Changements de l'examen CISSP 2024

L'examen CISSP a été mis à jour le 15 avril 2024 pour refléter l'évolution des concepts et technologies de sécurité. Bien que les poids des domaines restent principalement stables, le contenu a été rafraîchi dans la plupart des domaines avec de nouveaux sujets tels que la distribution de clés quantiques, le secure access service edge et les lois sur la vie privée mises à jour.

Le 15 avril 2024, l'ISC² a mis en œuvre un ensemble actualisé d'objectifs pour l'examen CISSP. L'objectif de la mise à jour des objectifs de l'examen est de maintenir sa pertinence par rapport aux derniers événements en matière de sécurité. Au fur et à mesure que les choses évoluent et que de nouvelles technologies sont introduites, les objectifs sont mis à jour pour les prendre en compte, ainsi que pour les dernières normes et processus. Dans ce blog, nous examinerons les changements et explorerons certains des points clés à connaître alors que vous vous préparez pour l'examen actualisé en 2025. Si vous avez étudié pour le CISSP en utilisant le matériel de la mise à jour précédente, vous avez seulement besoin de revoir les changements / ajouts car une grande partie du contenu et des sujets restent identiques.

Domaines CISSP et changements

Tout d'abord, examinons les 8 domaines qui composent l'examen CISSP. Dans le tableau suivant, nous présentons les 8 domaines et leur poids relatif en 2018 et 2021 en comparaison avec les poids relatifs actuels avec la mise à jour de 2024. Vous remarquerez que les poids relatifs ont été assez stables, avec seulement de légères modifications au cours des dernières mises à jour.

Détails sur les mises à jour du domaine

Comme pour la dernière mise à jour de l'examen, vous trouverez certains des concepts de sécurité les plus récents, termes et acronymes ajoutés au plan de l'examen. La liste des changements ci-dessous n'est pas exhaustive mais est assez complète. Dans le guide d'étude mis à jour, je signale également quand quelque chose est nouveau pour 2024 ou quand quelque chose a été supprimé.

• Domaine 1 (Le nom reste identique, le poids augmente de 1%). D'un point de vue titre, le Domaine 1 est identique. Cependant, il y a quelques changements à l'intérieur dont il faut être conscient :
  • Les « 5 Piliers de la Sécurité de l'Information » ont été ajoutés
  • Pour le sujet sur les principes de gouvernance de la sécurité, l'acte de les maintenir a été ajouté
  • Pour les cadres de contrôle de la sécurité, des cadres spécifiques sont mentionnés, y compris ISO, NIST, COBIT, SABSA, PCI et FedRAMP – comprenez ce que chacun de ces éléments signifie à un niveau de gestion
  • Pour le sujet juridique et réglementaire, la conformité a été ajoutée dans
  • Le sujet sur la confidentialité a été mis à jour pour spécifier le Règlement Général sur la Protection des Données, California Consumer Privacy Act, la Loi sur la Protection des Informations Personnelles et la Loi sur la Protection des Informations Personnelles – comme pour les autres sujets, lorsque le plan mentionne des exemples spécifiques, assurez-vous de les comprendre et de connaître les différences entre eux)
  • Pour le sujet de la continuité des affaires, les actions d'évaluation et de mise en œuvre ont été ajoutées
  • Un nouveau sujet a été ajouté concernant les dépendances externes pour la continuité des activités
  • Le sujet sur les contrats de travail a été mis à jour pour mentionner les exigences dictées par la politique
  • La définition du périmètre a été ajoutée au sujet de l'évaluation/analyse des risques
  • Pour la surveillance et la mesure, le mot « continu » a été ajouté
  • Le sujet des cadres de risque a ajouté des exemples spécifiques
  • Le sujet concernant les risques pour le matériel, les logiciels et les services a été mis à jour pour souligner les risques plus larges lors de la gestion des fournisseurs (comme la falsification de produits)
  • Le sujet sur l'évaluation et la surveillance des tiers a été renommé en atténuations des risques et des exemples tels que l'évaluation et la surveillance des tiers, les exigences de niveau de service et la liste des matériaux logiciels ont été ajoutés)
  • Le sujet sur la sensibilisation a changé de « présent » à « augmenter », un léger changement qui se concentre sur la sensibilisation continue plutôt que sur la sensibilisation initiale
  • Le sujet sur les revues périodiques de contenu ajouté incluant les technologies émergentes et les tendances a donné des exemples spécifiques (tels que l'IA et la cryptomonnaie)
• Domaine 2 (Le nom et le poids restent identiques). Rien n'a changé dans ce domaine pour la mise à jour de l'examen de 2024 !
• Domaine 3 (Le nom et le poids restent identiques).
  • Le sujet « Keep it simple » a été changé en « Keep it simple and small » pour montrer que la taille compte en matière de complexité
  • Le sujet sur zero trust a été mis à jour pour inclure « trust but verify » – ce n'est pas un nouveau sujet mais juste la combinaison de deux sujets existants
  • Un nouveau sujet intitulé « Secure access service edge » a été ajouté
  • Le sujet sur les systèmes de contrôle industriel (ICS) a ajouté « Technologie opérationnelle » au titre
  • Le sujet sur les microservices a ajouté une mention spéciale pour les API
  • Le sujet PKI a ajouté une référence à la distribution de clés quantiques)
  • Le sujet des pratiques de gestion des clés a ajouté une référence à la rotation
  • Le sujet des signatures numériques a combiné les sujets de non-répudiation et d'intégrité
  • Le sujet des armoires de câblage a changé « intermediate distribution facilities » en « intermediate distribution frame »
  • Le sujet sur les problèmes environnementaux a ajouté des exemples de catastrophes naturelles et de problèmes d'origine humaine
  • Les sujets et sous-sujets suivants ont été ajoutés :
    • Gérez le cycle de vie du système d'information
      • Besoins et exigences des parties prenantes
      • Analyse des exigences
      • Conception architecturale
      • Développement / mise en œuvre
      • Intégration
      • Vérification et validation
      • Transition / déploiement
      • Opérations et maintenance / soutien
      • Mise à la retraite / élimination
• Domaine 4 (Nom identique, poids identique).
  • La section 4.1 modifie légèrement le titre de « évaluer et implémenter » à « Appliquer »
  • La section 4.1.2 ajoute des exemples de unicast, broadcast, multicast et anycast
  • La section 4.1.3 donne des exemples de protocoles sécurisés incluant IPSec, SSH, SSL et TLS
  • Il y avait 7 sujets ajoutés (4.1.6 à 4.1.12) couvrant l'architecture de transport, les métriques de performance, les flux de trafic, la segmentation physique, la segmentation logique, la micro-segmentation et les réseaux périphériques. La micro-segmentation a pas mal changé pour inclure des références aux VLAN, VPN, routage virtuel et transfert, et domaine virtuel.
  • Dans la section 4.1.13, Bluetooth a été ajouté et Li-Fi a été retiré
  • Dans la section 4.1.14 – « Cellular networks » a été changé en « Cellular/mobile networks »
  • Les réseaux définis par logiciel ont obtenu leur propre sous-thème au 4.1.16
  • Le Virtual Private Cloud (VPC) a obtenu son propre sous-thème au 4.1.17
  • Dans la version 4.1.18, la surveillance et la gestion (ainsi que des exemples spécifiques) ont été ajoutées
  • La section 4.2.1 a été modifiée de « Operation of hardware » à « Operation of infrastructure », ce qui a légèrement élargi le sujet
  • Dans la section 4.2.2, la sécurité physique des supports et la qualité de propagation du signal ont été ajoutées comme exemples
  • La section 4.2.3 a été mise à jour pour mentionner les solutions NAC physiques et virtuelles
  • Section 4.2.4 sur la sécurité des points de terminaison, le terme « basé sur l'hôte » a été ajouté
  • La section 4.3.1 était « Voice » en 2021 mais inclut désormais la vidéo et la collaboration ainsi que la conférence et Zoom comme exemples
• Doman 5 (Nom et poids identiques).
  • Pour le Domaine 5, “Identity and Access Management (IAM)” conserve son titre.
  • Dans la section 5.1, concernant le contrôle de l'accès aux actifs, un nouvel élément pour les services a été ajouté. Auparavant, les services n'étaient pas concernés. Assurez-vous de comprendre le contrôle de l'accès aux services pour l'examen mis à jour.
  • Le sujet intitulé « Mise en œuvre de Identity Management (IdM) » a été supprimé.
  • Les groupes et rôles ont été ajoutés en tant que section 5.2.1 qui couvre la gestion des utilisateurs et de l'accès
  • Dans la section 5.2.2, le titre a été mis à jour de « Authentification simple/multi-facteurs (MFA) » à « Authentification, Autorisation et Comptabilité (AAA) (par exemple, authentification multi-facteurs (MFA), authentification sans mot de passe) ». Cela élargit le sujet pour inclure l'autorisation tout en ajoutant les technologies sans mot de passe au mélange. Notez que le sujet sur la responsabilité dans l'examen de 2021 a été intégré dans ce sujet.
  • Le sujet concernant les systèmes de gestion des identifiants a été mis à jour pour inclure « coffre-fort de mots de passe » comme exemple. Cela fait référence aux applications/services qui centralisent les mots de passe et secrets d'entreprise.
  • Un nouveau sujet, 5.4.7, a été ajouté avec le titre « Mise en application de la politique d'accès (par exemple, point de décision de politique, point d'application de politique) ». Ceci élargit le sujet autour des mécanismes d'autorisation.
  • La section 5.5.3, intitulée « Définition de rôle (par exemple, personnes affectées à de nouveaux rôles) » a été mise à jour pour inclure la transition qui fait référence aux personnes passant à un nouveau rôle au sein de l'entreprise.
  • La section 5.5.4 concernant l'escalade de privilèges a supprimé le compte de service géré et minimisé l'utilisation de sudo pour se concentrer sur « l'utilisation de sudo » et « l'audit de son utilisation ».
  • Les sous-thèmes concernant les systèmes d'authentification – OIDC, SAML, Kerberos, RADIUS et TACACS+ ont été supprimés.
• Domaine 6 (Nom et poids identiques).
  • Pour ce domaine, le titre reste le même – « Security and Assessment Testing ».
  • Dans la section 6.1.1, le sujet interne ajoute « within organization control ».
  • Dans la section 6.1.2, le sujet externe ajoute « hors du contrôle de l'organisation).
  • Dans la section 6.1.3, le sujet tiers ajoute « hors du contrôle de l'entreprise ».
  • Un nouveau sujet, 6.1.4, intitulé « Emplacement (par exemple, sur site, cloud, hybride) » a été ajouté pour référencer le sujet des stratégies d'audit.
  • Le sujet du test d'intrusion, 6.2.2, a ajouté des exemples d'exercices d'équipes rouge, bleue et/ou violette. Connaître les différences entre chacune.
  • Le sujet concernant les transactions synthétiques (6.2.4) a ajouté une référence aux benchmarks.
  • Le sujet 6.2.7 a été renommé de « Analyse de la couverture des tests » à « Analyse de la couverture ».
  • Le sujet 6.2.8 concernant les tests d'interface, a ajouté des exemples d'interface utilisateur, d'interface réseau et d'interface de programmation d'application (API).
  • Pour les versions 6.5.1, 6.5.2 et 6.5.3, les sujets ont été mis à jour pour indiquer s'il y avait un contrôle organisationnel ou non.
  • Pour la version 6.5.4, un nouveau sujet a été ajouté intitulé « Emplacement (par exemple, sur site, cloud, hybride) » pour référencer la réalisation ou la facilitation d'audits de sécurité
• Domaine 7 (Nom et poids identiques).
  • Le titre « Security Operations » reste identique.
  • Pour le sujet 7.1.5 concernant les artefacts, des données ont été ajoutées au mélange.
  • Le sujet 7.2.1 a été légèrement renommé de « Intrusion detection and prevention » à « Intrusion detection and prevention system (IDPS) ».
  • Le sujet « Continuous monitoring » a été mis à jour pour devenir « Continuous monitoring and tuning ».
  • Le sujet 7.4.2 a été modifié de « Séparation des fonctions (SoD)… » à « Ségrégation des fonctions (SoD)… ».
  • Un nouveau sujet a été ajouté au 7.5.3 intitulé « Data at rest/data in transit » se référant au thème de l'application des techniques de protection des ressources.
  • Pour le sujet 7.7, le titre a été renommé de « Operate and maintain detective and preventative measure » à « Operate and maintain detection and preventative measures ».
  • Pour le sujet 7.10.1 concernant les stratégies de stockage de sauvegarde, des exemples de stockage dans le cloud, de stockage sur site et de stockage hors site ont été ajoutés.
  • Pour le sujet 7.10.2, concernant les stratégies de site de récupération, des exemples d'accords sur la capacité des hôtes et des ressources par rapport au froid ont été ajoutés.
  • Pour le sujet 7.11.3 intitulé « Communications », le terme « méthodes » a été ajouté pour indiquer que le sujet concerne les méthodes de communication.
  • Un nouveau sujet a été ajouté en tant que 7.12.6 intitulé « Communications (par exemple, parties prenantes, statut des tests, régulateurs) » en référence aux plans de reprise après sinistre.
  • Pour le sujet 7.15.2 (formation et sensibilisation à la sécurité), des exemples de insider threat, impacts des médias sociaux, fatigue de l'authentification à deux facteurs ont été ajoutés.
• Domaine 8 (Nom identique, poids réduit de 1%).
  • Le titre de ce domaine, Software Development Security, reste le même.
  • Pour le sujet 8.1.1 concernant les méthodologies de développement, une référence au cadre agile à grande échelle a été ajoutée.
  • Pour la section 8.2.9 concernant les tests de sécurité des applications, des exemples ont été ajoutés pour l'analyse de la composition des logiciels et le Test de Sécurité des Applications Interactif (IAST).
  • Pour le sujet 8.4.4 concernant les services gérés, SaaS et IaaS et PaaS ont été retirés et remplacés par « applications d'entreprise ».
  • Un nouveau sujet a été ajouté au 8.4.5 couvrant les services cloud avec une référence à SaaS, IaaS et PaaS.

FAQ sur les mises à jour de l'examen CISSP

Pour vous aider à comprendre les modifications apportées à l'examen CISSP, nous présentons ci-dessous quelques questions et réponses courantes sur les mises à jour récentes.

1. À quelle fréquence le plan d'examen CISSP change-t-il? En général, tous les 3 ans. Le changement le plus récent a eu lieu le 15 avril 2024. Avant cela, il y a eu un changement en mai 2021. Auparavant, il y avait eu des changements en 2018, 2015 et 2012.
2. Puis-je réussir le nouvel examen en utilisant de vieux matériaux d'étude? Oui. Beaucoup de personnes ont fait cela. La clé est d'avoir l'expérience professionnelle pertinente et la connaissance des sujets. Si vous essayez de réussir l'examen en vous basant uniquement sur l'étude, cela sera plus difficile avec les anciens matériaux (et bien sûr, l'examen a de toute façon une expérience professionnelle préalable comme prérequis).
3. Le format de l'examen a-t-il changé avec cette mise à jour du plan de cours? Non, sauf pour la transition de certaines langues d'un examen linéaire (nombre fixe de questions) à un examen non linéaire. L'examen est maintenant disponible uniquement dans le format Computerized Adaptive Testing (CAT) pour toutes les langues. La version CAT a un minimum de 100 questions et un maximum de 150 questions.
4. Quel est l'intérêt de mettre à jour l'examen tous les 3 ans ? L'objectif principal est de garder l'examen actuel et pertinent. Si le plan de l'examen CISSP n'était jamais mis à jour, la certification perdrait de sa valeur et de sa pertinence. En le maintenant actuel et pertinent, il reste une certification de sécurité de premier plan. Il y a aussi d'autres raisons. Par exemple, la piraterie d'examen (les gens qui diffusent le contenu de l'examen sans autorisation) est une préoccupation réelle.