CISSP

Le référentiel COBIT

Le référentiel COBIT est proposé par l’ISACA. Il traite de la gouvernance et du management de l’IT en entreprise et fait partie du domaine EGIT (Entreprise Governance of Information & Technology). Les bénéfices d’une bonne gouvernance IT sont d’apporter une plus-value aux métiers en créant de la valeur, en optimisant la gestion des risques et des ressources. COBIT fait partie du corpus documentaire au programme du CISSP. Ce référentiel est abordé plus particulièrement dans le domaine 1 du programme du CISSP. Cet article propose une synthèse des concepts fondamentaux de ce référentiel. Même s’il n’est pas dédié à cela, COBIT peut aussi aider à mettre en place une gouvernance sécurité.

Le référentiel cybersécurité du NIST

Le référentiel cybersécurité du NIST américain (National Institute of Standards and Technology) est abondamment utilisé. Conséquence de la loi de 2014 « Cybersecurity Enhancement Act », ce référentiel avait pour objectif initial de définir un socle de mesures de sécurité pour protéger les infrastructures vitales et l’économie américaines. Il s’est imposé comme standard international incontournable de la cybersécurité au même titre que les normes ISO 2700 et le catalogue NIST 800-53 pour tous les domaines d’activités. Il est au programme des certifications individuelles en sécurité comme le CISSP, ou le CCSP.

Le référentiel d’architecture d’entreprise TOGAF

TOGAF est proposé par l’association internationale Open Group. C’est un référentiel d’architecture d’entreprise qui fait le lien entre les processus métiers et les systèmes d’information. TOGAF vient historiquement de TAFIM (Technical Architecture Framework for Information Management) utilisé par le département de la défense américain. Le but des référentiels d’architecture d’entreprise est de disposer d’une vue globale des processus et des systèmes d’information de l’entité. Ces référentiels facilitent aussi bien la mise en œuvre des programmes de transformation que l’efficacité opérationnelle au quotidien. Bien que n’étant pas un référentiel focalisé sur la cybersécurité, TOGAF est au programme du CISSP, abordé dans le domaine 1 du programme. La mise en œuvre d’un référentiel d’architecture d’entreprise comme TOGAF est très bénéfique pour définir une gouvernance de la sécurité efficace. Zachman est un autre exemple de référentiel d’architecture. OpenGroup propose une certification TOGAF orientée sur la sécurité et les risques.

Le standard PCI DSS

Le standard PCI DSS (Payment Card Industry Data Security Standard) est développé par PCI pour renforcer la sécurité des données de titulaires de cartes bancaires. PCI a été fondée par American Express, Discover, JCB International, MasterCard et Visa. PCI DSS s’applique aux entités qui traitent des cartes de paiement, que ce soit en tant que commerçants, acquéreurs, émetteurs ou prestataires de services et plus généralement à toutes les entités qui stockent, traitent ou transmettent les données « cartes bancaires ». Ce standard est au programme du CISSP, notamment dans le domaine 1 ainsi que des certifications de sécurité du Cloud CCSP et CCSK. Le standard PCI DSS a été revu en mars 2022 : voir les principaux changements entre PCI DSS v4 et v3.2.1.

Les normes ISO au programme du CISSP

Préparer l’examen CISSP exige un travail soutenu. Le programme comporte 8 domaines (voir les résumés des contenus 1, 2, 3, 4, 5, 6, 7 et 8) qui aborde tous les aspects de la cybersécurité sans toutefois les approfondir. Le programme officiel proposé par l’ISC(2) cite de nombreuses références et ouvrages qui forment une partie de l’état de l’art. Cet article dresse une liste de quelques normes ISO, dont il est conseillé à minima de connaitre l’existence et un résumé du contenu avant de se présenter à l’examen. Ces références sont intégrées à la formation intensive proposée par PROSICA.

Les projets DLP pour traiter les risques de fuites de données

Le DLP (Data Loss Prevention ou Data Leakage Prevention) n’est pas nouveau en cybersécurité. Mise en œuvre en milieu bancaire depuis longtemps, cette protection s’est généralisée ces dernières années à d’autres secteurs en particulier du fait du développement des services Cloud. L’idée est de détecter et de prévenir les fuites de données sensibles. A l’origine de ces fuites, des erreurs humaines (par exemple l’envoi d’une pièce jointe non chiffrée ou le stockage dans le Cloud public de fichiers accessibles par tous) mais aussi des malveillances internes (par exemple un employé qui quitte sa société et copie sur une clé USB des fichiers clients). Le DLP est au programme du CISSP et du CCSP. Ces projets transverses nécessitent des outils efficaces et une organisation solide. Le DLP est cité dans les mesures de cybersécurité de la  catégorie 3 du référentiel CIS.

Les techniques de pseudonymisation

Les techniques de pseudonymisation sont massivement utilisées pour des raisons légales et de cybersécurité. Elles sont au programme des certifications CIPP/E, CCSK et CCSP. On en parle également durant la formation de préparation au CISSP.

Retrouvez notre vidéo de présentation.

Livres de préparation à la certification CISSP

Le temps pour préparer la certification CISSP dépend bien entendu de l’expérience acquise en cybersécurité et du niveau de compétences en la matière. Comme le programme de l’examen est très « surfaçique », c’est-à-dire qu’il couvre tous les domaines de la cybersécurité sans les approfondir, il est rare qu’un professionnel de la sécurité, même chevronné, ne doive pas fournir un travail de révision conséquent, dans un des huit domaines (1, 2, 3, 4, 5, 6, 7 et 8) pour réussir l’examen. De nombreux livres de préparation sont disponibles, voici quelques exemples.

Modélisation des menaces ou Threat Modeling

La modélisation des menaces (Threat Modeling) est une activité fondamentale pour identifier et traiter les failles dès la conception avant la phase de développement d’un logiciel ou d’un système. Cette activité fait partie des connaissances requises par les programmes des certifications CISSP : domaine 8, CCSP et CCSK. Certaines méthodes se focalisent sur les menaces et les problèmes de sécurité alors que d’autres comprennent une évaluation des risques au travers leur impact et leur vraisemblance. L’idéal est de planifier cette activité le plus tôt possible dans le cycle de développement, dès que l’architecture est définie. La modélisation doit être mise à jour si nécessaire. Par exemple dans le cas de changement de classification des informations, de modification de l’architecture, de changement de mode d’authentification ou d’autorisation, de modification des exigences métier concernant les exigences de traçabilité ou encore de mise à jour des méthodes cryptographiques.

Nouveau programme de la certification CISSP

Le CISSP fait partie des certifications de cybersécurité les plus reconnues sur le marché de l’emploi. La préparation à l’examen exige un travail soutenu. Le corpus documentaire du programme comprend de nombreuses normes et référentiels. PROSICA propose une formation de 5 jours dont les objectifs sont d’acquérir les fondamentaux, de s’entrainer aux questions d’examen et d’évaluer la charge de travail de révision à produire avant l’examen. Le programme de certification est revu par l’ISC(2)tous les 3 ans. Cet article récapitule les principales évolutions du programme en vigueur de 2024 à 2027.

Préparation à la certification CISSP®

Préparation à la certification CISSP®

Quels enjeux et quels objectifs ?

Le CISSP®(1) est la certification internationale la plus reconnue dans le domaine de cybersécurité.
Elle apparaît de plus en plus, y compris en France, comme un prérequis pour qualifier les compétences des professionnels de la sécurité en entreprise, au sein des administrations et pour les prestataires de sécurité.
L’examen est exigeant et requiert une préparation intensive. Retrouvez quelques conseils de préparationsur notre blog.

Datadocké

Orienter ses collaborateurs vers une formation CISSP®, c’est se donner toutes les chances de mieux maîtriser les risques liés à la sécurité des systèmes d’information de son organisme ou de ses clients.

PROSICA propose aux candidats une préparation intensive de 4 jours avec les objectifs suivants :

  1. Maîtriser les concepts au programme de l'examen.
  2. Evaluer ses connaissances afin de déterminer le travail de révision restant à produire.
  3. S’entrainer à répondre aux questions dans un temps imparti.

Quel contenu ?

La formation de 5 jours s’articule autour des domaines de connaissance de l’examen (contenu révisé tous les 3 ans), voir le programme détaillé :

  • Gestion des risques et de la sécurité (sécurité, risques, conformité, aspects légaux et réglementaires, continuité des activités).
  • Protection des actifs.
  • Ingénierie de la sécurité.
  • Sécurité des télécommunications et des réseaux.
  • Contrôle d’accès et gestion des identités.
  • Evaluation de la sécurité.
  • Sécurité des opérations (concepts, investigations, gestion des incidents, plans de secours)
  • Sécurité des développements

Pour avoir une idée plus précise du programme actuel, consultez les articles du blog qui présentent le contenu du domaine 1, 2, 3, 4, 5, 6, 7 et 8.

Quels sont les prérequis pour cette formation ?

  • 5 ans d’expérience professionnelle en cybersécurité.
  • Il est possible de passer l’examen en devenant «CISSP associate» avant d’atteindre l’expérience requise.

Quels moyens pédagogiques ?

Les formations PROSICA sont dispensées par des experts reconnus dans leurs domaines (plus de quinze ans d'expérience), alternant expériences opérationnelles et missions de conseil, au profit de grands groupes publics et privés.

L’approche pédagogique alterne :

  • L’acquisition des connaissances en vidéo-projection.
  • L’illustration des concepts par des exemples concrets et actualisés.
  • L’entraînement à l’examen par des séries de questions à choix multiples.

Chaque stagiaire reçoit un support de formation en français reprenant les points à maîtriser.

Quel lieu ?

La formation se déroule en mode ”distanciel” en utilisant l'outil TEAMS.

Quelles modalités ?

Formation sur 5 jours (35 heures) de 9h30 à 17h30

SESSIONS 2024  :

  • Lundi 4 au vendredi 8 mars
  • Lundi 12 au vendredi 16 juin
  • Lundi 9 au vendredi 13 décembre

TARIFS

  •  3000 € HT pour les 5 jours de formation avec supports en français, questionnaires d'entrainement et documents annexes

  • En options : Livre de préparation - Accès pendant 6 mois à un site WEB de préparation à l'examen - Suivi individualisé de 6 mois par le formateur (prix indiqués dans les formulaires d'inscription)
  • L'examen est indépendant de la formation. L'inscription se fait directement auprès de l'ISC2

PROSICA est déclarée en tant que prestataire de formation sous le numéro 11755044375.

Les salles de formation sont accessibles aux personnes handicapées. Vous pouvez nous contacter à Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. ou au 33(0)1-73-29-76-01 (entre 9h et 17h) pour toute demande spécifique.

L’acceptation du devis étant nécessaire avant le début de la formation, il est fortement recommandé d’effectuer sa demande (voir formulaire d'inscription) au moins 10 jours ouvrés avant le début de la formation.

Programme détaillé

  • DOMAINE 1 : Sécurité et gestion des risques

    • Principaux concepts
    • Gouvernance
    • Conformité
    • Aspects légaux et réglementaires
    • Éthique et déontologie
    • Politiques, standards, procédures
    • Continuité des activités
    • Sécurité des personnes
    • Gestion des risques
    • Modélisation des menaces
    • Intégration de la sécurité dans les projets
    • Sensibilisation et formation

    COSO, COBIT, officiers de sécurité, auditeurs, due care, due diligence, documentation, CLOUD, infogérance, séries ISO 2700, STRIDE, CRAMM, IRAM2, OCTAVE, EBIOS, impact, vraisemblance, acceptation, transfert, évitement, contre-mesures, recrutement, formation, sensibilisation, tableaux de bord, budget, sites de secours, plans de continuité, communication de crise, RTO, MTD, RPO, pénal, civil, common law, tort law, cybercriminalité, propriété intellectuelle, droits des marques, données à caractère personnel, surveillance, code de déontologie professionnel.

  • DOMAINE 2 : Protection des actifs

    • Classification
    • Propriétaire de l’information
    • Données à caractère personnel
    • Conservation des données
    • Sécurité des données
    • Exigences de traitement

    Quality control, quality assurance, cycle de vie de l’information, classification, data remanence, anonymisation, chiffrement des supports amovibles, chiffrement de bout en bout.

  • DOMAINE 3 : Ingénierie de la sécurité

    • Principes de conception
    • Modèles de sécurité
    • Evaluation et mesures
    • Capacité de sécurité des systèmes
    • Architectures
    • Environnements WEB
    • Mobilité
    • Systèmes embarqués
    • Cryptographie
    • Sécurité physique

    Quantique, algorithmes, fonctions à sens unique, signature électronique, PKI, collision, vecteur d’initialisation, transposition, permutation, chiffrement par flot, par bloc, symétrique, asymétrique, longueur de clé, DES, 3DES, AES, CCMP, Rijndael, Blowfish, RC5, RC4, Diffie-Hellman, RSA, El Gamal, ECC, MAC, HMAC, MD5, SHA-3, HAVAL, paradoxe des anniversaires, distribution des clés, révocation, recouvrement, brute-force, cryptanalyse, rainbow table, X509, watermarking, processeurs, mémoires, systèmes d’exploitation, SABSA, TOGAF, ITIL, Bell-LaPadula, Biba, Clarck-Wilson, Muraille de Chine, Graham-Denning, critères communs, ITSEC, PCI-DSS, isolation des processus, virtualisation, canaux cachés, mainframes, XML, SAML, systèmes distribués, grid computing, analyse de vulnérabilités, vitrage, menaces naturelles, alimentation électrique, portes, clôtures, détection d’intrusion, vidéoprotection, éclairage, contrôle des accès, capteurs infrarouges, serrures, coffres, salles informatiques, UPS, HVAC, protections incendie.

  • DOMAINE 4 : Réseaux et télécommunications

    • Principes
    • Composants réseaux
    • Canaux sécurisés
    • Attaques réseaux
    • Systèmes embarqués
    • Cryptographie
    • Sécurité physique

    Modèle OSI, TCP/IP, OSPF, BGP, IPv6, DHCP, ICMP, RPC, DNS, NIS, SMB, SMTP, FTP, HTTP, Proxy, SCADA, PLC, Modbus, routeurs, DMZ, commutateurs, câblage, GSM, UMTS, CDMA, 5G, WI-FI, Bluetooth, ARP, NAC, firewall, NAT, VPN, VLAN, PABX, VoIP, Peer-to-peer, IRC, Jabber, RADIUS, SNMP, MPLS, WAN, ATM, FR, SDN, S/MIME, scans, fragmentation IP, Spoofing.

  • DOMAINE 5 : Gestion des identités

    • Contrôles d’accès logiques et physiques
    • Identification et authentification
    • Identité as a service
    • Intégration des tierces-parties
    • Mécanismes
    • Attaques liées au contrôle d’accès
    • Gestion des accès

    Défense en profondeur, séparation des rôles, domaines de confiance, classification de l’information, habilitations, DAC, MAC, ACL, matrice des droits, RBAC, carte à puce, token, annuaires, LDAP, SSO, Kerberos, SAML, Open ID, DDOS, rémanence, rejeu, ingénierie sociale, craquage de mots de passe, usurpation, écoute, émanation
    électromagnétique, TEMPEST, SLE, ALE, EF, ARO.

  • DOMAINE 6 : Évaluation et test de la sécurité

    • Stratégies
    • Tests de sécurité
    • Contrôle des processus
    • Analyse des rapports
    • Audits internes et externes

    Vulnérabilités, audits, tests d’intrusion, IDS-IPS, SIEM, SEM, SIM, Syslog, RUM, Synthetic Performance, SAST, DASP, RASP Fuzzing, Red Team, Double Blind, CVE, SCAP, CVSS, ISCM, ISAE 3402.

  • DOMAINE 7 : Sécurité de l’exploitation

    • Investigations numériques
    • Exigences légales
    • Supervision de la sécurité
    • Sécurité des ressources (Cloud, virtualisation…)
    • Concepts de sécurité liés à l’exploitation
    • Gestion des supports
    • Gestion des incidents de sécurité
    • Gestion des mesures préventives
    • Gestion des correctifs
    • Gestion des changements
    • Stratégies de reprise informatique
    • Plan de secours informatiques
    • Test des plans de secours
    • Participation aux exercices de continuité
    • Gestion de la sécurité physique
    • Sécurité des personnes

    Besoin d’en connaitre, moindre privilège, comptes privilégiés, séparation des tâches, archivage, gestion des supports amovibles, licences, gestion des incidents, ISO 27035, gestion des problèmes, audits, gestion des configurations, systèmes redondés, vulnérabilités, RAID, investigation numérique, éléments de preuve, analyse logicielle, File Slack, clauses de sécurité contractuelles, DLP.

  • DOMAINE 8 : Sécurité des développements

    • Intégration de la sécurité dans le cycle de développement
    • Environnement de développement sécurisé
    • Évaluation de la sécurité des développements internes
    • Acquisition des logiciels et sécurité

    Exigences fonctionnelles et techniques, tests, CMMI, gestion du changement, correctifs, MPM, RAD, JAD, CASE, extreme programming, bases de données, programmation objet, entrepôts de données, metadata, OLAP, data mining, TOC/TOU, OWASP, Open Source, full disclosure, langages, sécurité java, erreurs de programmation, virus, vers, sécurité des systèmes d’exploitation, bac à sable, AGILE, SCRUM, DEVSECOPS.

Renseignements à propos de l’examen

L’examen est organisé dans un centre spécialisé (Pearson VUE testing center) : conditions sur le site de l’(ISC)²®. Il reste de la responsabilité du stagiaire de s’inscrire à la session de son choix de manière indépendante de la formation de PROSICA.

L’ISC(2) apporte une nouveauté avec l’examen non linéaire de type CAT (Computerized Adaptive Testing). Prévu sur une durée réduite de 3 heures, le nombre de questions varient entre 100 et 150 en fonction d’un calcul sur l’historique des réponses. Ce mode remplace l'ancien examen (QCM de 250 questions d'une durée de 6 heures).

→ Lire les conseils pour réussir et consultez la liste des normeset des autres documents au programme de la certification.

Les prérequis d’inscription à l’examen sont les suivants :

  • Paiement du droit d’examen à l’(ISC)2®.
  • 5 ans (ou 4 ans en fonction des diplômes détenus) d’expérience professionnelle dans la sécurité.
  • Respect du code déontologique de l’(ISC)2®.

 

1 - CISSP : Certified Information Systems Security Professional de l’(ISC) : https://www.isc2.org/

2 - (ISC)2 : International Information Systems Security Certification Consortium. : https://www.isc2.org/

Formation: Préparation à la certification CISSP®

Téléchargez la fiche de cette formation au format PDF

Télécharger

Sécurité du Cloud Computing – préparation à la certification CCSP

Les services de Cloud Computing sont de plus en plus prisés par les entreprises de toute taille. Réactivité, service à la demande, connectivité, disponibilité, souplesse, mobilité...

Lire la suite

Réponse aux incidents de sécurité

Les entreprises et les administrations ont mis en oeuvre de nombreuses mesures de prévention en matière de sécurité des systèmes d’information...

Lire la suite

Data Protection Officer - Délégué à la Protection des Données

Le Règlement Général sur la Protection des Données (General Data Protection Regulation)...

Lire la suite

Sécurité du Cloud Computing – préparation à la certification CCSK

Les services de Cloud Computing sont de plus en plus prisés par les entreprises de toute taille. Réactivité, service à la demande, connectivité, disponibilité, souplesse, mobilité...

Lire la suite

Téléchargez : Les 20 meilleures formations sur la sécurité

Préparer le CISSP

Le CISSP est la certification individuelle généraliste la plus reconnue en cybersécurité. Lancée en 1994 par l’ISC(2), elle est souvent requise ou considérée comme un plus dans les offres d’emploi en France pour les postes de CISO, RSSI et de consultants en sécurité. L’examen est difficile car il aborde tous les domaines de la cybersécurité. Il ne s’agit pas de de démontrer une expertise dans un domaine spécifique mais plutôt de justifier des connaissances minimales dans tous les domaines. Première certification à avoir obtenu la conformité à l’ISO 17024 (qui définit les exigences de qualité pour les certifications de personnes), le programme est revu tous les trois ans pour s’adapter aux évolutions. PROSICA est un organisme de formation qui prépare efficacement depuis plusieurs années ses clients à l’examen. Les taux de réussite et de satisfaction sont élevés. Issus de cette expérience, voici quelques conseils pratiques pour préparer l’examen et établir son plan de révision.

Principes de conception sécurisée

Intégrer la sécurité dès la conception des logiciels, interfaces et nouveaux produits fait partie des bonnes pratiques reconnues par tous les experts. La norme ISO 19249 qui propose un catalogue de principes d’architecture et de conception est un des documents utilisables dans ce cadre. Ce référentiel est d’ailleurs cité dans le programme en vigueur de la certification individuelle CISSP. Il rejoint les méthodes de modélisation des menaces utilisées dans le développement logiciel et les normes ISO 27034 sur la sécurisation des applications ou encore le référentiel SSDF.

Sécurité des applications : la norme ISO 27034

La norme ISO 27034 fournit un cadre et des bonnes pratiques pour intégrer la sécurité dans le cycle de développement et d’acquisition des applications.Cette norme fait partie du programme des certifications CISSP, domaine 8, et CCSP. La sécurité des applications est influencée par le contexte métier de l’entité, ses exigences légales et réglementaires et son environnement technique. Le bénéfice de ce cadre est d’apporter la démonstration que la sécurité est intégrée tout au long du cycle de développement. Cette norme fait le lien avec d’autres référentiels comme l’ISO 29193 (conception sécurisée des systèmes), l’ISO 21827 (Systems Security Engineering – Capability Maturity Model), l’ISO 27001(certification d’un système de management de la sécurité de l’information), l’ISO 27005 (gestion des risques de sécurité de l’information). Ce référentiel complète les principes de conception sécurisée (critères communs et ISO 19249). Cette norme complète d'autrs référentiels, utiles pour sécuriser son cycle de développement, voir par exemple les référentiels SAFECode et SSDFet le modèle BSIMM.

Sécurité des environnements de conteneurs

Les conteneurs sont massivement utilisés par les équipes de développement. Extrêmement légers,  ils partagent le même noyau et démarrent très rapidement. Leur exécution demande peu de mémoire en comparaison avec le lancement d'un système d'exploitation. Docker est un des formats de conteneurs Open Source les plus rencontrés. La sécurité des environnements de conteneurs est au programme du CISSP en vigueur depuis le 1er mai 2021 mais aussi des certifications « sécurité du Cloud » comme le CSSP, le CCSK et le « petit nouveau » pour les auditeurs : le CCAK.

SOAR - Security Orchestration, Automation and Response

Les outils de type SOAR - Security Orchestration, Automation and Response dont l’acronyme a été popularisé par le Gartner permettent d’améliorer l’efficacité du processus de réponse aux incidents en automatisant les phases de détection, de triage et de réaction. Ces outils sont de plus en plus recherchés en complément des SIEM – Security Information and Event Management utilisés par les SOCet des plateformes de CTI. Les outils SOAR sont au programme de la certification CISSP et abordés dans le domaine 7. Le marché des outils SOAR est en forte croissance avec des acteurs comme IBM Resilient, Splunk Phantom, Demisto Palo Alto Networks, Fireye, Logrhythm ou FortiSOAR. Voici quelques exemples de tâches qu’on peut automatiser avec les outils SOAR. Ces tâches sont classées selon les fonctions du référentiel NIST CSF.

Supply Chain Risk Management

Les risques de cybersécurité liés à la sous-traitance et à la gestion de la chaîne d'approvisionnement sont nombreux et difficiles à traiter. Les impacts peuvent être importants, par exemple des attaques ciblées au travers d'équipements compromis puis connectés au système d'information ou des modifications du code source d'applications.  Le nouveau programme du CISSP détaille les notions liées au SCRM (Supply Chain Risk Management) dans le premier domaine consacré à la gouvernance.  Si les méthodes classiques d'analyse de risques peuvent être utilisées (Ebios Risk Manager, FAIR...), plusieurs référentiels spécifiques du NIST (par exemple le NISTIR 8276) , de l'ISO 27036, de SAFECode ou d'OpenGroup fournissent des bonnes pratiques pour analyser et traiter les risques liées à la chaine d'approvisonnement.

Retrouvez notre vidéo de présentation du SCRM.