Certified Information Systems Security Professional

Certified Information Systems Security Professional (CISSP) est une certification professionnelle internationale et commercialement indépendante en sécurité des systèmes d'information. Le programme de certification est géré par le « International Information Systems Security Certification Consortium » (ISC²).

Logo de la certification CISSP

CISSP est l'une des certifications les plus difficiles au monde à obtenir. Elle est désignée comme meilleure certification au monde en cyber sécurité par Forbes en 2019[1]. Le UK National Academic Recognition Information Centre lui accorde en 2020 un statut d’équivalence avec un Master Degree de cyber sécurité. Elle est aussi reconnue par l'U.S. Department of Defense.

Elle s'adresse particulièrement au métier de RSSI, notamment de directeur de la sécurité mais de nombreux types de métiers sont aussi concernés par cette certification qui requiert des connaissances techniques. La CISSP nécessite de pouvoir justifier de 5 ans d'expérience dans le domaine de la cybersécurité (dans au moins 2 des 8 domaines) qui peuvent être réduits à 4 ans dans certaines conditions. Elle est valide pour une durée de 3 ans et propose un système de crédits à obtenir pour prolonger la validité de la certification en promouvant le domaine de la cybersécurité[2].

Histoire

modifier

CISSP est historiquement une des premières certifications de cyber sécurité : elle voit le jour aux États-Unis au début des années 1990[1].

En juin 2004, CISSP est accréditée par l'ANSI ISO/IEC Standard 17024:2003 (en)[3],[4]. Elle est formellement approuvée par l'U.S. Department of Defense (DoD) pour leur DoDD 8570 certification requirement[5].

Reconnaissance et rémunération

modifier

En mai 2020, le UK National Academic Recognition Information Centre (en) évalue CISSP comme une qualification de Niveau 7 (en), soit l’équivalent d'un Master degree[6],[7]. Cette reconnaissance permet aux professionnels de la cyber sécurité d'utiliser leur certification CISSP pour prolonger leurs études ou postuler pour des postes pour lesquels un mastère en cybersécurité est nécessaire[8],[9]. Il s'agit de la seule certification au monde en cybersécurité à avoir reçu un niveau de reconnaissance de ce type.

En mars 2 023,159 679 membres de l'(ISC)² détiennent la certification CISSP dans le monde[10].

D'après global knowledge, CISSP est la certification la mieux rémunérée dans la zone Europe Middle East & Africa et la seule certification en dehors de l'Amérique du Nord dépassant un salaire moyen de 100 000 dollars en 2020[11].

L'examen de la certification se présente actuellement sous deux formes au choix et nécessite 70 % de bonnes réponses pour être validé[2]:

  • 250 questions QCM pour une durée maximum de 6 heures (cette version n'est plus proposée pour la version anglaise mais uniquement pour le passage de l'examen dans une autre langue)
  • 125 à 175 questions QCM pour une durée maximum de 4 heures, le questionnaire est alors adaptatif, appelé CAT (Computerized Adaptive Testing) c'est-à-dire que le questionnaire s'adapte (via Intelligence Artificielle) en fonction des réponses du candidat afin de déceler de potentielles faiblesses dans chacun des huit domaines étudiés. Il est à noter que l'examen CAT implique non seulement d'avoir 70 % de bonnes réponses au global mais aussi d'avoir au minimum 70 % de bonnes réponses dans chacun des domaines. Si un seul domaine est en dessous des 70 % et que le total est supérieur à 70 %, l'examen est considéré comme n'étant pas réussi. L'examen se déroule sur un minimum de 125 questions. Si le système détermine que le seuil de réussite a été atteint ou qu'il y a une probabilité de 95 % d'atteindre ce seuil par la suite, l'examen s'arrête, sinon celui-ci continue jusqu'à un maximum de 175 questions[12].

À la suite de la réussite de l'examen, il est nécessaire de réaliser la phase « endorsment » qui permet d'une part de justifier des 5 ans d'expérience dans le domaine, ainsi que d'être parrainé par un membre déjà certifié CISSP. L'ISC² enquête alors sur la validité des expériences avant de valider l'attribution de la certification[2].

Jusqu'en 2015 le programme de la certification CISSP comporte dix chapitres :

  1. Contrôle d'accès
  2. Sécurité applicative
  3. Plan de continuité d'activité et de restauration en cas de désastre
  4. Cryptographie
  5. Sécurité de l'information et Gestion du risque
  6. Droit, règlement, conformité et investigations
  7. Sécurité des opérations
  8. Sécurité physique (environnementale)
  9. Modèles de sécurité informatique
  10. Sécurité des télécommunications et des réseaux

Une restructuration du programme de la certification CISSP a lieu le 15 avril 2015, et il comprend désormais 8 domaines au lieu de 10 :

  1. Gestion des risques et de la sécurité
  2. Protection des actifs
  3. Ingénierie de la sécurité
  4. Sécurité des télécommunications et des réseaux
  5. Contrôle d’accès et gestion des identités
  6. Évaluation de la sécurité
  7. Sécurité des opérations
  8. Sécurité des développements

Répartition des membres certifiés

modifier

D'après l'(ISC)², en juillet 2022, 156 054 personnes étaient certifiées CISSP dans 175 pays depuis la création de la certification, majoritairement aux États-Unis[13].

Top 15 des pays par nombre de membres CISSP en Juillet 2022
# Pays (Top 15) Nombre
1 États-Unis 95,243
2 Royaume-Uni 8,486
3 Canada 6,842
4 Chine 4,136
5 Japon 3,699
6 Inde 3,364
7 Australie 3,305
8 Pays-Bas 2,983
9 Singapour 2,963
10 Allemagne 2,856
11 Corée 2,090
12 Hong Kong 1,968
13 France 1,277
14 Suisse 1,127
15 Espagne 847

Annexes

modifier

Notes et références

modifier
  1. a et b (en) Louis Columbus, « Top 10 Most Popular Cybersecurity Certifications In 2019 », sur Forbes (consulté le )
  2. a b et c « Cybersecurity Certification| CISSP - Certified Information Systems Security Professional | ISC² », sur www.isc2.org (consulté le )
  3. ANSI Accreditation Services - International Information Systems Security Certification Consortium, Inc. (ISC)2 « https://web.archive.org/web/20120718143104/https://www.ansica.org/wwwversion2/outside/ALLdirectoryDetails.asp?menuID=2&prgID=201&orgID=97&status=4 »(Archive.orgWikiwixArchive.isGoogleQue faire ?), . ANSI
  4. « (ISC)² CISSP Security Credential Earns ISO/IEC 17024 Re-accreditation from ANSI » [archive du ], Palm Harbor, FL, (ISC)², (consulté le )
  5. « DoD 8570.01-M Information Assurance Workforce Improvement Program » [archive du ], United States Department of Defense, (consulté le )
  6. James Coker, « CISSP Qualification Given Cert Status Equivalent to Master's Degree Level », sur Infosecurity Magazine, (consulté le )
  7. (en-US) finanzen net GmbH, « (ISC)2 CISSP Certification Now Comparable to Masters Degree Standard | Markets Insider », sur markets.businessinsider.com (consulté le )
  8. James Coker, « CISSP Qualification Given Cert Status Equivalent to Master's Degree Level », sur Infosecurity Magazine, (consulté le )
  9. « (ISC)² CISSP Certification Now Comparable to Masters Degree Standard », sur www.isc2.org (consulté le )
  10. (en) « Count of ISC2 members »,
  11. « 2020 IT Skills and Salary Report », global knowledge,‎ (lire en ligne)
  12. « CISSP Computerized Adaptive Testing », sur www.isc2.org (consulté le )
  13. « Member Counts| How Many (ISC)² Members Are There Per Certification | (ISC)² », sur Isc2.org (consulté le ).

Voir aussi

modifier

Liens externes

modifier