Les entreprises américaines et le gouvernement américain tirent la sonnette d’alarme en matière de cybersécurité depuis des années : Il y a une pénurie importante de professionnels qualifiés en sécurité de l’information dans ce pays. Bien que les chiffres varient selon les différentes sources, on peut affirmer sans risque de se tromper que l’Amérique du Nord manque de près de 500 000 professionnels de la sécurité (en 2018), et que la pénurie mondiale pour ces emplois devrait atteindre 4 millions ou plus d’ici 2021.
Presque chaque jour, environ 10 000 postes sont disponibles sur les sites d’emploi américains qui demandent un professionnel certifié en sécurité des systèmes d’information (CISSP). Cela indique clairement un besoin de travailleurs qualifiés en infosec, et de CISSP en particulier, ce qui est une excellente nouvelle pour les aspirants CISSP.
Un CISSP est un employé ou un consultant chevronné, portant généralement un titre tel que responsable de la sécurité, analyste de la sécurité ou responsable de la sécurité de l’information, pour n’en citer que quelques-uns. Cette personne est en poste depuis cinq ans ou plus et possède une connaissance approfondie du paysage des menaces informatiques, notamment des menaces persistantes émergentes et avancées, ainsi que des contrôles et des technologies permettant de minimiser les surfaces d’attaque.
Un CISSP crée également des politiques qui établissent un cadre pour des contrôles appropriés, et peut effectuer ou superviser la gestion des risques et la sécurité du développement de logiciels.
Voici ce dont vous aurez besoin pour devenir un CISSP par le biais de (ISC)2:
- Assurer cinq années d’expérience professionnelle en sécurité : Vous devez pouvoir justifier de cinq années d’expérience professionnelle rémunérée à temps plein dans au moins deux des huit domaines CISSP CBK (Common Body of Knowledge), à savoir la sécurité et la gestion des risques, la sécurité des actifs, l’ingénierie de la sécurité, la sécurité des communications et des réseaux, la gestion des identités et des accès, l’évaluation et les tests de sécurité, les opérations de sécurité et la sécurité du développement logiciel. L’expérience sur le terrain est cruciale pour l’examen et le processus de certification.
- Préparation et réussite de l’examen CISSP : Passez l’examen CISSP avec un score minimum de 700 sur 1 000. L’examen dure six heures et comprend un mélange de questions à choix multiples et de questions innovantes avancées. Il coûte 699 dollars. La page Web (ISC)2 CISSP propose de télécharger le plan de l’examen ainsi qu’un lien vers une application d’étude (disponible sur l’App Store et Google Play pour environ 10 dollars), un guide d’étude, des tests pratiques et une multitude d’autres aides à la préparation de l’examen. Vous pouvez également vous procurer le manuel officiel et tester vos connaissances avec les CISSP Flash Cards. Si vous avez besoin de plus que du matériel d’auto-apprentissage, (ISC)2 et de nombreux tiers proposent des formations CISSP en classe et en ligne. Les coûts de la formation varient considérablement, mais le cours en ligne à progression autonome coûte 2 795 $ chez (ISC)2. Les formations en salle de classe coûtent nettement plus cher. Avant de programmer votre examen avec Pearson VUE, passez en revue les qualifications de base, qui pourraient vous exclure de l’examen.
- D’obtenir l’aval pour devenir CISSP : Une fois que vous aurez passé l’examen CISSP, vous devrez souscrire au code d’éthique de (ISC)2 et remplir un formulaire d’aval pour devenir CISSP. Ce formulaire doit être signé par un autre professionnel certifié (ISC)2 qui vérifie votre expérience professionnelle. Vous devez soumettre le formulaire complété dans les neuf mois suivant la réussite de votre examen pour devenir pleinement certifié, car la réussite de l’examen ne vous accorde pas automatiquement le statut de certification.
Après avoir obtenu la certification complète, vous devrez maintenir votre titre en vous recertifiant tous les trois ans. Les CISSP doivent payer des frais de maintien de 85 $ au cours du cycle de trois ans (255 $ au total). Ils doivent également soumettre 40 crédits de formation professionnelle continue (FPC) chaque année, soit un total de 120 FPC par cycle de trois ans. Pour plus d’informations sur les étapes à suivre pour devenir CISSP et maintenir votre statut de certification, visitez isc2.org.
Autres certifications qui peuvent vous aider à obtenir le CISSP
Si vous êtes certain que le parcours CISSP vous convient mais que vous n’avez pas d’expérience professionnelle pertinente, envisagez de devenir un Associate of (ISC)2. Ce programme est idéal pour les étudiants et les personnes en réorientation professionnelle. Il vous permet également de profiter des opportunités de formation, des forums et des réseaux de pairs proposés par (ISC)2. Une autre approche consiste à obtenir les certifications de base A+, Network+ et Security+ de CompTIA. Avec cette base, vous pouvez postuler à un poste lié à la sécurité et acquérir une expérience pratique indispensable dans l’arène informatique.
Si vous travaillez dans la sécurité informatique depuis un an ou deux, envisagez d’obtenir le titre de (ISC)2 Systems Security Certified Professional (SSCP). Bien qu’il ne s’agisse pas d’un prérequis officiel, le SSCP est considéré comme une sorte de précurseur du CISSP, couvrant de nombreux domaines de sujets identiques. En théorie, l’obtention du SSCP peut également conduire au type de poste de sécurité nécessaire pour remplir l’exigence d’expérience professionnelle du CISSP.
Au delà du CISSP
Il semble que les fonceurs cherchent toujours un moyen d’avancer ou de monter. Une fois que vous aurez obtenu votre CISSP, vous pourriez être intéressé par une spécialisation en architecture, en ingénierie ou en gestion, peut-être pour une autre augmentation de salaire. Le programme (ISC)2 propose des concentrations dans ces domaines pour les détenteurs du titre CISSP, appelées respectivement ISSAP, ISSEP et ISSMP.
Considérant que la sécurité du cloud computing et de la virtualisation est devenue extrêmement importante dans l’espace informatique au cours des dernières années, il y a une certification (ISC)2 de niveau plus avancé à envisager : le Certified Cloud Security Professional, ou CCSP. Cette certification, créée en coopération entre (ISC)2 et la Cloud Security Alliance (CSA), s’adresse aux personnes qui fournissent, sécurisent et gèrent des infrastructures en nuage ou qui achètent des services en nuage. La CCSP exige cinq ans d’expérience professionnelle pertinente, mais vous pouvez utiliser la CISSP pour remplacer la totalité de cette exigence.
Soyez sûr que la CISSP est la voie que vous voulez suivre, et que vous pouvez obtenir le titre, avant de vous lancer dans ce long et coûteux voyage. Toutefois, si vous vous fixez des objectifs de certification réalistes et que vous gérez votre temps judicieusement, vous ne pourrez que réussir dans ce secteur chaud du marché de l’emploi en informatique.
La certification CISSP est un élément essentiel de la réussite.