(ISC)2 Guide de certification : Aperçu et parcours de carrière

The International Information Systems Security Certification Consortium, Inc., ou (ISC) 2, généralement prononcé « eye-ess-cee au carré », est une organisation à but non lucratif très respectée qui fournit une éducation liée à la sécurité et des certifications neutres vis-à-vis des fournisseurs. (ISC) 2 a été formé en 1989 en tant que consortium entre le Groupe d’intérêt Spécial pour la sécurité informatique (SIG-CS) et plusieurs autres organisations dont l’objectif était de normaliser un programme de certification de sécurité neutre pour les fournisseurs. Aujourd’hui, (ISC) 2 est basée aux États-Unis avec des bureaux à Londres, Hong Kong et Rio de Janeiro avec des membres de plus de 160 pays. Le cœur de chaque programme de certification (ISC)2 est son Corpus commun de connaissances (CBK), qui est un cadre pour définir les normes de l’industrie et les principes de sécurité.

(ISC)2 Aperçu du programme de certification

Le programme de certification (ISC)2 offre six informations d’identification de sécurité de base:

  • Praticien Certifié de la Sécurité des Systèmes (SSCP)
  • Professionnel Certifié de la Sécurité des Systèmes d’Information (CISSP)
  • Professionnel Certifié de l’Autorisation (CAP)
  • Professionnel Certifié du Cycle de Vie des Logiciels Sécurisés (CSSLP)
  • Praticien de la Sécurité de l’Information et de la Confidentialité des Soins de Santé (HCISPP)
  • Professionnel Certifié de la Sécurité du Cloud (CCSP)

Les détenteurs d’informations d’identification CISSP peuvent se spécialiser davantage et obtenir les certifications suivantes:

  • Professionnel de l’Architecture de Sécurité des Systèmes d’Information (CISSP-ISSAP)
  • Professionnel de l’Ingénierie de la Sécurité des Systèmes d’Information (CISSP-ISSEP)
  • Professionnel de la Gestion de la Sécurité des Systèmes d’Information (CISSP-ISSMP)

Les professionnels de l’Informatique qui ne sont pas en mesure de répondre aux exigences de travail peuvent se qualifier pour l’Associé de (ISC) 2.

Un titre de compétence (ISC)2 absent de la liste des certificats disponibles cette année est le professionnel en cyber-criminalistique certifié (CCFP). Cette accréditation deviendra inactive en août. 21, 2020. Les titres de compétence existants resteront valides jusqu’à cette date, mais aucun nouveau titre de compétence du CCFP ne sera délivré entre-temps.

L’organisation est peut-être mieux connue pour ses titres de compétences CISSP de premier plan. Sur les quelque 125 000 certifications que (ISC)2 a accordées à des professionnels du monde entier, la majorité de ces certifications concernent le titre de compétence CISSP.

Une échelle de certification typique (ISC) 2 commence par la certification SSCP. Si vous réussissez l’examen SSCP mais que vous n’avez pas l’expérience de travail requise, vous obtenez le titre d’associé de (ISC) 2. (Il en va de même si vous réussissez les examens CAP, CSSLP, CCFP, HCISSP, CCSP ou CISSP et que vous n’avez pas l’expérience de travail requise.) Cependant, les candidats qui obtiennent le SSCP passent généralement au CISSP, puis se spécialisent en architecture de sécurité (CISSP-ISSAP), en ingénierie de sécurité (CISSP-ISSEP) ou en gestion de la sécurité (CISSP-ISSMP).

(ISC)Les certifications 2 sont considérées comme des boosters de carrière et peuvent être rentables financièrement. Dans l’Étude Mondiale sur la main-d’œuvre en sécurité de l’information 2015 (ISC) 2, (ISC) 2 a indiqué que ses membres gagnaient en moyenne 35% de plus que leurs homologues non certifiés. L’étude mondiale sur la main-d’œuvre en sécurité de l’information 2017 (ISC) 2 indique que les professionnels de la sécurité en Amérique du Nord gagnent en moyenne 120 000 $ par an et que 40% des travailleurs de moins de 35 ans gagnent des salaires supérieurs à 100 000 $. Ajoutez à cela le faible taux de chômage (seulement 1 à 2%) des professionnels de la sécurité, et la demande de certification (ISC) 2 devrait rester solide. L’étude de la main-d’œuvre de 2017 fournit également un aperçu de la croissance prévue, des industries qui devraient connaître le plus de croissance, ainsi qu’une analyse de ce que les vrais gestionnaires d’embauche recherchent en termes d’expérience et de compétences (techniques et non techniques) lors de l’embauche. Si vous êtes intéressé par un changement de carrière ou simplement intéressé à explorer ce qui peut être disponible, cette étude vaut la peine d’être lue.

L’enquête informelle sur le job board que nous avons réalisée pour notre article Best Information Security Certifications for 2018 indique plus de 38 000 offres d’emploi (un instantané d’une seule journée) dans lesquelles les employeurs préfèrent ou exigent la certification CISSP, et ces chiffres sont restés élevés au cours des dernières années. Considérant que le manque attendu de professionnels qualifiés de la sécurité de l’information pourrait atteindre 1.8 millions (dans le monde) d’ici 2022 (un manque à gagner de plus de 350 000 en Europe seulement), une certification (ISC) 2 semble de plus en plus pertinente pour les professionnels de l’informatique intéressés, sinon un ticket direct pour un emploi permanent et intéressant.

Associé de (ISC) 2

Le titre associé de (ISC) 2 est destiné aux professionnels qui entrent dans le domaine de la sécurité (pensez aux étudiants et aux personnes qui changent de carrière) mais qui n’ont pas encore les années d’expérience requises pour obtenir une certification complète (ISC) 2.

Pour être admissible à l’associé de (ISC)2, vous devez:

  1. Abonnez-vous au Code d’éthique (ISC)2
  2. Passez l’examen de certification SSCP, CAP, CISSP, CSSLP, HCISPP ou CCSP

Pour maintenir le titre d’associé de (ISC)2, vous devrez payer des frais de maintien annuels (actuellement 35 $) et obtenir 15 crédits de formation professionnelle continue (CPE) par année.

Praticien Certifié en Sécurité des Systèmes (SSCP)

De nombreux professionnels de la sécurité commencent leur carrière en obtenant la certification de Praticien certifié en sécurité des Systèmes (SSCP). Le SSCP reconnaît les candidats qui comprennent les concepts de sécurité fondamentaux, savent utiliser les outils de sécurité de base et peuvent surveiller les systèmes et maintenir des contre-mesures pour prévenir les incidents de sécurité.

Pour être admissible à l’accréditation SSCP, vous devez:

  1. Avoir au moins une année d’expérience de travail pertinente dans un ou plusieurs domaines du Corps commun des connaissances (CBK) du SSCP
  2. Obtenir un score minimum de 700 points à l’examen de certification
  3. S’abonner au Code d’éthique (ISC)2
  4. Remplir un formulaire d’approbation de candidature et le faire approuver par un membre (ISC)2

Les candidats titulaires d’un baccalauréat ou d’une maîtrise en cybersécurité ou autres pré-requis – disciplines approuvées (telles que l’informatique, le génie informatique, l’ingénierie des systèmes, les Systèmes d’information de gestion – MIS, ou l’information Technologie – TI), peut être admissible à la voie préalable à l’accréditation. La voie préalable permet aux candidats de substituer certaines voies de diplôme à l’exigence d’expérience.

Les informations d’identification SSCP intègrent les domaines CBK suivants:

  • Contrôles d’accès
  • Opérations de sécurité et administration
  • Identification, Surveillance et Analyse des risques
  • Intervention et Récupération en cas d’incident
  • Cryptographie
  • Sécurité des Réseaux et des Communications
  • Sécurité des Systèmes et des applications

Les informations d’identification SSCP sont valides pendant trois ans. Vous pouvez le renouveler en obtenant 60 crédits de formation professionnelle continue (CPE) au cours de la période de trois ans (20 crédits de CPE requis chaque année). Vous devez également payer des frais de maintenance annuels de 65 $.

(ISC)2 publiera un nouvel examen SSCP en novembre. 1, 2018. Au moment de la rédaction de cet article, le plan d’examen n’a pas encore été finalisé, mais le Plan de contenu détaillé (DCO) est actuellement disponible et peut fournir des conseils sur ce que les candidats peuvent s’attendre à voir lors du nouvel examen.

Professionnel Certifié de la Sécurité des Systèmes d’Information (CISSP)

Le Professionnel Certifié de la Sécurité des Systèmes d’Information (CISSP) reconnaît les professionnels qui peuvent concevoir, concevoir, gérer et contrôler la sécurité d’une organisation. De nombreux professionnels de la sécurité informatique considèrent le CISSP comme la certification la plus souhaitable de l’industrie, mais cet honneur nécessite beaucoup d’expérience et d’efforts.

Pour être admissible au titre de CISSP, vous devez:

  1. Avoir au moins cinq ans d’expérience de travail pertinente à temps plein dans deux domaines CBK du CISSP ou plus. (ISC) 2 permet aux candidats qui possèdent un diplôme collégial de quatre ans (ou l’équivalent) ou un titre de compétence approuvé du parcours préalable du CISSP de remplacer une année de l’exigence d’expérience.
  2. Obtenez un score minimum de 700 à l’examen de certification, qui contient 250 questions et dure six heures
  3. Abonnez-vous au Code d’éthique (ISC)2
  4. Remplissez un formulaire d’approbation de candidature et faites-le approuver par un membre (ISC)2

Le titre de compétence du CISSP intègre les huit domaines CBK suivants:

  • Gestion de la Sécurité et des Risques
  • Sécurité des actifs
  • Ingénierie de la Sécurité
  • Sécurité des Communications et des Réseaux
  • Gestion des Identités et des Accès (IAM)
  • Évaluation et tests de sécurité
  • Opérations de sécurité
  • Sécurité du Développement logiciel

(ISC)2 lance un nouvel examen CISSP le 15 avril 2018. Chaque examen (avant et après le 15 avril) a son propre aperçu du contenu de l’examen, donc si vous prévoyez de tester le CISSP, vous voudrez être certain de télécharger le bon aperçu de l’examen. Après le 15 avril, le domaine de l’Ingénierie de la Sécurité deviendra Architecture et Ingénierie de la Sécurité.

Le titre de compétence CISSP est valide pour trois ans. Vous pouvez le renouveler en obtenant 120 crédits de formation professionnelle continue (CPE) avant l’expiration de la certification (ou la reprise de l’examen), dont 40 doivent être obtenus chaque année. Des frais de maintenance annuels sont également requis.

Concentrations de CISSP

Avec les informations d’identification de CISSP en main, vous pouvez vous diviser en une ou plusieurs concentrations:

  • Professionnel de l’Architecture de la Sécurité des Systèmes d’Information (CISSP-ISSAP)
  • Professionnel de l’Ingénierie de la Sécurité des Systèmes d’Information (CISSP-ISSEP)
  • Professionnel de la Gestion de la Sécurité des Systèmes d’Information (CISSP-ISSMP)

Chaque concentration du CISSP exige des candidats un minimum de deux ans d’expérience pertinente en sécurité dans le domaine respectif (architecture, ingénierie ou gestion). De plus, les candidats doivent conserver leurs titres de compétences existants du PCIS.

Le CISSP-ISSAP s’adresse aux architectes ou analystes en chef de la sécurité. Il couvre six domaines CBK :

  • Architecture de Gestion des Identités et des Accès
  • Architecture des Opérations de Sécurité
  • Sécurité de l’Infrastructure
  • Architecte pour la Gouvernance, la Conformité et la Gestion des Risques
  • Modélisation de l’Architecture de sécurité
  • Architecte pour la Sécurité des applications

Le CISSP-ISSEP se concentre sur l’ingénierie de la sécurité des systèmes, dans laquelle la sécurité est définie et intégrée dans les systèmes d’information, les processus métier, etc. (ISC) 2 publiera un nouvel examen le 15 mars 2018. L’examen avant le 15 mars couvre quatre domaines CBK:

  • Ingénierie de la Sécurité des Systèmes (SSE)
  • Certification et accréditation (C&A) / Cadre de Gestion des Risques (RMF)
  • Gestion technique
  • Politiques et émissions liées à la Garantie de l’information du gouvernement américain

Après le 15 mars 2018, l’examen CISSP-ISSEP intègre les cinq domaines suivants:

  • Principes d’Ingénierie de la sécurité
  • Gestion des risques
  • Planification, Conception et mise en œuvre de la sécurité
  • Exploitation, Maintenance et Élimination sécurisées
  • Ingénierie des systèmes Gestion technique

Le CISSP-ISSMP s’adresse aux professionnels de la gestion de la sécurité à l’échelle de l’entreprise. Comme pour le CISSP-ISSEP, (ISC)2 publiera un nouvel examen pour le CISSP-ISSMP en 2018. La sortie du nouvel examen CISSP-ISSMP est prévue pour le 15 mai 2018. Avant le 15 mai, les informations d’identification intègrent cinq domaines CBK:

  • Direction et gestion de la Sécurité
  • Gestion du Cycle de vie de la Sécurité
  • Gestion de la Conformité de la Sécurité
  • Gestion des contingences
  • Gestion du Droit, de l’éthique et des incidents

Après le 15 mai 2018, les informations d’identification intègrent les domaines suivants:

  • Gestion du leadership et de l’entreprise
  • Gestion du cycle de vie des systèmes
  • Gestion des risques
  • Gestion des renseignements sur les menaces et des incidents
  • Gestion des contingences
  • Gestion de la conformité au droit, à l’éthique et à la sécurité

Certified Authorization Professional (CAP)

La certification Certified Authorization Professional (CAP) identifie les propriétaires de systèmes d’entreprise et les agents de sécurité qui autorisent et entretiennent les systèmes d’information, en mettant l’accent sur l’équilibre entre les risques et les exigences de sécurité et contre-mesures. Le titre de CAP s’adresse aux secteurs privé et public, y compris les agences du gouvernement fédéral américain telles que le Département d’État et le Département de la Défense (DoD). L’obtention de la certification aide le personnel du DoD à se conformer au mandat 8570.

Pour être admissible au titre de CAP, vous devez:

  1. Avoir au moins deux ans d’expérience dans un ou plusieurs domaines du CAP CBK (cette expérience doit être rémunérée à temps plein)
  2. Obtenir un score minimum de 700 points à l’examen de certification
  3. S’abonner au Code d’éthique (ISC)2
  4. Remplir un formulaire d’approbation de candidature et le faire approuver par un membre (ISC)2

(ISC)2 recommande que les candidats au CAP aient expérience en sécurité informatique, administration de systèmes, assurance de l’information, gestion des risques, développement de bases de données ou de systèmes et politique de sécurité de l’information. Une expérience en audit est un plus, tout comme une expérience dans la documentation du National Institute of Standards and Technology (NIST).

Les informations d’identification CAP intègrent les domaines CBK suivants :

  • Cadre de Gestion des Risques (RMF)
  • Catégorisation des Systèmes d’Information
  • Sélection des Contrôles de Sécurité
  • Implémentation des Contrôles de Sécurité
  • Évaluation des Contrôles de Sécurité
  • Autorisation du Système d’Information
  • Surveillance des Contrôles de Sécurité

Comme les autres certifications (ISC)2, les informations d’identification CAP sont valides pour trois ans. Vous pouvez le renouveler en réussissant à nouveau l’examen de certification ou en obtenant 60 crédits de formation professionnelle continue (CPE) avant l’expiration de la certification (un minimum de 20 CPE est requis chaque année du cycle de renouvellement). Des frais d’entretien annuels de 35 $ sont également requis.

Certified Secure Software Lifecycle Professional (CSSLP)

Les développeurs de logiciels qui s’intéressent à la cybersécurité et aux vulnérabilités des applications devraient consulter la certification Certified Secure Software Lifecycle Professional (CSSLP). Ce titre d’identification reconnaît la maîtrise de la sécurité des applications Web et du cycle de vie du développement logiciel (SDLC).

Pour être admissible à l’accréditation CSSLP, vous devez :

  1. Avoir au moins quatre ans d’expérience professionnelle dans le cycle de vie du développement logiciel (SDLC) qui comprend un ou plusieurs domaines CBK CSSLP. Les candidats ayant un diplôme de quatre ans ou l’équivalent peuvent remplacer l’éducation par une expérience d’un an
  2. Obtenir un score minimum de 700 points à l’examen de certification
  3. S’abonner au Code d’éthique (ISC)2
  4. Remplir un formulaire d’approbation de candidature et le faire approuver par un membre (ISC)2

Le titre de compétence du CSSLP intègre les domaines CBK suivants:

  • Concepts Logiciels Sécurisés
  • Exigences Logicielles Sécurisées
  • Conception de Logiciels Sécurisés
  • Implémentation/ Programmation de Logiciels Sécurisés
  • Tests Logiciels Sécurisés
  • Gestion du Cycle de Vie des Logiciels Sécurisés
  • Déploiement, Exploitation et Maintenance de Logiciels
  • Chaîne d’approvisionnement&Acquisition de Logiciels

Les titres de compétence du PFSSC doivent être renouvelés tous les trois ans. Pour maintenir le titre de compétence, vous devrez obtenir 90 crédits de formation professionnelle continue (CPE) au cours de la période de trois ans (un minimum de 30 CPE est requis chaque année du cycle de renouvellement de trois ans). Des frais de maintenance annuels sont également requis.

HealthCare Information Security and Privacy Practitioner (HCISPP)

Le programme de certification HealthCare Information Security and Privacy Practitioner (HCISPP) s’adresse aux employés et aux consultants qui maintiennent la sécurité des informations de santé, un domaine en forte croissance aujourd’hui. Avec un HCISPP, vous avez démontré des compétences dans la mise en œuvre, la gestion ou l’évaluation de contrôles et de contre-mesures qui protègent la confidentialité des données médicales.

Pour être admissible à l’accréditation HCISPP, vous devez :

  1. Avoir au moins deux ans d’expérience dans l’un des domaines CBK HCISPP qui comprend la sécurité, la conformité et la confidentialité; une expérience juridique peut remplacer une expérience de conformité et une expérience de gestion de l’information peut remplacer une expérience de confidentialité; une année d’expérience doit être dans l’industrie de la santé
  2. Atteindre un score minimum de 700 points à l’examen de certification
  3. S’abonner au Code d’éthique (ISC)2
  4. Remplir un formulaire d’approbation de candidature et le faire approuver par un membre (ISC)2

Le titre de compétence HCISPP intègre les domaines CBK suivants:

  • Industrie des soins de santé
  • Environnement réglementaire
  • Confidentialité et sécurité dans les soins de santé
  • Gouvernance de l’information et gestion des risques
  • Évaluation des risques liés à l’information
  • Gestion des risques par des tiers

Les titres de compétences du HCISPP doivent être renouvelés tous les trois ans en obtenant 60 crédits de formation professionnelle continue (CPE) (20 crédits CPE sont requis chaque année du cycle de renouvellement) avant l’expiration de la certification. Des frais de maintenance annuels sont également requis.

Certified Cloud Security Professional (CCSP)

Le Certified Cloud Security Professional (CCSP) est pris en charge par (ISC)2 et la Cloud Security Alliance (CSA). Les informations d’identification s’adressent aux professionnels travaillant avec la technologie cloud pour s’assurer que les données sont non seulement sûres, mais aussi que les risques de sécurité sont identifiés et que des stratégies d’atténuation pour y faire face sont fermement en place. Les informations d’identification sont généralement détenues par des personnes possédant des compétences avancées, telles que des architectes d’entreprise ou de sécurité, des administrateurs de sécurité ou des ingénieurs système.

Pour être admissible à l’accréditation CCSP, vous devez:

  1. Posséder un minimum de cinq ans d’expérience en technologie de l’information à temps plein; Dont trois ans doivent être en sécurité de l’information et au moins un an dans l’un des domaines CCSP CBK
    • Le certificat CCSK de Cloud Security Alliance peut remplacer une année d’expérience dans le domaine
    • (ISC)2 Renonce à l’ensemble de l’exigence d’expérience pour ceux qui détiennent le titre de compétence CISSP
  2. Atteindre un score minimum de 700 points à l’examen de certification
  3. S’abonner au Code d’éthique (ISC)2
  4. Remplissez un formulaire d’approbation de demande et faites-le endosser par un membre (ISC)2

Le titre de compétence CCSP comprend les connaissances suivantes domaines :

  • Concepts architecturaux et Exigences de conception
  • Sécurité des données dans le Cloud
  • Sécurité de la Plate-forme et de l’Infrastructure dans le Cloud
  • Sécurité des applications dans le Cloud
  • Opérations
  • Juridique et conformité

Les informations d’identification CCSP doivent être renouvelées tous les trois ans. Pour renouveler, les candidats doivent obtenir 90 crédits de formation professionnelle continue (CPE) (30 crédits CPE sont requis pour chaque année du cycle de renouvellement) avant l’expiration de la certification. Des frais de maintenance annuels sont également requis.

Le rôle de (ISC)2 dans la communauté Infosec

La vision de (ISC)2 est d' » inspirer un cyber-monde sûr et sécurisé. » La mission de l’organisation appuie sa vision en mettant l’accent sur la certification, l’accès aux ressources et le leadership.

L’une des façons dont (ISC)2 s’acquitte de sa mission est le Congrès sur la sécurité (ISC)2, un événement annuel qui tourne autour de l’éducation et des opportunités de réseautage pour les professionnels de la cybersécurité. De manière plus continue, les membres sont encouragés à partager leurs connaissances sur la sécurité et à s’engager dans un réseautage professionnel en participant aux chapitres (ISC) 2. Vous pouvez trouver des chapitres existants répartis dans le monde entier, ou (ISC) 2 vous aidera à en créer un dans votre région.

Chaque année, (ISC)2 offre plusieurs prix de leadership. Le programme GISLAs (Government Information Security Leadership Awards) en est un exemple. Le GISLA reconnaît des leaders et des professionnels de la sécurité de l’information fédéraux exceptionnels qui ont contribué à « des améliorations significatives dans la posture de sécurité d’un ministère, d’un organisme ou de l’ensemble du gouvernement fédéral. » Le programme Americas Information Security Leadership Awards (ISLA) honore les professionnels de la sécurité et de la gestion publics ou privés qui font preuve d’un leadership et de réalisations exceptionnels. Les récipiendaires sont généralement des travailleurs de la sécurité chevronnés ayant au moins cinq ans d’expérience dans leur domaine, bien que le prix Professionnel de la sécurité de l’information soit décerné à une « étoile montante » dans le domaine de la sécurité de l’information.

Parce que (ISC)2 est une question de sécurité, il est prudent de supposer que tout poste nécessitant une certification (ISC)2 signifie que le candidat est responsable de certaines facettes de la sécurité informatique, en tout ou en partie.

Au niveau d’entrée, les professionnels avec un SCCP travaillent généralement en tant qu’administrateurs réseau, administrateurs systèmes, spécialistes de la sécurité ou consultants en sécurité. Ceux qui ont un CISSP sont le plus souvent embauchés en tant qu’analystes de sécurité et ingénieurs en systèmes de sécurité. Cependant, le CISSP est une certification large avec des exigences d’expérience élevées, de sorte que vous pouvez trouver des CISSP travaillant en tant que responsables de la sécurité, consultants, directeurs informatiques, directeurs de la sécurité de l’information (CISO), auditeurs et architectes de réseau. Ceux qui autorisent les systèmes et évaluent les risques – ce qui est une combinaison commune au sein du DoD – devraient envisager la certification de la PAC.

Les autres certifications (ISC) 2 sont plus étroitement orientées vers des rôles de sécurité spécifiques. Par exemple, le CCSP reconnaît les administrateurs de sécurité, les ingénieurs et les architectes qui conçoivent ou entretiennent des environnements cloud, les développeurs de logiciels spécialisés dans la sécurité devraient se tourner vers le CSSLP.

(ISC)2Formation et ressources

La page Web de chaque certification comprend une section d’information sur l’examen, qui répertorie les outils d’étude pour cette certification particulière. Vous trouverez des liens vers le plan de l’examen, le guide officiel (ISC) 2 sur le CBK de la certification, des séminaires de formation, des options d’apprentissage en ligne et des cartes mémoire interactives. (ISC) 2 offre des séminaires de formation CBK en classe, en ligne en direct, à la demande et sur place, tous enseignés par des instructeurs approuvés (ISC) 2.

De nombreux tiers proposent également des cours de formation et des camps d’entraînement pour la préparation à la certification (ISC) 2, dont certains sont de haute qualité tandis que d’autres ne sont pas tout à fait à la hauteur. Étudiez attentivement vos options si vous optez pour une formation qui n’est pas jugée « officielle » par (ISC) 2.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *