Modifications à l’examen du CISSP en vigueur à compter d’avril 2018

Le 15 avril 2018, ISC² a mis en place un nouvel ensemble d’objectifs pour l’examen CISSP (Certified Information Systems Security Professional). Le but de la mise à jour du plan d’examen du CISSP est de maintenir la pertinence de l’examen par rapport aux dernières technologies, normes, et processus en matière de sécurité de l’information, de sorte que la certification demeurera très utile. Dans cet article, nous passerons en revue les récents changements apportés à l’examen du CISSP, et nous explorerons certaines des principales choses dont vous devez être conscient, lorsque vous vous préparez à la nouvelle version de l’examen du CISSP.

Anciens et nouveaux noms de domaine CISSP et comparaison

Tout d’abord, passons en revue les 8 domaines qui composent l’examen CISSP. Dans le tableau suivant, nous montrons les 8 domaines précédents et le nouvel ensemble. La dernière colonne indique le poids de chaque domaine – le pourcentage de questions de l’examen qui couvrent ce domaine – et le changement par rapport à la version précédente de l’examen.

Numéro de domaine Domaines précédentsDomaines à partir du 15 avril, 2018CISSP CAT comparaison de poids à partir du 15 avril, 2018
1Gestion de la sécurité et des risquesGestion de la sécurité et des risques15% (-1%)
2Sécurité des biensSécurité des biens10% (pas de changement)
3Ingénierie de SécuritéArchitecture et ingénierie de sécurité13% (-1%)
4Sécurité des communications et des réseauxSécurité de la communication et des réseaux14% (-2%)
5Gestion des identités et des accèsGestion des identités et des accès (IAM)13% (pas de changement)
6Évaluation et contrôle de la sécuritéÉvaluation et contrôle de la sécurité12% (+1%)
7Opérations de sécuritéOpérations de sécurité13% (+3%)
8Sécurité du développement de logicielsSécurité du développement de logiciels10% (pas de changement)

Comme vous pouvez le constater, les noms de domaine sont restés à peu près les mêmes, mais l’importance de certains domaines a changé. Examinons maintenant les principaux changements dans chaque domaine.

Domaine 1. Sécurité et gestion des risques

Le domaine 1 porte toujours le même nom, mais dans certaines zones, il y a une expansion des compétences requises pour réussir l’examen. Par exemple, la section 1.5 est passée de « Comprendre l’éthique professionnelle » à « Comprendre, adhérer et promouvoir l’éthique professionnelle », et la section 1.7 est passée de « Comprendre les exigences de continuité des affaires » à « Identifier, analyser et prioriser les exigences de continuité des affaires (BC) ». Assurez-vous d’avoir des connaissances opérationnelles étendues dans ces domaines, en vous assurant que votre matériel d’étude tient compte du nouveau contenu.

Domaine 2. Sécurité des actifs

Le domaine 2 a aussi le même nom qu’avant. Le domaine 2 est plus petit que le domaine 1, et les changements qui y sont apportés sont moins importants. Un thème commun est l’amélioration de la précision des sujets. Par exemple, la section 2.2 était  » Déterminer et maintenir la propriété « , ce qui était un peu vague ; la plupart des documents d’étude du CISSP supposaient qu’il s’agissait de la propriété des données. Maintenant, 2.2 est « Déterminer et maintenir l’information et la propriété des actifs », ce qui est beaucoup plus précis. Nous voyons le même changement quelques autres fois dans le domaine 2 ; par conséquent, lorsque vous étudiez, pensez à la façon dont les concepts s’appliquent à la fois à l’information et aux autres actifs informatiques.

Domaine 3. Architecture et ingénierie de sécurité

Ce domaine a été étendu de « Ingénierie de Sécurité » à « Architecture et Ingénierie de Sécurité ». Dans les petites organisations, l’ingénierie et l’architecture sont souvent gérées par la même personne ou la même équipe ; dans les grandes organisations, elles sont généralement séparées et ont souvent des chaînes de gestion différentes. Assurez-vous de comprendre comment un architecte et un ingénieur abordent les sujets dans ce domaine. Un architecte se concentre sur une conception de haut niveau sans se plonger dans les détails (comme les configurations spécifiques ou la façon dont les choses s’intègrent), et possède donc généralement une petite quantité de connaissances sur un grand nombre de technologies. Les ingénieurs, d’autre part, se concentrent sur la configuration et l’intégration de technologies basées sur l’architecture de haut niveau, et ont donc généralement une connaissance approfondie de quelques technologies spécifiques. Bien sûr, il y a de nombreuses exceptions. Porter une attention particulière à l’ajout de l’aspect architectural, qui s’applique à l’ensemble du domaine. Au-delà de ça, il y a quelques nouveaux sujets importants : les systèmes cryptographiques, les systèmes basés sur le Cloud et les IoT (tous dans la section 3.5).

Domaine 4. Sécurité de la communication et des réseaux

Du point de vue du titre, une seule lettre a changé (« Communications » est devenu « Communication »). En ce qui concerne les sujets,  » Prévenir ou atténuer les attaques réseau  » a été complètement supprimé, alors assurez-vous de ne pas vous concentrer inutilement sur ce sujet. Le reste du domaine 4 est à peu près le même ; par conséquent, le matériel d’étude plus ancien, comme le Guide officiel (ISC)² du CISSP CBK, devrait toujours être très efficace pour se préparer à l’examen.

Domaine 5. Gestion des identités et des accès

Il n’y a pas eu beaucoup de changements dans le domaine 5. Il y a quelques nouveaux concepts, comme le « Contrôle d’accès basé sur les attributs (ABAC) ». Également, la section 5.6, intitulée « Prévenir ou atténuer les attaques de contrôle d’accès », a été supprimée, de sorte que vous pouvez gagner du temps en n’étudiant pas ce sujet.

Domaine 6. Évaluation et Contrôle de la Sécurité

Pour ce domaine CISSP, les changements sont minimes et le titre reste le même. Le matériel d’étude pour la version précédente de l’examen devrait toujours être efficace pour les objectifs de l’examen mis à jour.

Domaine 7. Opérations de sécurité

Comme le domaine 7 est l’un des plus importants dans la certification CISSP, il a des mises à jour légèrement plus importantes que les autres domaines. Notez également que le poids du domaine (le nombre de questions couvertes par l’examen) a augmenté le plus, alors assurez-vous de passer plus de temps à creuser dans ces sujets et à pratiquer les questions d’examen concernées. Il y a de nouveaux thèmes, tels que « Gestion des biens », « Formation et sensibilisation à la sécurité » et « Gestion des urgences ». Certains sujets ont connu des changements importants ; par exemple, vous devez maintenant comprendre les enquêtes « administratives » et les « normes de l’industrie », au lieu des enquêtes « opérationnelles » et de la « découverte électronique » ; assurez-vous d’examiner les ressources de formation qui tiennent compte de ces changements avant de vous présenter à l’examen. D’autres sujets ont été clarifiés ; par exemple, l’un des sujets de la section 7.1 a été changé de « Criminalistique digitale » à « Outils, tactiques et procédures de criminalistique digitale ».

Domaine 8. Sécurité du développement de logiciels

Bien que le titre de ce domaine reste le même, et que le domaine reste assez petit par rapport à la plupart des autres, il y a pas mal de changements. Une nouvelle section « Définir et appliquer des lignes directrices et des normes de codage sécurisé » a été ajoutée. C’est un domaine que vous voudrez peut-être étudier, surtout si vous ne travaillez pas dans le développement de logiciels. Il y a aussi quelques clarifications mineures. Par exemple, au lieu de « Renforcer les contrôles de sécurité dans les environnements de développement », la section 8.2 est désormais « Identifier et appliquer les contrôles de sécurité dans les environnements de développement ».

FAQ sur les modifications de la certification CISSP

Voici les réponses aux questions les plus courantes au sujet des mises à jour de l’examens du CISSP :

  • À quelle fréquence l’examen du CISSP change-t-il ? Le plan directeur change généralement tous les trois ans : l’examen a été modifié en 2012, 2015 et 2018.
  • Quel est l’intérêt de mettre à jour l’examen tous les 3 ans ? L’objectif principal est de maintenir l’examen à jour et pertinent, afin que le CISSP demeure un certificat de sécurité de premier ordre ; autrement, il perdrait de sa valeur et de sa pertinence. Il y a aussi d’autres raisons. Par exemple, le piratage des examens (personnes qui diffusent le contenu des examens sans autorisation) est une préoccupation réelle.
  • Puis-je passer le nouvel examen en utilisant du vieux matériel d’étude ? Oui. Beaucoup de gens l’ont fait ; la clé, c’est d’avoir l’expérience de travail pertinente. Si vous essayez de passer l’examen sur la base de vos études, ce sera plus difficile avec les matériaux plus anciens. Bien sûr, l’expérience professionnelle est une condition préalable à l’examen.
  • Le format de l’examen a-t-il changé avec cette mise à jour du plan directeur ? Non. Cependant, le format de l’examen de langue anglaise a changé à la fin de 2017 avec l’adoption du format TAO (Computerized Adaptive Testing). Pour plus de détails sur ce changement voir http://blog.isc2.org/isc2_blog/2017/12/4-things-you-need-to-know-about-the-isc%C2%B2-cissp-cat-exam.html.
Guide d\\\'étude de l\\\'examen CISSP