Préparation à la certification CISSP®

• Principaux concepts
• Gouvernance
• Conformité
• Aspects légaux et réglementaires
• Éthique et déontologie
• Politiques, standards, procédures
• Continuité des activités
• Sécurité des personnes
• Gestion des risques
• Modélisation des menaces
• Intégration de la sécurité dans les projets
• Sensibilisation et formation

COSO, COBIT, officiers de sécurité, auditeurs, due care, due diligence, documentation, CLOUD, infogérance, séries ISO 2700, STRIDE, CRAMM, IRAM2, OCTAVE, EBIOS, impact, vraisemblance, acceptation, transfert, évitement, contre-mesures, recrutement, formation, sensibilisation, tableaux de bord, budget, sites de secours, plans de continuité, communication de crise, RTO, MTD, RPO, pénal, civil, common law, tort law, cybercriminalité, propriété intellectuelle, droits des marques, données à caractère personnel, surveillance, code de déontologie professionnel.

• Classification
• Propriétaire de l’information
• Données à caractère personnel
• Conservation des données
• Sécurité des données
• Exigences de traitement

Quality control, quality assurance, cycle de vie de l’information, classification, data remanence, anonymisation, chiffrement des supports amovibles, chiffrement de bout en bout.

• Principes de conception
• Modèles de sécurité
• Evaluation et mesures
• Capacité de sécurité des systèmes
• Architectures
• Environnements WEB
• Mobilité
• Systèmes embarqués
• Cryptographie
• Sécurité physique

Quantique, algorithmes, fonctions à sens unique, signature électronique, PKI, collision, vecteur d’initialisation, transposition, permutation, chiffrement par flot, par bloc, symétrique, asymétrique, longueur de clé, DES, 3DES, AES, CCMP, Rijndael, Blowfish, RC5, RC4, Diffie-Hellman, RSA, El Gamal, ECC, MAC, HMAC, MD5, SHA-3, HAVAL, paradoxe des anniversaires, distribution des clés, révocation, recouvrement, brute-force, cryptanalyse, rainbow table, X509, watermarking, processeurs, mémoires, systèmes d’exploitation, SABSA, TOGAF, ITIL, Bell-LaPadula, Biba, Clarck-Wilson, Muraille de Chine, Graham-Denning, critères communs, ITSEC, PCI-DSS, isolation des processus, virtualisation, canaux cachés, mainframes, XML, SAML, systèmes distribués, grid computing, analyse de vulnérabilités, vitrage, menaces naturelles, alimentation électrique, portes, clôtures, détection d’intrusion, vidéoprotection, éclairage, contrôle des accès, capteurs infrarouges, serrures, coffres, salles informatiques, UPS, HVAC, protections incendie.

• Principes
• Composants réseaux
• Canaux sécurisés
• Attaques réseaux
• Systèmes embarqués
• Cryptographie
• Sécurité physique

Modèle OSI, TCP/IP, OSPF, BGP, IPv6, DHCP, ICMP, RPC, DNS, NIS, SMB, SMTP, FTP, HTTP, Proxy, SCADA, PLC, Modbus, routeurs, DMZ, commutateurs, câblage, GSM, UMTS, CDMA, 5G, WI-FI, Bluetooth, ARP, NAC, firewall, NAT, VPN, VLAN, PABX, VoIP, Peer-to-peer, IRC, Jabber, RADIUS, SNMP, MPLS, WAN, ATM, FR, SDN, S/MIME, scans, fragmentation IP, Spoofing.

• Contrôles d’accès logiques et physiques
• Identification et authentification
• Identité as a service
• Intégration des tierces-parties
• Mécanismes
• Attaques liées au contrôle d’accès
• Gestion des accès

Défense en profondeur, séparation des rôles, domaines de confiance, classification de l’information, habilitations, DAC, MAC, ACL, matrice des droits, RBAC, carte à puce, token, annuaires, LDAP, SSO, Kerberos, SAML, Open ID, DDOS, rémanence, rejeu, ingénierie sociale, craquage de mots de passe, usurpation, écoute, émanation
électromagnétique, TEMPEST, SLE, ALE, EF, ARO.

• Stratégies
• Tests de sécurité
• Contrôle des processus
• Analyse des rapports
• Audits internes et externes

Vulnérabilités, audits, tests d’intrusion, IDS-IPS, SIEM, SEM, SIM, Syslog, RUM, Synthetic Performance, SAST, DASP, RASP Fuzzing, Red Team, Double Blind, CVE, SCAP, CVSS, ISCM, ISAE 3402.

• Investigations numériques
• Exigences légales
• Supervision de la sécurité
• Sécurité des ressources (Cloud, virtualisation…)
• Concepts de sécurité liés à l’exploitation
• Gestion des supports
• Gestion des incidents de sécurité
• Gestion des mesures préventives
• Gestion des correctifs
• Gestion des changements
• Stratégies de reprise informatique
• Plan de secours informatiques
• Test des plans de secours
• Participation aux exercices de continuité
• Gestion de la sécurité physique
• Sécurité des personnes

Besoin d’en connaitre, moindre privilège, comptes privilégiés, séparation des tâches, archivage, gestion des supports amovibles, licences, gestion des incidents, ISO 27035, gestion des problèmes, audits, gestion des configurations, systèmes redondés, vulnérabilités, RAID, investigation numérique, éléments de preuve, analyse logicielle, File Slack, clauses de sécurité contractuelles, DLP.

• Intégration de la sécurité dans le cycle de développement
• Environnement de développement sécurisé
• Évaluation de la sécurité des développements internes
• Acquisition des logiciels et sécurité

Exigences fonctionnelles et techniques, tests, CMMI, gestion du changement, correctifs, MPM, RAD, JAD, CASE, extreme programming, bases de données, programmation objet, entrepôts de données, metadata, OLAP, data mining, TOC/TOU, OWASP, Open Source, full disclosure, langages, sécurité java, erreurs de programmation, virus, vers, sécurité des systèmes d’exploitation, bac à sable, AGILE, SCRUM, DEVSECOPS.