Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)². Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 4 qui traite de la sécurité des réseaux. Il représente 14 % du programme.

Architectures et composants réseaux

Cette partie nécessite une bonne connaissance des fondamentaux sur les réseaux informatiques (modèle OSI, encapsulation, TCP/IP et protocoles de télécommunications). Les concepts tels que les types de commutation (paquets ou circuits), les principales modulations numériques ainsi que les différents multiplexages (FMDA, TDMA, CDMA) font partie des éléments du programme. Les techniques d’accès aux réseaux filaires et radio (WiFi, GSM, UMTS, RFID…) peuvent faire l’objet de questions. Les basiques de l’architecture Internet (Systèmes Autonomes, routage IP, protocole de mise à jour dynamique OSPF et BGP par exemple) sont importants. De nombreux exemples de protocoles sont cités dans le programme. Il n’est pas possible de tous les connaître mais les plus importants doivent être maîtrisés en cherchant à bien comprendre leurs risques en termes de sécurité, par exemple quels avantages pour SNMPv3, les apports de DNSSec. Les principaux VPN (Virtual Private Network) ainsi que les notions de virtualisation des réseaux locaux (VLAN ou VXLAN mais aussi SDN - Software Defined Network) sont abordées. Les attaques réseaux, sans rentrer dans le détail de mise en œuvre et d’utilisation des outils, sont présentées. Il faut aussi bien connaître les principaux composants d’infrastructures et être capable de définir les différentes possibilités de filtrage et de segmentation. La sécurisation des réseaux industriels fait maintenant partie du programme. Sans rentrer dans les détails, il faut a minima connaître les principes de fonctionnement ainsi que les composants utilisés dans les infrastructures de type SCADA (Supervisory Control And Data Acquisition) ou ICS (Industrial Control System). Le nouveau programme comprend maintenant les concepts Zero-Trust et ZTA.

Mise en œuvre de communications sécurisées

Les notions de mise en œuvre : administration, exploitation et supervision des réseaux sont abordées en mettant l’accent sur les risques en termes de sécurité et les moyens de protection. L’accès aux réseaux, les protocoles d’authentification (référentiels RADIUS et référentiels EAP par exemple), le durcissement des réseaux temps réels (VoIP, visoconférences) ou des outils collaboratifs sont au programme. La protection des maintenances et des accès distants est abordée. Sans rentrer dans le détail, il convient d’avoir une bonne culture générale des services étendus fournis par les opérateurs. Les principes d’administration sécurisée et les notions de durcissement des configurations des composants doivent être maîtrisées.

Le travail de préparation consacré à ce domaine dépend beaucoup de la formation et de l’expérience de chacun. Les personnes ayant une bonne expérience des réseaux ne devraient pas être trop surpris par les questions. En revanche, les postulants au CISSP plutôt issus du monde applicatif ou des systèmes devront consacrer un temps conséquent à la révision de ce domaine historiquement assez technique et pouvant faire l’objet de questions relativement précises.

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :