CISSP

Le CISSP (Certified Information Systems Security Professional) est une certification en cybersécurité délivrée par l'(ISC)², organisme à but non lucratif fondé en 1989 et basé à Clearwater, en Floride. Elle atteste d'une maîtrise avancée de l'ensemble des domaines constituant le Common Body of Knowledge (CBK) de la sécurité informatique, couvrant aussi bien les aspects techniques que managériaux et réglementaires. Au 1er janvier 2024, l'(ISC)² recense plus de 160 000 titulaires actifs répartis dans plus de 170 pays.

La certification CISSP a été créée en 1994 par l'(ISC)², en réponse à un besoin croissant de standardisation des compétences en sécurité des systèmes d'information. Elle est devenue en 1999 la première certification dans ce domaine à satisfaire aux critères ISO/IEC 17024 (accréditation des organismes certifiant des personnes), lui conférant une reconnaissance internationale formelle.

Le référentiel CBK a fait l'objet de plusieurs révisions afin de refléter l'évolution des menaces et des technologies. La révision de 2015 a réduit le nombre de domaines de dix à huit, en fusionnant certaines thématiques proches. La dernière révision majeure, entrée en vigueur en mai 2021, a mis à jour les contenus portant notamment sur la sécurité du cloud, la gestion des identités et le modèle Zero Trust.

Le Common Body of Knowledge (CBK) constitue le référentiel de compétences sur lequel repose l'examen CISSP. Il est structuré en huit domaines, chacun pondéré différemment dans l'examen :

Ce domaine couvre les fondements de la sécurité de l'information : gouvernance, éthique professionnelle, cadres juridiques et réglementaires, gestion des risques, politiques de sécurité et sensibilisation des utilisateurs. Il intègre également la gestion de la continuité des activités (PCA) et la reprise après sinistre (PRA).

Ce domaine traite de la classification des actifs informationnels, de leur cycle de vie, des politiques de rétention des données, des exigences de protection selon leur niveau de sensibilité et de la destruction sécurisée des supports de stockage.

Il englobe les modèles de sécurité théoriques (Bell-LaPadula, Biba, Clark-Wilson), la cryptographie et ses applications (chiffrement symétrique et asymétrique, signatures numériques, infrastructure à clés publiques), ainsi que la sécurité des architectures matérielles et des systèmes embarqués.

Ce domaine aborde la sécurité des réseaux : protocoles de communication, pare-feu, zones démilitarisées, réseaux privés virtuels, segmentation réseau et sécurité des protocoles sans fil (Wi-Fi, Bluetooth) et des communications mobiles.

Il couvre la gestion des identités et des accès (IAM), les mécanismes d'authentification multifacteur, les modèles de contrôle d'accès (RBAC, ABAC, MAC, DAC), la fédération d'identités et la gestion du cycle de vie des comptes à privilèges.

Ce domaine porte sur les méthodologies d'évaluation de la sécurité : audits de sécurité, tests d'intrusion, exercices red team, revue de code et analyse de vulnérabilités. Il inclut les outils de supervision comme les SIEM.

Il traite des opérations de sécurité quotidiennes : réponse aux incidents, investigation numérique légale (forensics), gestion des journaux d'événements, supervision assurée par les centres opérationnels de sécurité, gestion des correctifs et sécurité physique des installations.

Ce domaine couvre l'intégration de la sécurité dans le cycle de développement logiciel (SDLC), les pratiques de codage sécurisé, la gestion des vulnérabilités applicatives et les modèles de maturité logicielle (CMMI, BSIMM).

Le candidat doit justifier d'au moins cinq années d'expérience professionnelle cumulée à temps plein dans au moins deux des huit domaines du CBK. Une dérogation réduit ce prérequis à quatre ans pour les titulaires d'un diplôme universitaire de niveau bac+4 ou d'une certification figurant sur la liste approuvée par l'(ISC)².

Les professionnels qui réussissent l'examen sans remplir la condition d'expérience obtiennent le statut d'Associate of (ISC)² et disposent de six ans pour acquérir les cinq années d'expérience nécessaires à la conversion en CISSP.

Depuis 2021, l'examen CISSP en langue anglaise est administré en format CAT (Computerized Adaptive Testing) : il comporte entre 100 et 150 questions pour un temps imparti de trois heures. L'algorithme adaptatif ajuste en temps réel la difficulté des questions selon les réponses fournies, permettant une mesure statistiquement plus précise du niveau de compétence que le format linéaire.

Pour les examens dans d'autres langues (français, espagnol, allemand, japonais, coréen, chinois simplifié, portugais brésilien), le format linéaire est maintenu : 250 questions pour un temps imparti de six heures.

Le score minimal requis pour la réussite est de 700 points sur 1 000. Le coût de passage est fixé à 749 USD (tarif 2023), quel que soit le format.

Après la réussite de l'examen, le candidat dispose de neuf mois pour soumettre sa demande d'endorsement. Cette procédure requiert la validation par un titulaire actif du CISSP (ou d'une certification (ISC)² équivalente), qui atteste de la réalité de l'expérience professionnelle déclarée. En l'absence de parrain disponible, l'(ISC)² peut assurer lui-même la validation, sous réserve d'un délai de traitement allongé.

La certification CISSP est valable trois ans. Son renouvellement est conditionné à l'obtention de 120 crédits de formation continue (CPE, Continuing Professional Education) sur la période triennale, répartis en deux catégories :

• Groupe A (formation directement liée au CBK) : minimum 40 CPE sur les trois ans, sans plafond supérieur.
• Groupe B (activités professionnelles connexes : contributions à des conférences, encadrement, publications) : plafonné à 40 CPE.

Le titulaire doit également s'acquitter d'une cotisation annuelle de maintenance (AMF, Annual Maintenance Fee) de 125 USD, payable à l'(ISC)².

L'(ISC)² propose trois concentrations spécialisées qui viennent approfondir le CISSP, chacune sanctionnée par un examen supplémentaire :

• CISSP-ISSAP (Information Systems Security Architecture Professional) : architectures de sécurité d'entreprise et conception de solutions.
• CISSP-ISSEP (Information Systems Security Engineering Professional) : ingénierie des systèmes sécurisés, en référence aux standards gouvernementaux américains du NIST.
• CISSP-ISSMP (Information Systems Security Management Professional) : gestion stratégique et gouvernance de la sécurité de l'information.

Ces spécialisations exigent de détenir le CISSP et de justifier d'au moins deux années d'expérience dans le domaine concerné.

Le CISSP est accrédité ANSI/ISO/IEC 17024 depuis 1999. Il est reconnu par le Département de la Défense des États-Unis dans le cadre de la directive DoD 8570/8140 (Information Assurance Workforce Improvement Program), qui l'impose pour plusieurs catégories de postes dans les systèmes d'information gouvernementaux américains.

En France, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) cite le CISSP parmi les certifications de référence pour les professionnels exerçant les fonctions de RSSI ou d'ingénieur en cybersécurité.

Les compétences attestées par le CISSP s'articulent avec plusieurs cadres normatifs et réglementaires de premier plan :

• ISO/IEC 27001 (management de la sécurité de l'information) : recoupements significatifs avec les domaines 1, 2 et 7 du CBK.
• NIST Cybersecurity Framework : correspondances directes avec les cinq fonctions (Identifier, Protéger, Détecter, Répondre, Récupérer).
• Directive NIS2 : les compétences CISSP couvrent les obligations de gestion des risques et de notification des incidents imposées aux entités essentielles.
• Conformité RGPD : le domaine Asset Security intègre les exigences de protection des données personnelles et de gestion de leur cycle de vie.
• Modèle Zero Trust : explicitement intégré dans le CBK depuis la révision de mai 2021.

Le CISSP se positionne comme une certification de niveau expert, couvrant l'ensemble du spectre de la cybersécurité plutôt qu'une spécialité technique isolée. Il se distingue des autres certifications de référence du secteur :

• CompTIA Security+ : certification d'entrée de gamme sans prérequis d'expérience, centrée sur les fondamentaux opérationnels.
• CISM (Certified Information Security Manager, délivré par l'ISACA) : orientation davantage managériale, sans exigences techniques approfondies sur la cryptographie ou les réseaux.
• CEH (Certified Ethical Hacker, délivré par l'EC-Council) : centré sur les techniques offensives et les tests d'intrusion.
• OSCP (Offensive Security Certified Professional) : certification pratique orientée pentest offensif, sans composante managériale ni normative.

Selon l'étude salariale annuelle de l'(ISC)² (Cybersecurity Workforce Study 2023), les titulaires du CISSP aux États-Unis déclarent une rémunération médiane de 120 000 USD par an. En France, les offres d'emploi pour des postes de RSSI ou de consultant senior en cybersécurité mentionnant le CISSP affichent des rémunérations brutes annuelles comprises entre 70 000 et 110 000 euros selon l'expérience et le secteur d'activité.

• Cybersécurité
• Ingénieur en cybersécurité
• Responsable de la sécurité des systèmes d'information
• Audit de cybersécurité
• Gestion des risques informatiques
• ISO/IEC 27001
• NIST Cybersecurity Framework
• (ISC)²