Comment réussir l'examen CISSP (Certification en Sécurité de l'Information)

Article original : How to Pass the CISSP Exam (Information Security Certification)

Par Megan Kaczanowski

Qu'est-ce que le CISSP ?

Il s'agit de la certification Certified Information Systems Security Professional. C'est généralement la certification la plus reconnue et la plus large dans le domaine de la sécurité de l'information. Essentiellement, elle est superficielle mais très étendue - une énorme quantité d'informations regroupées en 8 domaines :

• Domaine 1. Gestion de la Sécurité et des Risques (15%)
• Domaine 2. Sécurité des Actifs (10%)
• Domaine 3. Architecture et Ingénierie de la Sécurité (13%)
• Domaine 4. Sécurité des Communications et des Réseaux (14%)
• Domaine 5. Gestion de l'Identité et des Accès (IAM) (13%)
• Domaine 6. Évaluation et Tests de Sécurité (12%)
• Domaine 7. Opérations de Sécurité (13%)
• Domaine 8. Sécurité du Développement Logiciel (10%)

Si vous ne devez obtenir qu'une seule certification en sécurité de l'information, c'est celle-ci. Elle est de loin la plus largement acceptée et reconnue.

Devriez-vous l'obtenir ?

...peut-être. Cela dépend de ce que vous voulez. En général, les certifications sont utiles pour les débutants qui cherchent à entrer dans le domaine, ou pour comprendre le lexique et le cadre avec lesquels les gens parlent de la sécurité.

Elles peuvent également être utiles pour faire passer votre CV à travers un premier filtrage, impressionner les futurs employeurs et potentiellement ajouter du crédit à votre expérience (encore mieux si vous n'avez pas beaucoup d'expérience !).

Cela ne signifie pas que vous êtes un expert en "cybersécurité", et la plupart des gens ne le verront pas ainsi. Cette certification particulière est plus destinée aux managers qu'aux personnes travaillant directement sur les systèmes. Ce test ne vous apprendra pas à opérer en tant qu'analyste SOC (centre des opérations de sécurité) travaillant directement sur les systèmes. Mais il vous donnera une exposition à une large liste de concepts de base.

Intéressé à en savoir plus sur les certifications ? Consultez ces articles.

Parlons des détails.

Pour obtenir la certification, vous avez besoin d'au moins 5 ans d'expérience professionnelle dans deux ou plus des domaines. Vous pouvez substituer un diplôme universitaire de quatre ans ou certaines certifications de l'ISC² pour une année d'expérience professionnelle (détails ici).

Si vous n'avez pas le nombre d'années d'expérience professionnelle requis, vous pouvez toujours passer le test et devenir un associé de l'ISC². Vous avez ensuite 6 ans pour acquérir les 5 années d'expérience professionnelle requises.

La version anglaise du test est un examen "d'adaptation informatique" ce qui signifie que vous pouvez recevoir entre 100 et 150 questions pendant le test en fonction de votre performance. Le test d'adaptation informatique (CAT) signifie que le test ajuste automatiquement les questions en fonction de votre performance.

Ainsi, par exemple, si vous répondez incorrectement à une question, l'ordinateur vous donnera ensuite une question légèrement plus facile. Si vous répondez correctement à une question, la question suivante sera probablement plus difficile. L'ordinateur continuera à vous poser des questions jusqu'à ce qu'il puisse évaluer avec confiance votre niveau de connaissance et mettre fin au test. Ce type de test nécessite donc moins de questions pour évaluer avec confiance votre niveau de connaissance.

La version non anglaise est fixe et comporte 250 questions. Vous avez un maximum de 3 heures pour le test en anglais (et 6 heures pour la version non anglaise).

Le test est disponible en anglais, français, allemand, portugais brésilien, espagnol, japonais, chinois simplifié, coréen et pour les malvoyants. Le test est proposé par Pearson VUE et est administré par leurs surveillants.

Le coût est de 699 $ et vous avez besoin de 700/1000 pour réussir l'examen. Vous pouvez vous inscrire à l'examen sur le site web de Pearson VUE ici.

Après avoir réussi l'examen, vous avez 9 mois pour compléter le "processus d'endossement", (sauf si vous postulez pour devenir un "associé de l'ISC²") qui implique de trouver quelqu'un qui est un professionnel certifié ISC² (quelqu'un qui a une certification ISC² en bonne et due forme, et qui peut attester de votre expérience professionnelle) pour certifier que vos affirmations d'expérience professionnelle sont vraies.

Si vous ne connaissez personne qui correspond à cette catégorie, vous pouvez demander à l'ISC² de servir de "garant". Ensuite, votre certification est valable à vie, tant que vous payez des frais de maintenance annuels (actuellement fixés à 125 $ pour les titulaires de certificats, et 50 $ pour les associés) et que vous complétez vos crédits de formation professionnelle continue requis (CPE).

Les titulaires de la certification CISSP doivent soumettre 120 crédits, tandis que les associés doivent soumettre 15 chaque année.

Vous pouvez obtenir des crédits CPE pour une variété d'activités, telles que suivre un cours académique (1 heure d'instruction dans un domaine = 1 CPE, jusqu'à 40), lire un livre (5 CPE par livre, avec une description de 250 mots), un magazine (5 CPE par numéro de magazine, avec une description de 250 mots), ou un livre blanc (1 CPE avec une description de 250 mots), ou assister à des événements et webinaires de l'ISC^2.

Vous pouvez trouver plus de détails sur le processus CPE ici.

Quelle a été mon expérience ?

Le test m'a pris environ 80 minutes et j'ai répondu à 100 questions avant de réussir.

Pour me préparer, j'ai fait ce qui suit sur une période d'environ 2 ans. J'étudiais pendant une semaine ou deux, puis j'oubliais pendant quelques mois, puis je revenais à cela lorsque j'avais le temps.

J'ai probablement étudié intensément pendant environ un mois (ce qui signifie que je passais quelques heures en semaine à étudier et environ 6 heures le week-end). Je ne savais presque rien (et je n'avais ni diplôme ni expérience) lorsque j'ai commencé à étudier. J'ai initialement commencé à étudier dans l'espoir que cela m'aiderait à donner un cadre pour comprendre la sécurité d'entreprise - ce qu'il a fait (bien que je ne sois pas sûr que ce soit la meilleure option pour cela).

Si vous avez plusieurs années d'expérience dans la sécurité de l'information, vous pourriez probablement juste lire le livre de la 11ème heure quelques semaines avant l'examen, vous rafraîchir sur les sujets peu familiers, essayer quelques questions pratiques et passer le test. J'ai évalué les ressources que j'ai utilisées sur 10 en fonction de leur utilité pour la préparation.

1. Lire le Guide d'Étude Officiel de l'ISC² (oui, tout le livre. Probablement ne faites pas cela. C'est définitivement plus d'informations que vous n'avez réellement besoin de savoir.) 6/10
2. Vidéos de Kelly Handerhan (J'ai regardé les anciennes, puis quand elle a sorti du contenu mis à jour, j'ai regardé les nouvelles. Elles sont solides, bien qu'elles ne soient pas aussi approfondies que l'examen peut l'être.) 7/10
3. Guide 11th Hour CISSP (environ trois fois). 8/10
4. IT Dojo Vidéos de Questions Quotidiennes CISSP (J'ai regardé toutes. Certaines plus d'une fois. Le gars qui dirige la série a une manière vraiment géniale d'expliquer des concepts compliqués, mais je ne pense pas que les questions reflétaient les questions de l'examen.) 6/10
5. J'ai fait un million (probablement autour de 1000) de fiches mémo chaque fois que je me trompais sur une question ou que je rencontrais des concepts difficiles. Je les ai étudiées. J'en ai fait plus (chaque fois que je rencontrais quelque chose que je ne savais pas). Je les ai réétudiées. 10/10
6. J'ai utilisé le livre de Shon Harris pour rechercher des sujets spécifiques que je ne comprenais pas. Et j'ai demandé à d'autres personnes, j'ai googlé les sujets, j'ai lu des blogs, j'ai regardé des vidéos YouTube, etc. 9/10
7. J'ai regardé cette vidéo, cette vidéo, et cette vidéo sur l'état d'esprit de test. Plusieurs fois. 10/10
8. J'ai répondu à toutes les questions pratiques dans le livre de Test Pratique de l'ISC² (deux fois - même lien que le guide d'étude). Les questions étaient bonnes, mais pas nécessairement représentatives de ce à quoi ressemblent les questions de l'examen. 7/10
9. J'ai répondu à toutes les questions pratiques Boson. Je les ai refaites et j'ai lu toutes les explications. C'était la ressource la plus utile. Les explications étaient excellentes, bien que les questions étaient plus techniques que l'examen. 10/10

Aucune des questions pratiques n'était une représentation parfaite du test, mais Boson semblait être la plus proche.

Le meilleur conseil que j'ai reçu avant de le passer était de regarder les réponses, et si l'une des réponses me disait de faire quelque chose (retirer un système d'un réseau, changer un mot de passe, effectuer un verrouillage de compte, etc.), de la sauter en faveur d'une réponse qui impliquait de documenter, d'instruire quelqu'un d'autre, etc.

Se mettre dans l'état d'esprit "CISSP" est la clé pour réussir le test. Imaginez, pour chaque question, que vous dirigez l'équipe de sécurité tout en traitant la situation décrite dans la question.

Que feriez-vous (ou que diriez-vous à votre équipe de faire) ? Il s'avère que j'étais largement, largement, largement trop préparée pour les concepts techniques (bien que j'étais encore (pour la plupart) contente d'avoir appris les informations !).

Finalement, vous devez simplement réserver le test - je ne pense pas que quiconque se sente prêt lorsqu'il se prépare (et certainement pas lorsqu'il passe le test !), mais à un moment donné, vous devez accepter que vous avez fait tout ce que vous pouviez. Bonnes études !