Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)². Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 2 qui traite de la sécurité des biens (ou actifs) et représente 10% du programme.

Gestion des biens

Le mot « asset », bien ou actif fait référence à ce qu’on doit protéger dans l’organisation. Généralement, ces notions sont précisées en utilisant le vocabulaire des normes ISO 2700x. Les actifs primaires ou primordiaux représentent les informations et les processus. Les actifs supports rassemblent les ressources humaines, les sites techniques et les bureaux, les composants informatiques (applications, infrastructures systèmes et réseaux, middlware, postes de travail, smartphones, tablettes, supports amovibles) et la documentation. C’est sur ces actifs support que les analyse de risques se concentrent (par exemple les évolutions EBIOS). Les notions de catégorisation et de classification doivent être connues. Les responsabilités des métiers sont abordées.

Données à caractère personnel

Le renforcement des régulations en « Data Privacy », en particulier pour l’Europe avec le RGPD (règlement européen de protection des données) est à l’origine de l’évolution du CISSP pour mieux prendre en compte ces aspects. Comme pour les autres domaines, ces connaissances ne sont pas approfondies, comme elles peuvent l’être pour des certifications spécialisées. Par exemple les formations Data Protection Officer ou la certification CIPP/E rentrent beaucoup plus dans les détails, particulièrement sur les plans juridiques. Il faut néanmoins connaitre les basiques : par exemple les concepts de finalité d’un traitement, de « data controller » et « data processor », de traitement des données sensibles, des cas de transfert de données (CCT ou Binding Corporate Rules par exemple), les techniques d’anonymisation et de pseudo anonymisation, dont la tokenisation.

Gestion des données et risques

Le programme fait référence au cycle de vie de la donnée dans une entité et à la qualité de la donnée, en marge de la sécurité (concepts de « Quality Assurance » par exemple). Les menaces pesant sur la mobilité, les supports amovibles et les mesures de sécurité associées : chiffrement des données, chiffrement des métadonnées, ERM (Entreprise Right Mangement) sont détaillées. Les protections de type DLP (Data Loss Prevention ou Data Leakage Prevention) sont abordées, d’un point de vue organisationnel (classification, détection de la fuite de données, réactions et intégration des ressources humaines, des juristes et des départements conformité, rôle des métiers) et technique (Data In Motion, Data At Rest, Data In Use, fonctionnement et limitations techniques des outils).

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :