Certification CISSP : les changements et les conseils pour réussir

CISSP_logo.png

La certification internationale CISSP est la plus reconnue dans le monde de la cybersécurité. Début 2018, l’ISC(2) dénombrait environ 120 000 personnes certifiées (dont une bonne partie  aux Etats-Unis et un millier en France). Les conditions pour être certifié sont la réussite à l’examen, la justification de cinq années d’expérience professionnelle dans au moins deux des huit domaines du programme, l’adhésion au code déontologique et l’approbation d’une personne certifiée (« endorsement »). Plusieurs changements ont été récemment annoncés par l’ISC(2) concernant le mode d’examen et le contenu du programme.

 

L’examen du CISSP.

Depuis des années, l’examen sur ordinateur (ou sur papier auparavant) se présente sous une forme linéaire : 250 questions sur une durée de 6 heures avec une majorité de questions à choix multiples et quelques questions de type « drag and drop » et « Hot Spot ». La réussite à l’examen est fixée à 700 points sur 1000 possibles. L’ISC(2) apporte une nouveauté avec l’examen non linéaire de type CAT (Computerized Adaptive Testing). Prévu sur une durée réduite de 3 heures, le nombre de questions varie entre 100 et 150 en fonction d’un calcul sur l’historique des réponses. Ce mode est imposé depuis début 2018 pour tous les examens en anglais et devrait être étendu progressivement aux autres langues.

Le poids des domaines du CISSP.

Comme toutes les certifications individuelles, le programme du CISSP est revu régulièrement. Ceci est d’autant plus nécessaire dans le domaine de la cybersécurité qui est en constante évolution. Le nouveau programme du CISSP est applicable à partir du 15 avril 2018. Si les intitulés des domaines ne sont que très peu modifiés, les poids à l’examen subissent des ajustements : gestion du risque (domaine 1) passe de 16 à 15%, architectures et ingénierie (domaine 3) de 12% à 13%, sécurité des réseaux (domaine 4) de 12 à 14%, évaluation et test (domaine 6) de 11 à 12%, opérations (domaine 7) de 16 à 13%. Le poids des autres parties : domaine 2 (actifs), gestion des identités et des accès (domaine 5) et développement logiciel (domaine 8) sont inchangés.

Le contenu du programme du CISSP.

Le nouveau programme applicable à partir du 15 avril 2018 prend en compte plusieurs modifications. En particulier, les aspects suivants sont plus développés : exigences liées à la conformité dans l’analyse des risques, clauses contractuelles, évaluation de l’efficacité des mesures de protection, méthodologies de modélisation des menaces, évaluation des programmes de sensibilisation, protection de la donnée, objets connectés, standards de développement sécurisés, programmation des interfaces (API), vulnérabilités du code. Le nouveau guide de préparation officiel de l’ISC(2) est annoncé pour l’été 2018.

Quelques conseils pour préparer l’examen.

L’examen est difficile et demande un temps de préparation important, fonction bien entendu du niveau d’expérience. S’il n’est pas attendu du candidat qu’il soit un expert dans chacun des domaines, il doit maitriser les concepts généraux et le vocabulaire. On parle souvent d’examen « surfacique » qui aborde tous les domaines de la cybersécurité sans les approfondir. Quelques conseils pour réussir l’examen, fruits de la longue expérience des formateurs de PROSICA !

  1. Lire un livre de préparation. Bien qu’il ne soit pas très bien rédigé et difficile d’accès sur la forme, le guide de l’ISC(2) est préconisé car c’est le programme officiel. D’autres livres, mieux écrits et plus faciles à lire peuvent être préférés (par exemple la collection « All-In-One » ou CISSP study guide d’Eric Conrad).
  2. S’inscrire à une session de formation (voir les sessions proposées par PROSICA). Cette session permettra de revoir et d’approfondir les points mal compris et d’évaluer précisément le travail de préparation restant à accomplir pour atteindre les 700 points. C’est aussi la garantie d’un temps dédié à la préparation, qu’il est parfois difficile de dégager dans son agenda professionnel ou personnel.
  3. Noter les points non connus ou mal maitrisés pour chacun des 8 domaines (via la rédaction de fiches ou en utilisant tout autre moyen préféré comme OneNote, wikipedia personnel, ou outils de mindmapping…)
  4. S’inscrire à l’examen entre 1 à 3 mois après la formation. Une préparation concentrée est préférable pour éviter d’oublier ce que l’on a appris ! Si le niveau d’anglais est correct, il est préférable de s’inscrire dans cette langue. Dans le cas contraire, l’examen en français sera préféré, sachant que le candidat peut à tout moment accéder à la version anglaise.
  5. Planifier des séances de questions de 30min (en conditions réelles, seul face aux questions, en les corrigeant en fin de la séance). De nombreuses bases de questionnaires sont disponibles. Il faut atteindre entre 80 et 85% de réussite à ces tests d’entrainement afin d’aborder l’examen en toute sérénité.
  6. Se mettre dans de bonnes conditions physiques le jour de l’examen (repas adapté, sommeil…). Bien lire les questions (les erreurs viennent souvent du manque de concentration ou de lecture trop rapide), prendre son temps sans chercher à répondre trop vite car il s’agit souvent de trouver la meilleure réponse.

Pour en savoir plus sur nos préparations au CISSP, et les options disponibles (livres de préparation, accès à une base de tests en ligne, coaching individualisé), n’hésitez pas à nous contacter sur formation at prosica.fr. Nous proposons aussi d’autres formations en cybersécurité et conformité.

 

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Mots clés: CISSP Formations Cybersécurité