CISSP

Présentation du CISSP

 

Le CISSP (Certified Information System Security Professional) est une certification qui couvre 10 domaines de la sécurité :

 

- Gestion de la sécurité

- Systèmes de contrôle d'accès et méthodologie

- Réseaux de télécommunication et sécurité Internet

- Cryptographie

- Sécurité en environnement de production

- Architectures de sécurité et Modèles

- Les systèmes applicatifs et le Développement

- Plan de Continuité d'activité

- La loi, les investigations et la morale

- Sécurité physique

 

Orientation

Chacun de ces domaines peut représenter une vision tout à fait différente des autres dans le monde de la sécurité.

Certains domaines sont très techniques, d'autres plus fonctionnels, et d'autres plus théoriques

 

Pourquoi le CISSP

L'intérêt de la certification se trouve justement dans la diversité des thèmes abordés. Le milieu de la sécurité est constitué de personnes ayant des connaissances sur 1,2 voire 3 domaines. Le CISSP permet d'élargir son spectre de connaissance et allant aborder des domaines qui ne sont pas forcément très familiers.

 

L'orientation CISSP

On a coûtume de dire de dire que le CISSP couvre la sécurité sur un kilomètre de long  et sur un centimètre de profondeur. Autant les domaines inconnus semblent complexes, autant ceux qui sont maitrisés semblent minimalistes. En effet, l'expertise permet de descendre très profondément dans la compréhension d'un sujet. A l'inverse, le CISSP propose l'expérience de parcourir la sécurité de manière transverse.

 

La difficulté

Le CISSP est reconnue commme une certification difficile et il faut admettre que le travail nécessaire de préparation est relativement important. Je ne pense pas qu'il soit possible à quelqu'un n'ayant pas une solide expérience en sécurité de réussir la certification tant le panel de connaissances requis est important.

 

L'accès à l'examen

Les conditions d'accès à l'examen sont strictes : 4 ans au minimum d'expérience en sécurité ou 3 ans + un diplôme d'études supérieures. L'inscription se passe en ligne sur le site de (ISC)² et un certains nombres de renseignements sont demandés pour s'assurer que les pré-requis sont bien remplis.

Une validation est ensuite envoyée par mail précisant les conditions d'examen

 

L'examen

L'examen en lui-même dure 6 heures pendant lesquelles les seuls compagnons de la victime seront un crayon, un questionnaire, la feuille de réponse, le dictionnaire et les collations légères apportées.

Il faut répondre à un questionnaire de 250 questions en 6 heures. L'expérience est difficile car pour le non anglophiles, les questions sont parfois complexes (même si elles sont bien formulées) et cela demande réellement 6 heures de concentration intense.

 

Mon expérience de la préparation de cette certification

Pour ma part, mes connaissances dans le monde de la sécurité était très focalisées sur l'aspect technique (Sécurité réseau et systèmes) avec de bonnes connaissances en cryptographie. Je connaissais un peu Les systèmes de contrôle d'accès et les architectures de sécurité.

Pendant 4 mois, j'ai eu comme compagnon de voyage de RER le "CISSP preparation guide Gold edition" de Ronald Krutz et Russel Dean Vines.

A chaque chapitre terminé, je faisais les questions du "Advance Preparation Guide" en relation.

Une fois le livre lu entièrement, j'ai commencé réellement l'entrainement :

- Faire des tests Boson régulièrement (personnelemen, j'ai utilisé ceux de Carl Endorf et Kevin Casper)

- Relire les chapitres qui me posaient problèmes

- Utiliser le web pour se documenter et faire des tests

Il ne faut rien laisser au hasard, un domaine de connaissances délaissé risque d'être un domaine omniprésent à l'examen.

Personnellement, mes résultats étaient les suivants

- 75 % de moyenne sur les tests Boson

- 80 % de moyenne sur les tests disponibles à partir de http://www.cccure.org

Je pense qu'il est de bon ton de passer une formation juste avant l'examen pour avoir les idées fraîches et les réponses aux questions en suspens. Pour ma part, je ne l'ai pas fait.

 

Une fois l'examen passé, la réponse arrive vite (samedi:examen-jeudi:réponse) dans  laquelle ISC vous congratule (dans le meilleur des cas)

 

Bon courage à tous les futurs CISSP