Certification CISSP - domaine 3
Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)2. Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 3 qui traite de la sécurité des architectures et de l’ingénierie. Il représente 13 % du programme.
Sécurité des architectures
Cette partie comprend les connaissances liées à la maîtrise des concepts fondamentaux des modèles de sécurité. Certains de ces modèles, issus du monde de la défense américaine datent des années 70 comme BELL-LA PADULA ou BIBA. Ils utilisent des mentions de sécurité sur les objets et les habilitations. Ils permettent de formaliser une politique de sécurité multiniveaux. La protection des composants d’un ordinateur (types de mémoires, processeur dédié à des opérations de cryptographie, entrées sorties, types d’adressages) et les concepts de fonctionnement d’un processeur reviennent à la mode avec les attaques de bas niveau de type Spectre ou Metltdown. Les mesures de sécurité des environnements virtualisés (systèmes et réseaux) sont à connaitre. On retrouve aussi la protection des architectures de type client–serveur, des bases de données et des systèmes distribués. La sécurisation des réseaux industriels (ICS -Industrial Control Systems), des environnements CLOUD (SaaS, PaaS, IaaS) ainsi que l’Internet des objets et systèmes embarqués sont abordés dans le programme actuel. Il est à noter que l’ISC(2) propose depuis quelques années une certification dédiée à la sécurité du Cloud.
Cryptographie appliquée
Ce domaine, parfois une hantise pour certains, est traité d’une manière moins technique qu’auparavant mais reste bien entendu important. Il faut maîtriser les notions fondamentales constituées par le cycle de vie cryptographique (gestion des clés par exemple), les grandes familles d’algorithmes (symétriques, asymétriques, blocs, flots), les infrastructures de gestion des clés (Public Key Infrastructure), la signature électronique, le contrôle d’intégrité, la gestion des droits numériques et les méthodes de cryptanalyses. Au-delà du vocabulaire, il faut savoir manipuler ces briques et être capable d’évaluer le risque posé par une architecture. Il est nécessaire d’avoir une bonne idée du fonctionnement des méthodes de craquage d’empreintes de mots de passe (Rainbow Tables par exemple).
Sécurité physique
La sécurité physique c’est-à-dire l’application des principes fondamentaux pour concevoir la protection d’un site que ce soient des bureaux ou des locaux techniques fait partie du domaine. Moins détaillée que dans les programmes précédents, cette partie implique la connaissance des fondamentaux de sécurisation d’un datacenter (énergie, contrôle des accès, vidéo protection, air conditionné, protection contre les incendies, zones d’accès restreint, câblage). Il faut aussi connaître l’état de la menace pour adapter les mesures de sécurité aux risques qu’ils soient d’origine accidentelle, malveillante ou environnementale. On insiste beaucoup sur les procédures et les aspects organisationnels (gardiennage, équipes de sécurités, réactions). À ce sujet il faut noter que l’ISC(2) collabore avec l’ASIS qui est l’association internationale la plus reconnue pour les certifications de personnes dans le domaine de la sécurité physique et de la sûreté.
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :
CISSP, Formations Cybersécurité, Certification, Cryptography