Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)². Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 6 qui traite de l’évaluation et des tests de sécurité. Il représente 12 % du programme.

Les types de test

L’évaluation de la sécurité doit être la plus continue possible, intégrée aux cycles de développement en particulier dans le cadre des méthodes Agile et DevOps (SecDevOps). Il faut connaitre les différents types de test : scan de vulnérabilités, audit de code, tests des interfaces, revue de code, tests dynamiques, test coverage, tests d’intrusion, fuzzing, revue de logs en étant capable de les replacer dans le contexte le plus pertinent. Les avantages et inconvénients des modes internes ou externes, les scénarios possibles (Red Team, Blue Team, tandem…) peuvent faire l’objet de questions. Les questions se limitent aux concepts et aux définitions et ne rentrent pas dans le détail de l’utilisation des outils de sécurité.

La conception, le suivi et les rapports d’audit

Bien que le CISSP ne soit pas orienté sur les audits (comme la certification CISA), il faut néanmoins avoir de bonnes bases sur les aspects organisationnels. Comment rédiger un cahier des charges, le périmètre des audits, les pièges à éviter, l’approche risques, la rigueur dans la collecte des preuves d’audit, la construction des rapports, la communication vers le management. Pour les tests d’intrusion et les audits de configuration, la méthode Open Source Security Testing Methodology Manual (OSSTMM) est une solide base pour assimiler le cadre organisationnel et méthodologique.

Indicateurs d’évaluation

Les indicateurs de performances (KPIs) sont beaucoup utilisés pour rendre compte d’un niveau de sécurité. Ils peuvent être d’ordre technique (robustesse des mots de passe, application des correctifs de sécurité, conformité à des règles de durcissement) ou organisationnels (avancement des projets, avancement des plans d’actions, efficacité d’un processus de continuité d’activité). Les bonnes pratiques (ISO 27004 par exemple) pour construire un tableau de bord efficace doivent être maitrisées. Les protocoles, les formats de présentation de données et les différents scoring pour les remontées d’informations et la communication entre les outils peuvent faire l’objet de questions. Par exemple le protocole SCAP, le scoring CVSS et ses trois notes (base, temporelle et contextuelle) et le CVE pour l’identification des vulnérabilités publiques. L’analyse des données et la génération des rapports est aussi au programme.

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :