Nouveau programme de la certification CISSP

Le CISSP fait partie des certifications de cybersécurité les plus reconnues sur le marché de l’emploi. La préparation à l’examen exige un travail soutenu. Le corpus documentaire du programme comprend de nombreuses normes et référentiels. PROSICA propose une formation de 5 jours dont les objectifs sont d’acquérir les fondamentaux, de s’entrainer aux questions d’examen et d’évaluer la charge de travail de révision à produire avant l’examen. Le programme de certification est revu par l’ISC(2)tous les 3 ans. Cet article récapitule les principales évolutions du programme en vigueur de 2024 à 2027.

L’examen

Deux types d’examen sont disponibles. La version CAT (Computerized Adaptative Testing) en anglais uniquement (3 heures, 100 à 150 questions) et la version traditionnelles (linéaire, 225 questions en 6 heures pour les autres langues dont le français et l’anglais). Le contenu et le niveau de difficulté sont équivalents pour les deux examens.

Répartition des questions par domaine

Les questions sont réparties sur les 8 domaines du programme. L’importance relative de chaque domaine a très peu évolué dans la dernière version (domaine 1 +1% et domaine 8 -1%). 

1. Security and Risk Management : 16%

2. Asset Security : 10%

3. Security Architecture and Engineering : 13%

4. Communication and Network Security : 13%

5. Identity and Access Management (IAM) : 13%

6. Security Assessment and Testing : 12%

7. Security Operations : 13%

8. Software Development Security : 10%

Répartition des questions par domaine

Les questions sont réparties sur les 8 domaines du programme. L’importance relative de chaque domaine a très peu évolué dans la dernière version (domaine 1 +1% et domaine 8 -1%). 

1. Security and Risk Management : 16%

2. Asset Security : 10%

3. Security Architecture and Engineering : 13%

4. Communication and Network Security : 13%

5. Identity and Access Management (IAM) : 13%

6. Security Assessment and Testing : 12%

7. Security Operations : 13%

8. Software Development Security : 10%

Les évolutions

L’ISC(2) a défini le programme en vigueur de 2024 à 2027. Les principales évolutions font apparaitre ou accentuent les concepts ci-après :

  • Conformité Cloud FedRamp.
  • PCI-DSSet sa nouvelle version.
  • Les mécanismes de transfert de données à caractère personnel avec l’Union Européenne (notamment EU-US Data Privacy Framework).
  • Exemples de cadres légaux (en plus du RGPD) sur la protection des données à caractère personnel : Californie, Afrique du Sud, Chine.
  • La gestion des chaines de sous-traitances pour les prestataires essentiels en continuité.
  • Modèles de maturité du risque.
  • Nomenclature SBOM. 
  • Zero Trust Architctureet SASE.
  • Algorithmes post-quantiques et QKD (Quantum Key Distribution).
  • Cycle développements et opérations.
  • Gestion des VPC (Virtual Private Cloud).
  • Sécurité des API.
  • SAMM OWASP. 
  • Intelligence Artificielle et outils de sécurité.
  • DevOps et DevSecOps, CI/CD (Continous Integration / Continous Delivery).
  • IPT (Integrated Product Team).
  • SOAR (Security Orchestration, Automation et Response).

A noter que les modèles de données comme BIBA ou BELL LAPADULA, figures historiques du CISSP, sont toujours au programme. 

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

CISSP, Formations Cybersécurité