Certification CISSP : domaine 1

Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est revu régulièrement par l’(ISC)2. Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 1 qui traite de la sécurité et la gestion des risques. Il représente 15% du programme.

Concepts et gouvernance de la sécurité

Cette partie reprend beaucoup de définitions qui font partie des basiques, en commençant par le triptyque « Confidentialité, Intégrité et Disponibilité » et en passant par les notions fondamentales de « Dure Care » et de « Due Diligence ». Les manières d’organiser la sécurité au sein de l’organisme, la gestion documentaire, les fonctions, le rôle du CISO, le reporting vers la direction, le conseil d’administration mais aussi les ressources budgétaires, la traduction en actions (plans stratégiques, tactiques, programmes, projets), sécurité des ressources humaines sont balayés. Les notions de conformité qui regroupent les types de loi et de régulations mais aussi la partie contractuelle sont très larges. Il faut retenir les principes et connaitre des exemples sur un périmètre étendu (par exemple règlement général sur la protection des données, données de santé, utilisation des outils cryptographiques, cybercriminalité, propriété intellectuelle, Bale 2, lois de sécurité financière, contrôle interne, norme PCI DSS, import / export…).

Plan de continuité des activités

Il s’agit de maitriser les concepts fondamentaux. Le plus simple est de reprendre les pratiques professionnels de ce domaine : analyse des risques des scénarios à fort impact et faible vraisemblance, analyse des impacts métiers (Business Impact Analysis), stratégies de continuité, modes de réaction d’urgence, plans de continuité et de secours, types d’exercices et de tests, audits, maintien en condition opérationnelle, communication de crise, coordination avec les services d’urgence et formation des collaborateurs. Les systèmes de management de la continuité peuvent être certifiés ISO 22301. Les termes du domaine, en commençant par les notions de RPO (Recovery Point Objective) et RTO (Return Time Objective) sont à retenir.

Référentiels et bonnes pratiques

Un professionnel de la sécurité doit connaitre l’état de l’art de son domaine. Il est issu de documents reconnus qu’il faut savoir identifier et caractériser : les systèmes de management (27001, 20000 - ITIL, 9001, 22301), les bonnes pratiques (ISO 27002, NIST 800-53, NIST cybersecurity framework, référentiel CIS, ISO 27017 pour le Cloud), les référentiels d’architecture (TOGAF, ZACHMAN, SABSA…), la mesure de la maturité d’un processus (CMMI, ISO 27004) et les documents utilisés dans le cadre du contrôle interne (COSO/ERM) et de la gouvernance IT (COBIT).

Analyse et traitement des risques

L’approche risque est centrale en sécurité. Il s’agit de connaitre, de mesurer ses risques et de prendre des décisions de traitement pour être en mesure d’accepter un niveau de risque résiduel. Le professionnel certifié CISSP doit savoir manipuler le vocabulaire (impacts, vraisemblance, vulnérabilités, risques, menaces…) et être à l’aise sur les principes méthodologiques qu’il pourra retrouver dans les référentiels (ISO 27005, NIST 800-30, ISO 31000, risques IT de l'ISACA) et les exemples de méthodes cyber (EBIOS, OCTAVE, CRAMM, IRAM, FAIR…). Quelques calculs simples d’analyse quantitative du risque, bien que rarement applicables dans la pratique font néanmoins partie du programme (SLE, AV, EF, ALE…). Les différentes solutions de traitement : acceptation (rétention), mitigation (modification, réduction), transfert (partage) et évitement, ainsi que leur matérialisation en cybersécurité sont à maitriser. Un focus est fait sur les méthodes de modélisation des menaces utilisées par les éditeurs ainsi que sur la prise en compte du risque « sous-traitant » dont font partie les solutions de type Cloud (IaaS, PaaS, SaaS). A cet égard, les notions de prise en compte de la sécurité dans les contrats sont essentielles.
 

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

CISSP, Formations Cybersécurité, Certification