A l’issue de cette formation dispensée par un formateur agréé (ISC)², vous devrez être capable de valider les objectifs de compétences suivants :

• Connaître les différents domaines du CBK (Common Body of Knowledge) défini par l'ISC2;
• Obtenir les connaissances fondamentales concernant la sécurité et gestion des risques, sécurité des actifs, architecture et ingénierie de la sécurité, communication et sécurité des réseaux, gestion des identités et des accès (IAM), évaluation et test de la sécurité, opérations de sécurité, sécurité du développement logiciel.

Domaine 1 : La Sécurité et la Gestion des Risques
1.1 Comprendre, respecter et promouvoir l’éthique professionnelle,
1.2 Comprendre et appliquer les concepts de sécurité,
1.3 Évaluer et appliquer les principes de gouvernance de la sécurité,
1.4 Déterminer la conformité et les autres exigences,
1.5 Comprendre les questions juridiques et réglementaires relatives à la sécurité de l’information dans un contexte historique,
1.6 Comprendre les exigences relatives aux types d’enquêtes (c.-à-d. normes administratives, criminelles, civiles, réglementaires, industrielles),
1.7 Élaborer, documenter et mettre en œuvre une politique, des normes, des procédures et des lignes directrices en matière de sécurité,
1.8 Déterminer, analyser et prioriser les exigences en matière de continuité des activités (BC),
1.9 Contribuer aux politiques et procédures de sécurité du personnel et les appliquer
1.10 Comprendre et appliquer les concepts de gestion des risques,
1.11 Comprendre et appliquer les concepts et les méthodologies de modélisation des menaces,
1.12 Appliquer les concepts de gestion des risques de la chaîne d’approvisionnement
1.13 Établir et maintenir un programme de sensibilisation, d’éducation et de formation en matière de sécurité,

Domaine 2 : La Sécurité des Actifs
2.1 Identifier et classifier l’information et les actifs
2.2 Établir les exigences en matière de traitement de l’information et des actifs
2.3 Identifier et classifier l’information et les actifs
2.4 Établir les exigences en matière de traitement de l’information et des actifs
2.5 Mise à disposition sécurisée des ressources
2.6 Gérer le cycle de vie des données
2.7 Assurer une rétention appropriée des actifs (p. ex., fin de vie, fin de support (EOS)
2.8 Déterminer les contrôles de sécurité des données et les exigences de conformité

Domaine 3 : Architecture et Ingénierie de Sécurité
3.1 Rechercher, mettre en œuvre et gérer des processus d’ingénierie à l’aide de principes de conception sécurisés
3.2 Comprendre les concepts fondamentaux des modèles de sécurité (p. ex., Biba, Star Model, Bell-LaPadula)
3.3 Sélectionner les contrôles en fonction des exigences de sécurité des systèmes
3.4 Comprendre les capacités de sécurité des systèmes d’information (SI) (p. ex., protection de la mémoire, module de plateforme sécurisée (TPM), chiffrement / déchiffrement)
3.5 Évaluer et atténuer les vulnérabilités des architectures, des conceptions et des éléments de solution de sécurité
3.6 Sélectionner et déterminer les solutions cryptographiques
3.7 Comprendre les méthodes d’attaques cryptanalytiques
3.8 Appliquer les principes de sécurité à la conception des sites et des installations
3.9 Concevoir les contrôles de sécurité du site et de l’installation

Domaine 4 : La Sécurité des Communications et des Réseaux
4.1 Évaluer et mettre en œuvre les principes de conception sécurisée dans les architectures de réseau
4.2 Composants réseau sécurisés
4.3 Mettre en œuvre des canaux de communication sécurisés conformément à la conception

Domaine 5: La Gestion des Identités et des Accès
5.1 Contrôler l’accès physique et logique aux biens
5.2 Gérer l’identification et l’authentification des personnes, des appareils et des services
5.3 Identité fédérée avec un service tiers
5.4 Mettre en œuvre et gérer les mécanismes d’autorisation
5.5 Contrôler l’accès physique et logique aux biens
5.6 Gérer l’identification et l’authentification des personnes, des appareils et des services
5.7 Identité fédérée avec un service tiers
5.8 Mettre en œuvre et gérer les mécanismes d’autorisation
5.9 Gérer le cycle de vie du provisionnement des identités et des accès
5.10 Mettre en œuvre des systèmes d’authentification

Domaine 6 : L'évaluation et les Tests de Sécurité
6.1 Concevoir et valider des stratégies d’évaluation, de mise à l’essai et de vérification
6.2 Effectuer des tests de contrôle de sécurité
6.3 Recueillir des données sur les processus de sécurité (p. ex., techniques et administratives) 6.4 Analyser les résultats des tests et générer un rapport
6.5 Effectuer ou faciliter des vérifications de sécurité

Domaine 7 : Les Opérations de Sécurité
7.1 Comprendre les enquêtes et s’y conformer
7.2 Mener des activités de journalisation et de surveillance
7.3 Effectuer la gestion de la configuration (CM) (par exemple, provisionnement, référence, automatisation)
7.4 Appliquer les concepts fondamentaux des opérations de sécurité
7.5 Appliquer la protection des ressources
7.6 Effectuer la gestion des incidents
7.7 Appliquer et maintenir des mesures de détection et de prévention

Domaine 8 : La Sécurité du Développement Logiciel
8.1 Comprendre et intégrer la sécurité dans le cycle de vie du développement logiciel (SDLC)
8.2 Identifier et appliquer des contrôles de sécurité dans les écosystèmes de développement logiciel
8.3 Évaluer l’efficacité de la sécurité logicielle
8.4 Évaluer l’impact sur la sécurité des logiciels acquis
8.5 Définir et appliquer les lignes directrices et des normes de codages sécurisés

Le CISSP est idéal pour les professionnels, les managers/directeurs et les cadres expérimentés de la sécurité qui souhaitent prouver leurs connaissances sur un large éventail de pratiques et de principes de sécurité, y compris ceux qui occupent les postes suivants :

• Responsable de la sécurité des systèmes l’information (RSSI)
• Directeur de la sécurité
• Directeur/Responsable IT
• Ingénieur Systèmes de Sécurité
• Analyste de sécurité
• Responsable de la sécurité
• Auditeur de sécurité
• Architecte de sécurité
• Consultant en sécurité
• Architecte réseau

• Une maîtrise des bases en réseaux, systèmes d'exploitation et pratiques de sécurité de l'information ;
• Une connaissance élémentaire des normes d'audit ainsi que des standards internationaux en gestion de la continuité des activités ;
• Savoir lire et écrire l’anglais pour passer l’examen