionnaire s'adapte (via Intelligence Artificielle) en fonction des réponses du candidat afin de déceler de potentielles faiblesses dans chacun des huit domaines étudiés. Il est à noter que l'examen CAT implique non seulement d'avoir 70 % de bonnes réponses au global mais aussi d'avoir au minimum 70 % de bonnes réponses dans chacun des domaines. Si un seul domaine est en dessous des 70 % et que le total est supérieur à 70 %, l'examen est considéré comme n'étant pas réussi. L'examen se déroule sur un minimum de 125 questions. Si le système détermine que le seuil de réussite a été atteint ou qu'il y a une probabilité de 95 % d'atteindre ce seuil par la suite, l'examen s'arrête, sinon celui-ci continue jusqu'à un maximum de 175 questions[3].
À la suite de la réussite de l'examen, il est nécessaire de réaliser la phase « endorsment » qui permet d'une part de justifier des 5 ans d'expérience dans le domaine, ainsi que d'être parrainé par un membre déjà certifié CISSP. L'ISC² enquête alors sur la validité des expériences avant de valider l'attribution de la certification[2].
Depuis le 12 mai 2020, le CISSP est reconnu comme un mastère en cybersécurité[4]. Il s'agit de la seule certification au monde en cybersécurité à avoir reçu un niveau de reconnaissance de ce type.
Sujets
Le programme de la certification CISSP comporte dix chapitres :
- Contrôle d'accès
- Sécurité applicative
- Plan de continuité d'activité et de restauration en cas de désastre
- Cryptographie
- Sécurité de l'information et Gestion du risque
- Droit, règlement, conformité et investigations
- Sécurité des opérations
- Sécurité physique (environnementale)
- Modèles de sécurité informatique
- Sécurité des télécommunications et des réseaux
Une restructuration du programme de la certification CISSP a eu lieu le 15 avril 2015, et il contient désormais 8 domaines au lieu de 10 :
- Gestion des risques et de la sécurité
- Protection des actifs
- Ingénierie de la sécurité
- Sécurité des télécommunications et des réseaux
- Contrôle d’accès et gestion des identités
- Évaluation de la sécurité
- Sécurité des opérations
- Sécurité des développements
Répartition
D'après l'(ISC)², au 31 mai 2019, 136480 personnes étaient certifiées CISSP dans 175 pays[5] depuis la création de la certification, majoritairement aux États-Unis.
Les cinq pays les plus représentés étaient :
- États-Unis (87343 certifiés)
- Grande-Bretagne (7229 certifiés)
- Canada (5649 certifiés)
- Corée du Sud (2733 certifiés)
- Australie (2539 certifiés)
La France arrive 13e du classement avec 1077 personnes certifiées.
Annexes
Notes et références
- (en) Louis Columbus, « Top 10 Most Popular Cybersecurity Certifications In 2019 », sur Forbes (consulté le )
- « Cybersecurity Certification| CISSP - Certified Information Systems Security Professional | (ISC)² », sur www.isc2.org (consulté le )
- « CISSP Computerized Adaptive Testing », sur www.isc2.org (consulté le )
- « (ISC)² CISSP Certification Now Comparable to Masters Degree Standard », sur www.isc2.org (consulté le )
- « Member Counts », sur Isc2.org (consulté le ).
Voir aussi
Liens externes
- (en) CISSP® - Certified Information Systems Security Professional (site officiel)
- Portail de la sécurité de l’information
- Portail de la sécurité informatique
- Portail de l’éducation