Le CISSP fait partie des certifications généralistes les plus demandées sur le marché de l’emploi des professionnels de la cybersécurité. La préparation à l’examen demande un travail soutenu. Le corpus documentaire du programme officiel est large autant en termes de normes que de référentiels. PROSICA propose une formation à distance ou en présentiel dont les objectifs sont d’acquérir les fondamentaux, de s’entrainer aux questions d’examen et d’évaluer la charge de travail de révision à produire avant l’examen. Cet article récapitule les principales évolutions du programme en vigueur depuis le 1er mai 2021.

L’examen

Deux types d’examen sont maintenus, en fonction de la langue choisie. La version CAT (Computerized Adaptative Testing) pour la langue anglaise (3 heures, 100 à 150 questions) et la version traditionnelles (linéaire, 250 questions en 6 heures pour les autres langues). Le contenu et la difficulté sont équivalents quelque soit le type d’examen.

Poids des questions

Les poids évoluent à la marge pour le domaine 4 (sécurité des réseaux) et le domaine 8 (sécurité des développements. Les titres des 8 domaines restent les mêmes.

1. Security and Risk Management : 15%
2. Asset Security : 10%
3. Security Architecture and Engineering : 13%
4. Communication and Network Security : 13%
5. Identity and Access Management (IAM) : 13%
6. Security Assessment and Testing : 12%
7. Security Operations : 13%
8. 8. Software Development Security : 11%

Les principales évolutions du programme

L’ISC⁽²⁾ a défini le nouveau programme, en vigueur à partir du 1^er mai 2021. Les principales évolutions font apparaitre ou accentuent les concepts récapitulés ci-après :

• Risques liés à la sous-traitance (Supply Chain Risk Management) : voir la vidéo sur le SCRM, les bonnes pratiques du NIST et la série de normes ISO 27036.
• Cartographie des systèmes d’information.
• Cycle de vie de la donnée.
• Risques liés à la fin de support (End-of-Life, End-of-Support).
• Outils DLP (Data Loss Prevention) et CASB (Cloud Access Security Broker) et processus associés.
• Concepts Zero-Trust et Zero Trust Architecture
• Containerisation et environnements « serverless ».
• Attaques contre Kerberos.
• Réseaux SDN, VxLAN, SD-WAN.
• Sécurité des réseaux Li-Fi, Zigbee et satellites.
• Réseaux cellulaires 4G et 5G.
• SAML et OAuth.
• UEBA (User and Entity Behavior Analytics).
• Intelligence Artificielle et outils de sécurité.
• DevOps et DevSecOps, CI/CD (Continous Integration / Continous Delivery).
• IPT (Integrated Product Team).
• SOAR (Security Orchestration, Automation et Response).

Retrouvez nos sessions de formations en présentiel ou à distance. Des sessions intra sont possibles en France ou à l’étranger, à partir de 4 collaborateurs, en français ou en anglais. Notre catalogue de formation est téléchargeable ici.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :