https://competences-metier.fr/wiki/index.php?action=history&feed=atom&title=CISSPCISSP - Historique des versions2026-06-17T23:05:53ZHistorique des versions pour cette page sur le wikiMediaWiki 1.45.3https://competences-metier.fr/wiki/index.php?title=CISSP&diff=869&oldid=prevKecvn : Publication via Quaero Hub2026-06-12T21:37:39Z<p>Publication via Quaero Hub</p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="fr">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Version précédente</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version du 12 juin 2026 à 17:37</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l144">Ligne 144 :</td>
<td colspan="2" class="diff-lineno">Ligne 144 :</td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>* [[NIST Cybersecurity Framework]]</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>* [[NIST Cybersecurity Framework]]</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>* [[(ISC)²]]</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>* [[(ISC)²]]</div></td></tr>
<tr><td colspan="2" class="diff-side-deleted"></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"></ins></div></td></tr>
<tr><td colspan="2" class="diff-side-deleted"></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">[[Catégorie:Cybersécurité]]</ins></div></td></tr>
</table>Kecvnhttps://competences-metier.fr/wiki/index.php?title=CISSP&diff=651&oldid=prevKecvn : Publication via Quaero Hub2026-06-10T19:22:04Z<p>Publication via Quaero Hub</p>
<p><b>Nouvelle page</b></p><div>Le '''CISSP''' (''Certified Information Systems Security Professional'') est une [[certification professionnelle|certification]] en [[cybersécurité]] délivrée par l'[[(ISC)²]], organisme à but non lucratif fondé en 1989 et basé à Clearwater, en Floride. Elle atteste d'une maîtrise avancée de l'ensemble des domaines constituant le [[Common Body of Knowledge]] (CBK) de la sécurité informatique, couvrant aussi bien les aspects techniques que managériaux et réglementaires. Au 1er janvier 2024, l'[[(ISC)²]] recense plus de 160 000 titulaires actifs répartis dans plus de 170 pays.<br />
<br />
== Historique ==<br />
<br />
La certification CISSP a été créée en 1994 par l'[[(ISC)²]], en réponse à un besoin croissant de standardisation des compétences en sécurité des systèmes d'information. Elle est devenue en 1999 la première [[certification professionnelle|certification]] dans ce domaine à satisfaire aux critères ISO/IEC 17024 (accréditation des organismes certifiant des personnes), lui conférant une reconnaissance internationale formelle.<br />
<br />
Le référentiel [[Common Body of Knowledge|CBK]] a fait l'objet de plusieurs révisions afin de refléter l'évolution des menaces et des technologies. La révision de 2015 a réduit le nombre de domaines de dix à huit, en fusionnant certaines thématiques proches. La dernière révision majeure, entrée en vigueur en mai 2021, a mis à jour les contenus portant notamment sur la [[sécurité du cloud]], la [[Gestion des identités et des accès|gestion des identités]] et le [[Modèle Zero Trust|modèle Zero Trust]].<br />
<br />
== Structure de la certification ==<br />
<br />
=== Le Common Body of Knowledge (CBK) ===<br />
<br />
Le [[Common Body of Knowledge]] (CBK) constitue le référentiel de compétences sur lequel repose l'examen CISSP. Il est structuré en huit domaines, chacun pondéré différemment dans l'examen :<br />
<br />
{| class="wikitable"<br />
|-<br />
! Domaine !! Titre !! Pondération (2021)<br />
|-<br />
| 1 || Security and Risk Management || 15 %<br />
|-<br />
| 2 || Asset Security || 10 %<br />
|-<br />
| 3 || Security Architecture and Engineering || 13 %<br />
|-<br />
| 4 || Communication and Network Security || 13 %<br />
|-<br />
| 5 || Identity and Access Management (IAM) || 13 %<br />
|-<br />
| 6 || Security Assessment and Testing || 12 %<br />
|-<br />
| 7 || Security Operations || 13 %<br />
|-<br />
| 8 || Software Development Security || 11 %<br />
|}<br />
<br />
==== Domaine 1 : Security and Risk Management ====<br />
<br />
Ce domaine couvre les fondements de la sécurité de l'information : gouvernance, éthique professionnelle, cadres juridiques et réglementaires, [[Gestion des risques informatiques|gestion des risques]], politiques de sécurité et sensibilisation des utilisateurs. Il intègre également la gestion de la continuité des activités ([[Plan de continuité d'activité|PCA]]) et la reprise après sinistre ([[Plan de reprise d'activité informatique|PRA]]).<br />
<br />
==== Domaine 2 : Asset Security ====<br />
<br />
Ce domaine traite de la classification des actifs informationnels, de leur cycle de vie, des politiques de rétention des données, des exigences de protection selon leur niveau de sensibilité et de la destruction sécurisée des supports de stockage.<br />
<br />
==== Domaine 3 : Security Architecture and Engineering ====<br />
<br />
Il englobe les modèles de sécurité théoriques (Bell-LaPadula, Biba, Clark-Wilson), la [[Cryptographie|cryptographie]] et ses applications ([[Chiffrement des données|chiffrement symétrique et asymétrique]], [[Signature numérique|signatures numériques]], [[Infrastructure à clés publiques|infrastructure à clés publiques]]), ainsi que la sécurité des architectures matérielles et des systèmes embarqués.<br />
<br />
==== Domaine 4 : Communication and Network Security ====<br />
<br />
Ce domaine aborde la sécurité des réseaux : protocoles de communication, [[Pare-feu|pare-feu]], [[DMZ (informatique)|zones démilitarisées]], [[VPN (réseau privé virtuel)|réseaux privés virtuels]], segmentation réseau et sécurité des protocoles sans fil (Wi-Fi, Bluetooth) et des communications mobiles.<br />
<br />
==== Domaine 5 : Identity and Access Management ====<br />
<br />
Il couvre la [[Gestion des identités et des accès|gestion des identités et des accès]] (IAM), les mécanismes d'[[Authentification multifacteur|authentification multifacteur]], les modèles de contrôle d'accès (RBAC, ABAC, MAC, DAC), la fédération d'identités et la gestion du cycle de vie des comptes à privilèges.<br />
<br />
==== Domaine 6 : Security Assessment and Testing ====<br />
<br />
Ce domaine porte sur les méthodologies d'évaluation de la sécurité : [[Audit de cybersécurité|audits de sécurité]], [[Test d'intrusion|tests d'intrusion]], [[Red team|exercices red team]], revue de code et analyse de [[Vulnérabilité informatique|vulnérabilités]]. Il inclut les outils de supervision comme les [[SIEM (informatique)|SIEM]].<br />
<br />
==== Domaine 7 : Security Operations ====<br />
<br />
Il traite des opérations de sécurité quotidiennes : [[Réponse aux incidents de sécurité|réponse aux incidents]], investigation numérique légale (''forensics''), gestion des journaux d'événements, supervision assurée par les [[SOC (Security Operations Center)|centres opérationnels de sécurité]], gestion des correctifs et sécurité physique des installations.<br />
<br />
==== Domaine 8 : Software Development Security ====<br />
<br />
Ce domaine couvre l'intégration de la sécurité dans le cycle de développement logiciel (SDLC), les pratiques de codage sécurisé, la gestion des [[Vulnérabilité informatique|vulnérabilités]] applicatives et les modèles de maturité logicielle (CMMI, BSIMM).<br />
<br />
== Conditions d'obtention ==<br />
<br />
=== Expérience professionnelle requise ===<br />
<br />
Le candidat doit justifier d'au moins cinq années d'expérience professionnelle cumulée à temps plein dans au moins deux des huit domaines du CBK. Une dérogation réduit ce prérequis à quatre ans pour les titulaires d'un diplôme universitaire de niveau bac+4 ou d'une [[certification professionnelle|certification]] figurant sur la liste approuvée par l'[[(ISC)²]].<br />
<br />
Les professionnels qui réussissent l'examen sans remplir la condition d'expérience obtiennent le statut d'Associate of (ISC)² et disposent de six ans pour acquérir les cinq années d'expérience nécessaires à la conversion en CISSP.<br />
<br />
=== L'examen de certification ===<br />
<br />
Depuis 2021, l'examen CISSP en langue anglaise est administré en format CAT (''Computerized Adaptive Testing'') : il comporte entre 100 et 150 questions pour un temps imparti de trois heures. L'algorithme adaptatif ajuste en temps réel la difficulté des questions selon les réponses fournies, permettant une mesure statistiquement plus précise du niveau de compétence que le format linéaire.<br />
<br />
Pour les examens dans d'autres langues (français, espagnol, allemand, japonais, coréen, chinois simplifié, portugais brésilien), le format linéaire est maintenu : 250 questions pour un temps imparti de six heures.<br />
<br />
Le score minimal requis pour la réussite est de 700 points sur 1 000. Le coût de passage est fixé à 749 USD (tarif 2023), quel que soit le format.<br />
<br />
=== Processus d'endorsement ===<br />
<br />
Après la réussite de l'examen, le candidat dispose de neuf mois pour soumettre sa demande d'endorsement. Cette procédure requiert la validation par un titulaire actif du CISSP (ou d'une certification (ISC)² équivalente), qui atteste de la réalité de l'expérience professionnelle déclarée. En l'absence de parrain disponible, l'[[(ISC)²]] peut assurer lui-même la validation, sous réserve d'un délai de traitement allongé.<br />
<br />
== Maintien de la certification ==<br />
<br />
La certification CISSP est valable trois ans. Son renouvellement est conditionné à l'obtention de 120 crédits de formation continue (CPE, ''Continuing Professional Education'') sur la période triennale, répartis en deux catégories :<br />
<br />
* '''Groupe A''' (formation directement liée au CBK) : minimum 40 CPE sur les trois ans, sans plafond supérieur.<br />
* '''Groupe B''' (activités professionnelles connexes : contributions à des conférences, encadrement, publications) : plafonné à 40 CPE.<br />
<br />
Le titulaire doit également s'acquitter d'une cotisation annuelle de maintenance (AMF, ''Annual Maintenance Fee'') de 125 USD, payable à l'[[(ISC)²]].<br />
<br />
== Spécialisations ==<br />
<br />
L'[[(ISC)²]] propose trois concentrations spécialisées qui viennent approfondir le CISSP, chacune sanctionnée par un examen supplémentaire :<br />
<br />
* '''CISSP-ISSAP''' (''Information Systems Security Architecture Professional'') : architectures de sécurité d'entreprise et conception de solutions.<br />
* '''CISSP-ISSEP''' (''Information Systems Security Engineering Professional'') : ingénierie des systèmes sécurisés, en référence aux standards gouvernementaux américains du [[NIST Cybersecurity Framework|NIST]].<br />
* '''CISSP-ISSMP''' (''Information Systems Security Management Professional'') : gestion stratégique et gouvernance de la sécurité de l'information.<br />
<br />
Ces spécialisations exigent de détenir le CISSP et de justifier d'au moins deux années d'expérience dans le domaine concerné.<br />
<br />
== Reconnaissance internationale ==<br />
<br />
=== Accréditations ===<br />
<br />
Le CISSP est accrédité ANSI/ISO/IEC 17024 depuis 1999. Il est reconnu par le Département de la Défense des États-Unis dans le cadre de la directive DoD 8570/8140 (''Information Assurance Workforce Improvement Program''), qui l'impose pour plusieurs catégories de postes dans les systèmes d'information gouvernementaux américains.<br />
<br />
En France, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) cite le CISSP parmi les certifications de référence pour les professionnels exerçant les fonctions de [[Responsable de la sécurité des systèmes d'information|RSSI]] ou d'[[Ingénieur en cybersécurité|ingénieur en cybersécurité]].<br />
<br />
=== Alignement avec les cadres réglementaires ===<br />
<br />
Les compétences attestées par le CISSP s'articulent avec plusieurs cadres normatifs et réglementaires de premier plan :<br />
<br />
* [[ISO/IEC 27001]] (management de la sécurité de l'information) : recoupements significatifs avec les domaines 1, 2 et 7 du CBK.<br />
* [[NIST Cybersecurity Framework]] : correspondances directes avec les cinq fonctions (Identifier, Protéger, Détecter, Répondre, Récupérer).<br />
* [[Directive NIS2]] : les compétences CISSP couvrent les obligations de [[Gestion des risques informatiques|gestion des risques]] et de notification des incidents imposées aux entités essentielles.<br />
* [[Conformité RGPD]] : le domaine Asset Security intègre les exigences de protection des données personnelles et de gestion de leur cycle de vie.<br />
* [[Modèle Zero Trust]] : explicitement intégré dans le CBK depuis la révision de mai 2021.<br />
<br />
== Positionnement dans l'écosystème des certifications en sécurité ==<br />
<br />
Le CISSP se positionne comme une certification de niveau expert, couvrant l'ensemble du spectre de la [[cybersécurité]] plutôt qu'une spécialité technique isolée. Il se distingue des autres certifications de référence du secteur :<br />
<br />
* '''[[CompTIA Security+]]''' : certification d'entrée de gamme sans prérequis d'expérience, centrée sur les fondamentaux opérationnels.<br />
* '''[[CISM]]''' (''Certified Information Security Manager'', délivré par l'ISACA) : orientation davantage managériale, sans exigences techniques approfondies sur la cryptographie ou les réseaux.<br />
* '''[[CEH (Certified Ethical Hacker)|CEH]]''' (''Certified Ethical Hacker'', délivré par l'EC-Council) : centré sur les techniques offensives et les [[Test d'intrusion|tests d'intrusion]].<br />
* '''OSCP''' (''Offensive Security Certified Professional'') : certification pratique orientée [[Test d'intrusion|pentest]] offensif, sans composante managériale ni normative.<br />
<br />
Selon l'étude salariale annuelle de l'[[(ISC)²]] (''Cybersecurity Workforce Study 2023''), les titulaires du CISSP aux États-Unis déclarent une rémunération médiane de 120 000 USD par an. En France, les offres d'emploi pour des postes de [[Responsable de la sécurité des systèmes d'information|RSSI]] ou de consultant senior en [[cybersécurité]] mentionnant le CISSP affichent des rémunérations brutes annuelles comprises entre 70 000 et 110 000 euros selon l'expérience et le secteur d'activité.<br />
<br />
== Voir aussi ==<br />
<br />
* [[Cybersécurité]]<br />
* [[Ingénieur en cybersécurité]]<br />
* [[Responsable de la sécurité des systèmes d'information]]<br />
* [[Audit de cybersécurité]]<br />
* [[Gestion des risques informatiques]]<br />
* [[ISO/IEC 27001]]<br />
* [[NIST Cybersecurity Framework]]<br />
* [[(ISC)²]]</div>Kecvn