A l’issue de cette session, les candidat(e)s seront en mesure de :
- Appréhender les exigences liées à la réussite de l’examen ;
- Appliquer les méthodes liées aux domaines des technologies de l’information et de la sécurité ;
- Aligner les objectifs opérationnels de l’organisation avec les fonctions de sécurité ;
- Déterminer comment protéger les actifs de l'organisation tout au long de leur cycle de vie ;
- Tirer parti des concepts et normes pour concevoir, mettre en œuvre, surveiller et sécuriser l’IT afin d’appliquer divers niveaux de confidentialité, d’intégrité et de disponibilité ;
- Appliquer les principes de conception de la sécurité pour sélectionner les mesures d’atténuation ;
- Expliquer l’importance de la cryptographie et les services de sécurité à l’ère du digital ;
- Évaluer les éléments de sécurité physique par rapport aux besoins de sécurité de l’information ;
- Évaluer les éléments qui composent la communication et la sécurité par rapport aux besoins ;
- Tirer parti des concepts et de l’architecture qui définissent la technologie associée ;
- Déterminer les modèles de contrôle d’accès pour répondre aux exigences de sécurité ;
- Appliquer des contrôles d’accès pour répondre aux besoins de sécurité des informations ;
- Différencier les principales méthodes de stratégies de test et d’audit ;
- Appliquer des contrôles de sécurité et des contre-mesures appropriés ;
- Évaluer les risques des systèmes d’information pour les efforts opérationnels d’une organisation ;
- Déterminer les contrôles appropriés pour atténuer les menaces et vulnérabilités spécifiques ;
- Appliquer les concepts de sécurité des systèmes d’information pour atténuer le risque de vulnérabilités des logiciels et des systèmes.
Cette formation s’adresse aux professionnels impliqués dans la sécurité de l’information, nous pouvons citer parmi eux : directeur des systèmes d’information, directeur de la sécurité de l’information, directeur de la technologie, directeur de la sécurité, responsable de la sécurité de l’information, consultants.
Pour suivre cette formation, il est recommandé que les candidat(e)s disposent d’une expérience professionnelle dans au moins 2, des 8 domaines du CBK® -Common Body of Knowledge-.
Sur le plan technique, il est recommandé d’avoir des connaissances de base sur les réseaux et les systèmes d’exploitation ainsi qu’en sécurité de l’information.
Sur le plan fonctionnel, il est recommandé d’avoir des connaissances de base autour des normes en audit et en continuité des activités business.
L’examen CISSP® est inclus dans le coût de la formation et est disponible en huit (8) langues, dont le français. Un voucher électronique sera remis aux candidat(e)s afin de s’enregistrer en ligne sur le portail de (ISC)².
L’examen a une durée de trois (3) heures et se décline en un QCM de 100-150 couvrant les huit domaines suivants du CBK® :
- Domaine 1 : Gestion de la sécurité et des risques pour 15%
- Domaine 2 : La sécurité des actifs informationnels pour 10%
- Domaine 3 : Ingénierie de la sécurité pour 13%
- Domaine 4 : Sécurité des réseaux et des communications pour 13%
- Domaine 5 : Gestion des identités et des accès pour 13%
- Domaine 6 : Évaluation de la sécurité et tests pour 12%
- Domaine 7 : Sécurité opérationnelle pour 13%
- Domaine 8 : Sécurité du développement logiciel pour 11%
La note de réussite à l’examen est fixée à 70%, soit, 700 points sur 1000.
Il est à noter que les candidat(e)s devront passer leur examen dans un centre agréé Pearson Vue.
Chaque formateur dispose de nombreuses années d’expérience dans la sécurité de l’information et dans le domaine de la gouvernance IT. Cette formation apportera aux candidat(e)s des :
- Présentations illustrées par des cas concrets issus des missions de notre formateur ;
- Exercices pratiques comprenant des exemples et des discussions ;
- Séries de question-réponse basées sur des questions d’examen, avec explication des réponses ;
- Tests pratiques et similaires à l’examen de certification.
Pour renforcer l’acquisition des connaissances, les participant(e)s disposeront des éléments suivants :
- Le support de cours intégral, version physique et/ou numérique ;
- Le manuel officiel (ISC)², CISSP® Study Guide 9th Edition ;
- D’un voucher électronique pour (ISC)², CISSP® Official Practice Tests, 3rd Edition ;
- D’un coaching post-formation pendant 30 jours ;
- Et de 35 CPE.
Introduction et vue d’ensemble de la certification CISSP®
Domaine 1 : Gestion de la sécurité et des risques -15%-
- Concepts de confidentialité, intégrité et disponibilité
- Principes de gouvernance de la sécurité
- Conformité
- Questions légales et réglementaires concernant la sécurité de l’information
- Éthique professionnelle
- Politique de sécurité, les standards, les procédures et les guidelines
- Exigences de continuité d’activité
- Politiques de sécurité du personnel
- Concepts de management des risques
- Modèle de menace
- Considérations de risque de sécurité dans la stratégie d’acquisition
- Sensibilisation, la formation et l’éducation à la sécurité de l’information
Domaine 2 : La sécurité des actifs informationnels -10%-
- Classification de l’information et des actifs informationnels
- Maintien de la propriété des systèmes et des actifs
- Protection des informations personnelles
- Rétention appropriée
- Contrôles de sécurité des données
- Exigences en matière de manipulation
Domaine 3 : Ingénierie de la sécurité -13%-
- Processus d’engineering et principes de conception sécurisée
- Concepts fondamentaux des modèles de sécurité
- Sélection des contrôles basée sur les exigences de sécurité des systèmes
- Modèles d’évaluation de la sécurité
- Évaluation et réduction des vulnérabilités de sécurité dans les systèmes basés sur le web
- Évaluation et réduction des vulnérabilités de sécurité dans les systèmes mobiles
- Évaluation et réduction des vulnérabilités de sécurité dans les systèmes embarqués
- Cryptographie
- Application des principes de sécurité à la conception des sites et des moyens généraux
- Mise en œuvre des contrôles pour la sécurité physique
Domaine 4 : Sécurité des réseaux et des communications -13%-
- Principes de conception sécurisée des architectures réseau
- Sécurisation des composants réseau
- Mise en œuvre de canaux de communication sécurisés
- Attaques réseaux
Domaine 5 : Gestion des identités et des accès -13%-
- Contrôles d’accès logiques et physiques aux actifs informationnels
- Identification et authentification des personnes, des équipements et des services
- Intégration de l’identité comme service tiers
- Mise en œuvre et gestion des mécanismes d’autorisation
- Cycle de vie de la fourniture des identités et des accès
Domaine 6 : Évaluation de la sécurité et des tests -12%-
- Conception et validation des stratégies d’évaluation, de test et d’audit
- Test des contrôles de sécurité
- Collecte des données des processus de sécurité
- Analyse des résultats des tests et production des rapports
- Conduite et réalisation d’un audit de sécurité
Domaine 7 : Sécurité opérationnelle -13%-
- Compréhension et support des investigations
- Exigences liées à chaque type d’investigation
- Activités de surveillance et d’enregistrement
- Fourniture sécurisée des ressources
- Concepts fondamentaux des opérations de sécurité
- Techniques de protection des ressources
- Gestion des incidents
- Mesures de prévention et de détection
- Gestion des vulnérabilités et des patchs
- Mise en œuvre des stratégies de reprise
- Mise en œuvre de processus de reprise après sinistre
- Tests des plans de reprise après sinistre
- Participation à la planification et aux exercices de continuité d’activité
- Sécurité physique
- La sécurité des personnes
Domaine 8 : Sécurité du développement logiciel -11%-
- La sécurité dans le cycle de vie du développement logiciel (SDLC)
- Les mesures de sécurité dans environnements de développement
- Évaluation de l’efficacité de la sécurité logicielle
- Évaluation de l'impact des logiciels acquis sur la sécurité
- Normes et directives de codage sécurisé
Examen blanc
- Examen blanc en condition réelle
- Correction analytique de l’examen
- Techniques à suivre pour réussir son examen
Conclusion
- Synthèse des cinq (5) jours écoulés
- Tour de table à travers une session de questions / réponses