Certification CISSP : domaine 7
Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)2. Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 7 qui traite de la sécurité des opérations. Il représente 13 % du programme..
Investigations et gestion des incidents
En sécurité, le domaine de l’investigation numérique (digital forensics) est un monde à part. Les compétences, outils et procédures sont spécifiques à cette expertise et sont sensiblement différents de ce qu’on trouve dans d’autres domaines techniques comme les tests d’intrusion ou la sécurisation des développements. Pour l’examen, il faut maitriser les concepts techniques (par exemple la recherche d’informations sur disques ou en mémoire, les analyses de type rétro-ingénierie ou encore la recherche d’indices de compromissions). Il faut aussi avoir un minimum de connaissances sur les procédures organisationnelles et les principes légaux (récolte et conservation des preuves, admissibilité et force convaincante, gestion de la documentation…). La gestion des incidents requiert de connaitre le cycle dans son ensemble : l’organisation de la veille et les moyens d’anticipation, les moyens de détections (fonctionnement des IDPS - Intrusion Detection and Prevention System et corrélation des alertes par le SIEM - Security Information Event Management, protocole SCAP), les procédures de qualification (escalades, activation des expertises internes et externes) et de réaction, pouvant aller jusqu’à la cybercrise, les outils SOAR. Le fonctionnement des CERT (Computer Emergency Response Team) est intégré au programme. La connaissance des bonnes pratiques au travers de référentiels issus du NIST, comme le 800-61 ou des normes ISO 27035 et ISO 27043 est aussi demandée.
Exploitation et administration
Cette partie consiste à bien maitriser le « RUN » d’une direction des systèmes d’information et les concepts de sécurité associés. On retrouve des notions techniques (la gestion des vulnérabilités, les notes CVSS - Common Vulnerability Scoring System, les guides de durcissement des composants systèmes et réseaux, les anti-virus, les systèmes honeypots, les infrastructures de stockage SAN et NAS…) et des aspects organisationnels (principe de moindre privilège, séparation des tâches, protection des moyens d’authentification, gestion des maintenances et des mises en production, traitement des risques liés aux supports amovibles, niveaux et contrats de services, cartographie, inventaire SBOM…). On retrouve aussi avec plus de détails les aspects secours informatique abordés dans le domaine de la continuité des activités. Il faut bien connaitre les aspects techniques (sauvegardes et restaurations, types de disques RAID…) et fonctionnels (résilience, sites secondaires, stratégies de reprise, types de tests des DRP - Disaster Recovery Plan). On retrouve aussi certains aspects de sensibilisation orientés vers les intervenants des équipes gérant les infrastructures. Les aspects DevSecOps font également partie du programme mais sont plutôt abordés dans le domaine applicatif (domaine 8). Les notions liées au Cloud, services IaaS en particulier peuvent faire l’objet de questions.
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :