A propos de la certification CISSP

Le CISSP est une certification professionnelle en cybersécurité. Le sigle CISSP (Certified Information Systems Security Professional) signifie Professionnel Certifié en Sécurité des Systèmes d’Information. Contrairement à d’autres certifications comme l’ISO 27001, elle ne s’adresse pas aux organismes mais aux personnes et elle permet d’attester un certain niveau de connaissances en matière de sécurité des systèmes d’information.

Le programme de certification est géré par un organisme américain : l’(ISC)².
(ISC)², pourquoi un nom pareil ? et bien tout simplement parce que l’organisme s’appelle en fait « International Information Systems Security Certification Consortium » ce qui nous donne en abrégé IISSCC et donc (ISC) au carré.

Le CISSP, c’est historiquement une des premières certifications de cybersécurité puisqu’elle a vu le jour aux États-Unis en 1994 et elle est réputée comme étant une des certifications les plus difficiles à obtenir.

Elle s’adresse aux professionnels de la sécurité comme les responsables sécurité (RSSI) mais aussi aux consultants, auditeurs, architectes, DPO et globalement à tous les managers qui travaillent dans le monde de la Cybersécurité.

Selon l'(ISC)², il y avait au 1er janvier 2022, 152 632 personnes certifiées CISSP dans le monde et le tableau ci-dessous indique les 14 pays qui ont plus de 1 000 personnes certifiées.

A01 Stats CISSP

Comme on peut le constater, c’est une certification quasi-incontournable aux Etats-Unis mais ces chiffres ne sont pas très parlants si on ne les ramène pas au nombre d’habitants dans chaque pays. Par exemple, aux USA avec 330 millions d’habitants, il a une personne certifiée CISSP pour 3 500 habitants alors qu’en France avec 67 millions d’habitants, c’est seulement un CISSP pour 55 700 habitants.

Pour bien comprendre la différence, cela veut dire par exemple que dans une ville comme Marseille où il y a 870 000 habitants, on aura environ 15 CISSP alors qu’aux États-Unis pour une ville de taille équivalente comme San Francisco, on aura 250 CISSP. On voit bien que cela n’a strictement rien à voir.

En fait, en France il faudrait que nous ayons 19 142 personnes certifiées au lieu des 1 210 actuels pour avoir un taux équivalent aux US. C’est dire que le marché français est très loin d’être saturé et que la certification CISSP est un véritable différenciateur.

A01 CISSP US vs FR

La certification CISSP est une des certifications les plus recherchées dans le monde. Elle a par exemple été désignée comme meilleure certification en cybersécurité par le magazine FORBES en 2019.

En 2020, une étude de Global knowledge indique que c’est une des certifications professionnelles les mieux rémunérées.

Fin 2021, le site infosec-careers.com a lancé une grande enquête sur Linkedin auprès de 100 000 professionnels en leur demandant quelle était la meilleure certification de sécurité à avoir en 2022. Résultat : la certification CISSP arrive très largement en première position devant OSCP, CISM et CEH. (What are the Best CyberSecurity Certifications in 2022 ?)

Il ne fait absolument aucun doute que la certification CISSP est un atout considérable pour toute personne qui souhaite travailler dans la Cybersécurité.

Une des raisons pour laquelle la certification CISSP est très recherchée est liée au fait qu’il y a aujourd’hui une véritable pénurie de candidats compétents en cybersécurité. Et le problème n’est pas propre à la France car la pénurie est mondiale. Cette certification permet d’attester qu’un candidat possède une réelle expérience en cybersécurité et qu’il dispose de solides connaissances même s’il n’a pas un diplôme BAC+5 dans la spécialité.


Comment devient-on certifié CISSP ?

Pour obtenir la certification, il faut remplir 4 conditions :

  • Premièrement, il faut adhérer au code éthique de l'(ISC)² et ça c’est clairement une formalité administrative.
  • Ensuite il faut réussir l’examen CISSP dont nous allons décrire les principales caractéristiques un peu plus loin.
  • Une fois l’examen réussi, il faut transmettre un dossier à l'(ISC)² attestant 5 ans d’expérience en cybersécurité. Cette durée est ramenée à 4 ans pour les personnes titulaires d’un diplôme BAC+4 ou supérieur. On notera que même si l’on ne dispose pas de l’expérience requise, on peut tout de même postuler et passer l’examen officiel. Et en cas de réussite on devient alors associé (ISC)² et on obtient automatiquement la certification CISSP une fois que l’on a acquis l’expérience demandée.
  • Et puis, 4ème et dernière condition, il faut recevoir le parrainage (endorsement) d’un autre CISSP. Ce CISSP, c’est en fait une personne qui vous connait et qui va se porter garant pour vous. Pour l'(ISC)² c’est une façon de vérifier la véracité des informations fournis dans votre CV. Alors attention, il faut savoir que si un CISSP valide un CV bidon pour un candidat et que l'(ISC)² s’en rend compte et bien il perd sa certification, parce qu’en fait il n’aura pas respecté le code d’éthique de l'(ISC)².

Une fois obtenue, la certification CISSP est valable pendant 3 ans et si on veut la maintenir il y a encore 2 autres conditions : Il faut s’engager à se former au moins 120 heures à la sécurité chaque 3 ans pour conserver son niveau et il faut payer des frais de renouvellement annuels de 125 $US.


Comment se déroule l’examen CISSP ?

Pour réussir l’examen CISSP, il faut acquérir un ensemble de connaissances sur un périmètre défini par l'(ISC)² appelé CBK (Common Body of Knowledge). Le CBK représente l’ensemble des connaissances à acquérir et il constitue le programme officiel de l’examen CISSP. Ce programme a été réactualisé par l'(ISC)² en mai 2021 et il est structuré en 8 domaines.

Le passage de l’examen s’effectue dans un centre Pearson Vue et les frais d’inscription s’élèvent en 2022 à 798 €.

A01 8 domaines CBK CISSP

Pour obtenir la certification, il faut obtenir au minimum un score de 700 points sur 1000. Toutes les questions sont des questions à choix multiple avec 4 réponses possibles mais il y a toujours une et une seule bonne réponse. On parle souvent pour cet examen de QCM mais on devrait donc plutôt parler de QCU c’est-à-dire Question à Choix Unique.

Depuis 2005, l’examen était disponible en français mais l'(ISC)² a annoncé qu’à compter du 28 février 2022 la version française ne serait plus disponible. Les personnes inscrites avant cette date ont jusqu’au 31 juillet 2022 pour passer l’examen en français. L'(ISC)² n’a pas communiqué sur les raisons de cette décision.

L’examen est de type CAT (Computerized Adaptive Testing) que l’on pourrait traduire par test adaptatif réalisé sur ordinateur. Le principe est que les premières questions sont proposées avec un niveau de difficulté moyen. Si on répond bien aux questions, le niveau de difficulté augmente progressivement. Et si à l’inverse, on se trompe la difficulté baisse. Toute réponse est définitive et par conséquent, on ne peut pas revenir en arrière et on ne peut pas non plus marquer une question pour y revenir plus tard.

A compter du 1er juin 2022, la durée maximale de l’examen sera de 4 heures et le nombre de questions variera de 125 à 175 (contre 3 heures et 100 à 150 questions actuellement).

Pourquoi le nombre de questions est-il variable ? Et bien si au bout de 125 questions, vous avez atteint les 700 points ou si le système estime que vous avez au moins 95% de chance de l’obtenir alors l’examen se termine et vous avez réussi. Mais attention, à l’inverse si l’algorithme détermine que vous avez plus de 95% de ne pas réussir, le test se termine aussi mais cette fois c’est pour vous annoncer une mauvaise nouvelle : votre échec !

Si à la 125ème question l’algorithme ne peut pas prendre de décision alors le test continue avec une évaluation à chaque nouvelle réponse jusqu’à un maximum de 175 questions. Cela veut donc dire que si vous avez réussi dès la 125ème question, vous étiez vraiment très bon. Et si au contraire, vous échouez dès la 125ème question, cela signifie que vous étiez vraiment en très grosse difficulté et que ce n’était même pas la peine de continuer.

Et puis, si vous allez jusqu’aux dernières questions (au-delà de 160) et bien cela signifie que vous étiez vraiment limite et que vous avez réussi (ou échoué) mais de justesse…