Evolution du CISSP

Et oui, il fallait que ça arrive un jour… avec tous ces candidats au CISSP qui se pressent à l’entrée de la salle d’examen, nous n’avons pas eu à attendre longtemps pour que quelques réformes se fassent sentir.

A compter du 1er octobre prochain, les conditions requises pour le passage de l’examen vont changer un peu. Entre autres la nécessité d’avoir 5 années d’expérience dans 2 domaines parmi les douze mentionnés dans le CBK (Common Body of Knowledge, les sujets traités par l’examen), et la nécessité de se faire accréditer par un autre CISSP actif. Auparavant il fallait 4 ans d’ancienneté dans 1 domaine (ou 3 plus un diplôme/certification reconnue) et une accréditation moins contraignante.

Le but ? Tenter d’éviter les personnes juste intéressées par la certification mais ne pratiquant pas la sécurité au quotidien depuis des années, et qui préparent l’examen comme cela.

Etant moi-même chargé de la supervision de certains examens depuis quelques années, et en relation très proche avec l’organisme certificateur (ISC)2, je vois en effet que d’une année sur l’autre certains candidats ne sont pas forcément motivés de la même manière que lorsque je l’ai passé, en 2002. Et que la profusion de documents présents sur Internet ou en librairie, voire de cours divers et variés dispensés à tout va laissent penser aux futurs candidats (pas à la présidence, le sujet n’est plus d’actualité) à l’examen qu’il s’agit juste d’apprendre des questions par coeur…

Je ne peux que déplorer cela de la part de tels candidats. D’une part car cela décridibilise l’examen. A chaque session, je vois sans difficulté que certains ou certaines ont réellement potassé longuemene et sont motivé(e)s pour l’avoir, peut-être car c’est une gageure personnelle. Mais je vois aussi des candidats stressés car leur patron ou chef de service leur a demandé de passer l’exam comme au reste de l’équipe. Les DRH ne sont pas innocentes non plus. Elles pensent que le CISSP n’est ni plus ni moins qu’une banale formation certifiante.

Mais avoir le CISSP, ce n’est pas uniquement la preuve d’avoir des connaissances approfondies en sécurité. C’est également le souhait d’adhérer à un code de déontologie des professionnels en sécurité des systèmes d’information, en s’assurant de promouvoir la profession de son mieux et en ne faisant rien qui puisse aller à l’encontre de cela. C’est également l’engagement que l’on va poursuivre son cursus en sécurité, par le biais de formations et séminaires par exemple. C’est enfin la reconnaissance par des tiers déjà certifiés que l’on a en effet déjà un passé dans ce domaine.

Nombre de DRH, et de chefs de service semblent ne pas le savoir…. Certains sont eux-mêmes CISSP mais semblent avoir oublié ce respect de la charte éthique au détriment du profit et du business.

Résultat, le niveau de l’examen est constant et toujours aussi difficile pour nombre d’entre nous, mais il perd en crédibilité. Il devient le « bac sécurité » que tout le monde doit posséder pour postuler quelque part… Combien de DRH savent ce que recouvre le CISSP ? A mon avis presque aucun… Dommage, peut-être qu’(ISC)2 devrait plus communiquer à ce sujet… Je leur en ai parlé lors de ma dernière rencontre avec des membres du board, en espérant que ce sera le cas.


ABSTRACT : my vision of the new rules for being able to sit at the exam table for the CISSP exam, and of the evolution of this exam. See also this interesting blog entry from Tao Security.

Comments

Comment by jme on 2007-05-22 16:38:10 +0200

Je suis d’accord avec toi. Néanmoins, la première défense du CISSP c’est sa difficulté. Même si tout le monde peut l’avoir si il bachotte suffisement (beaucoup), le taux de réussite parle pour lui même je pense. Ce n’est pas un examen à la portée du premier venu. Ensuite, il faut pouvoir gagner les CPE et il faut un minimum de volonté pour le faire (vive le sstic).

Mais je le vois de plus en plus, les grandes entreprises demandent le CISSP pour tout et n’importe quoi. Un ingé sécurité ? Paf, CISSP demandé. Un ingé système ? Paf CISSP. Une femme de ménage ? Paf, le CISSP (bon, j’exagère un petit peu). Une personne qui l’a passé avec moi l’a fait car sans lui les collaborateurs américains qui travaillent avec lui ne le prenne pas au sérieux…

Personnellement je me suis dit qu’il fallait que je passe le CISSP quand j’ai compris qu’une fois de plus les DRH (pas tous) attachaient n’importe quoi (et surtout ce qu’il ne faut pas) à cette certification et que ne pas l’avoir, c’est se fermer des portes bêtement lorsqu’on travail dans le conseil en sécurité des S.I.

ps: tu étais mon “superviseur” lors de l’examen en avril. Je suis celui qui a demandé des feuillets pour remonter des erreures (grossières) de traduction sur la version bilingue.

Comment by Cédric Pernet on 2007-05-23 13:26:21 +0200

Merci pour ces infos, Bruno … J’en prend bonne note 😉

Comment by alfgus on 2007-10-08 18:58:31 +0200

« Mais avoir le CISSP, ce n’est pas uniquement la preuve d’avoir des connaissances approfondies en sécurité »

Je ne suis pas d’accord, car des gens CISSP j en ai vu… mais ils cassaient pas une cacahuète (techniquement ou sur de l’orga).

Certes je ne l’ai pas passé, mais j ai vu des exemples d’examen et c est sure qu’avec du bachotage (donc sans rien comprendre mais en apprenant tout par coeur) on peut s en sortir…

En fin bon, sur le fait qu’on demande CISSP à tout bout de champs, c’est vrai et je trouve ca désolant car il faudrait qu un jour les entreprises (et les RHs) que se ne sont pas les diplomes qui font la personne…

PS: Avec ces frais de maintien, ca fait qd meme trop machine à fric… en meme tps c’est américain comme truc..

Comment by Bruno Kerouanton on 2007-10-09 16:30:11 +0200

Bien ou pas bien, je suis toujours convaincu que le CISSP est utile a quelque chose. Je viens a l’instant meme de faire passer les 6h d’examen a des personnes qui n’en auront peut etre pas besoin (ils sont largement plus experimentes dans d’autres domaines et je suis admiratif, d’ailleurs), mais leur « entreprise » le leur a demande. Resultat ils ont bosse comme des malades et ont passe l’examen.

Pour moi le CISSP, je le repete, c’est un moyen de voir qu’on a en face de soi quelqu’un qui comprenne de quoi on lui parle. Il y a de bons et de mauvais medecins, de bons et des mauvais avocats, de bons et des mauvais CISSP, c’est pareil. Mais a de rares exceptions pres, ceux qui sont medecins, avocats ou CISSP connaissent un peu leurs specialites respectives. Apres, il reste la charte d’ethique et les 3 ans d’experience… et la, les entreprises ne semblent pas avoir compris la subtilite ce qui est dommageable.

Comment by alfgus on 2008-01-14 18:34:06 +0200

Certes il y a de bons ou de mauvais medecin (ou avocats) mais une fois leur diplome en main, mais pour etre avocat ou medecin, il ne suffit pas d apprendre tout par coeur.. ca ne marche pas…

Alors quand un diplome est acquis alors qu en apprenant par coeur statistiquement on a plus de mauvais qu’un diplome qui nécessite des stages et une reflexion pour obtenir son diplome.

Au fait ca coute combien de passer le CISSP ?

Comment by alfgus on 2008-06-17 16:56:00 +0200

Pour en rajouter une couche:

….Des impressions qui devraient rester anonymes et discrètes puisqu’ils sont obligés par contrat de ne pas critiquer l’organisation qui s’occupe de l’examen. Idem, ils n’ont pas à critiquer un autre CISSP qu’ils doivent même s’engager à soutenir. Un petit côté secte indéniable.

C est pas moi qui le dit c’est http://securite.reseaux-telecoms.net/actualites/lire-la-certification-cissp-apporte-un-serieux-bonus-salarial-aux-etats-unis-18336.html

Comment by koba on 2014-05-30 16:50:45 +0200

Moi je suis dans le domaine de la sécurité depuis maintenant 7 ans et j’ai eu passé d’autre certif de securité je suis maintenant bien interessé à passer le CISSP. pourriez-vous me donner quelques astuces et des recommandations de certifiés qui pourraient m’aider.

Bien à vous