CISSP · Réussir du premier coup
La méthode, la mécanique de l'examen et l'éthique — tout ce qui conditionne le reste du livre.
Le CISSP (Certified Information Systems Security Professional) est délivré par ISC2. Ce n'est pas un examen de connaissances brutes : c'est une validation qu'un professionnel expérimenté raisonne correctement sur la sécurité au niveau de l'organisation. Cette philosophie explique tout le reste — le format des questions, l'exigence d'expérience, le code d'éthique.
Il faut 5 ans cumulés d'expérience professionnelle rémunérée, couvrant au moins 2 des 8 domaines du CISSP Exam Outline. Un an peut être effacé de deux façons (non cumulables) : un diplôme universitaire de 4 ans (ou équivalent régional), ou une certification figurant sur la liste approuvée par ISC2. Le temps partiel et les stages peuvent compter selon les règles ISC2 de conversion.
On peut passer l'examen sans l'expérience requise. En cas de réussite, on devient Associate of ISC2 — pas encore CISSP — et l'on dispose de 6 ans pour accumuler les 5 ans d'expérience. On ne repasse pas l'examen.
Réussir l'examen ne suffit pas. Il faut ensuite, sous 9 mois, faire valider sa candidature (endorsement) par un professionnel certifié ISC2 en règle, qui atteste de votre expérience. Si vous n'en connaissez aucun, ISC2 peut jouer ce rôle après examen du dossier.
| Obligation | Valeur | Détail |
|---|---|---|
| CPE (Continuing Professional Education) | 120 crédits / cycle de 3 ans | ≈ 40 par an recommandés ; formations, conférences, publications… |
| AMF (Annual Maintenance Fee) | Annuelle | Due chaque année pour rester « in good standing » |
| Code of Ethics | Adhésion permanente | Sa violation peut entraîner la révocation (§ 0.4) |
« 5 · 2 · 1 · 6 · 9 · 120 · 3 » — 5 ans d'expérience, 2 domaines minimum, 1 an de dispense, 6 ans pour l'Associate, 9 mois pour l'endorsement, 120 CPE par cycle de 3 ans. Récitez la chaîne jusqu'à la fluidité : l'examen et les recruteurs adorent intervertir ces nombres.
Depuis avril 2024, l'examen CISSP en anglais utilise le format CAT — Computerized Adaptive Testing : l'algorithme choisit chaque question en fonction de votre performance sur les précédentes. Bien répondre fait monter la difficulté ; c'est bon signe si les questions vous semblent de plus en plus dures.
| Paramètre | Valeur | Ce qu'il faut en déduire |
|---|---|---|
| Questions | 100 à 150 | Minimum 100 ; l'examen s'arrête dès que l'algorithme est statistiquement sûr de son verdict |
| Non notées | 25 (pretest items) | Indiscernables des autres — ne jamais « diagnostiquer » une question |
| Durée | 180 minutes | Pauses possibles mais le chronomètre continue de tourner |
| Score de passage | 700 / 1000 (échelle) | Ce n'est pas « 70 % de bonnes réponses » — c'est un score pondéré par la difficulté |
| Navigation | Aucun retour en arrière | On répond, on avance, on oublie. Impossible de marquer ou réviser une question |
| Types de questions | QCM à 4 options + items « innovants » | Glisser-déposer (ordonner des étapes), zones cliquables (hotspot) |
| Langue | Anglais (CAT) | Ce livre vous entraîne donc en anglais pour toutes les questions |
Le pire scénario est d'atteindre 150 questions : cela impose un budget moyen de 72 secondes par question. Planifiez sur cette base — si l'examen s'arrête à 100, vous aurez simplement fini en avance. Tenez ces points de passage :
| Question atteinte | Temps écoulé max. | Réserve restante |
|---|---|---|
| 25 | 30 min | 150 min |
| 50 | 60 min | 120 min |
| 75 | 90 min | 90 min |
| 100 | 120 min | 60 min pour les questions 101 à 150 |
Face au doute : éliminez deux options (c'est presque toujours possible), choisissez la meilleure des deux restantes avec la grille du § 0.3, répondez, et n'y pensez plus. Ruminer une question passée est une double perte : le temps file et la concentration se dégrade. L'algorithme tolère très bien des erreurs isolées.
« Mon examen s'est arrêté pile à 100 questions, c'est que j'ai échoué » — faux. L'arrêt à 100 signifie seulement que l'algorithme a atteint sa confiance statistique, dans un sens comme dans l'autre. Aucune conclusion possible avant le verdict imprimé.
La majorité des échecs au CISSP ne viennent pas d'un manque de connaissances mais d'une lecture « technicien » des questions. ISC2 rédige des scénarios où plusieurs options sont vraies ; une seule est la meilleure du point de vue du manager. La méthode en quatre temps :
| Mot-clé | Ce qu'il demande vraiment |
|---|---|
| FIRST | La première étape de la séquence correcte — pas l'action la plus importante au global |
| BEST | L'option la plus complète et la plus durable, celle qui traite la cause plutôt que le symptôme |
| MOST / PRIMARY | Le facteur qui pèse le plus lourd parmi plusieurs facteurs tous valides |
| NOT / LEAST / EXCEPT | Inversion : trois options sont correctes, on cherche l'intrus. Relire deux fois |
Safety → Assess → Management. Devant tout scénario : la sécurité des personnes est-elle en jeu ? Sinon, a-t-on évalué avant d'agir ? Et qui décide — le management, jamais vous seul. Trois questions, 90 % des scénarios résolus.
A fire breaks out in the data center while technicians are working inside. What should the security manager do FIRST?
Lecture. Mot-clé : FIRST. Règle n° 1 : la vie humaine. B est la seule option qui protège des personnes ; A est même dangereuse (gaz + personnel présent), C est la réponse « technicien », D est correcte mais vient après l'évacuation. Réponse : B.
After a risk assessment, some risk remains despite the proposed controls. Who should formally accept this residual risk?
Lecture. Règle n° 5. Le CISO conseille, l'administrateur exécute, l'audit vérifie — seul le management senior possède le risque et peut l'accepter. Réponse : C.
An asset valued at $3,000 faces a threat with an annualized loss expectancy of $200. A control costing $1,500 per year would eliminate the risk. What is the BEST course of action?
Lecture. Règle n° 8 : le contrôle coûte 1 500 $ par an pour éviter 200 $ de perte annuelle attendue — irrationnel. L'assurance a aussi un coût disproportionné pour un si petit risque. Réponse : B. Le réflexe « on sécurise toujours tout » est un piège : le CISSP raisonne en coût/bénéfice.
A security analyst confirms that a production server is actively exfiltrating data to an unknown external host. What should the analyst do FIRST?
Lecture. A est le réflexe technicien — la déconnexion (containment) viendra, mais parce que le plan le prescrit, dans l'ordre prévu, sous l'autorité prévue. Règle n° 4 : le processus d'abord. C et D sont des étapes ultérieures du même plan. Réponse : B.
Which of the following is NOT a valid reason to involve law enforcement in a security incident?
Lecture. Inversion : trois options justifient l'appel aux autorités, une seule le contre-indique. Impliquer les forces de l'ordre fait précisément perdre le contrôle de l'investigation. Réponse : C. Sur les questions NOT/LEAST, relisez l'énoncé après avoir choisi : l'erreur d'inattention est la première cause de points perdus.
≥ 20/25 : passez au chapitre 1. Entre 15 et 19 : relisez les sections des questions manquées et refaites le quiz demain. < 15 : relisez le chapitre entier — il conditionne tous les autres.
Le code d'éthique est court, testé à l'examen, et opposable à vie : sa violation peut coûter la certification. Le préambule contient une nuance importante : il faut adhérer aux standards éthiques « and be seen to adhere » — l'apparence d'intégrité compte autant que l'intégrité elle-même.
| N° | Canon (texte officiel) | En clair |
|---|---|---|
| I | Protect society, the common good, necessary public trust and confidence, and the infrastructure | La société passe avant tout — y compris avant votre employeur |
| II | Act honorably, honestly, justly, responsibly, and legally | Honnêteté et légalité, sans exception |
| III | Provide diligent and competent service to principals | Servir loyalement employeurs et clients (« principals ») |
| IV | Advance and protect the profession | Ne pas discréditer la profession ; signaler ceux qui la trahissent |
L'ordre est une règle de départage. Quand deux canons entrent en conflit — votre client vous demande de cacher une fuite qui met le public en danger — le canon au plus petit numéro l'emporte : protéger la société (I) et agir légalement (II) priment sur le service au client (III).
| Canon visé | Plaignants recevables |
|---|---|
| I et II | N'importe qui (tout membre du public) |
| III | Uniquement les principals — employeurs et clients du professionnel |
| IV | Uniquement d'autres professionnels certifiés ou licenciés, soumis à un code d'éthique |
La plainte prend la forme d'une déclaration sous serment (sworn affidavit) adressée au comité d'éthique, qui instruit et recommande une sanction au conseil d'administration — jusqu'à la révocation de la certification. Divulguer le contenu de l'examen (violation du NDA signé le jour J) est le cas d'école de violation du canon IV.
Protect · Act · Provide · Advance. Quatre verbes, dans l'ordre. Pour les plaignants : « tout le monde, tout le monde, le patron, les pairs » (I : public, II : public, III : principals, IV : professionnels).
Awa vient d'être nommée CISO d'une fintech de 400 personnes ; c'est elle que nous suivrons tout au long du livre. Semaine 1 : son PDG lui demande de « faire l'impasse » sur la déclaration d'un incident mineur à l'autorité de régulation, « pour ne pas effrayer les investisseurs ». Réflexe S.A.M. et canons : personne n'est en danger physique (S), mais agir légalement (canon II) et protéger la confiance du public (canon I) priment sur la demande du principal (canon III). Awa documente l'obligation légale, expose au PDG le risque d'une non-déclaration — sanctions, réputation — et recommande formellement la déclaration. Elle conseille, elle trace, elle laisse la décision (et la responsabilité) au management : c'est exactement la posture que l'examen récompense.
Ce livre est conçu pour un cycle de 8 semaines à raison de 10 à 12 heures par semaine. Règle de progression : ≥ 80 % au quiz de chaque chapitre avant de passer au suivant ; sinon, relire les sections échouées et refaire le quiz le lendemain.
| Semaine | Chapitres | Contenu | Jalon de sortie |
|---|---|---|---|
| 1 | 0 · 1 · 2 · 3 | Fondations + Domaine 1 (gouvernance, droit, risque) | 4 quiz ≥ 80 % |
| 2 | 4 · 5 · 6 · 7 | Domaine 2 (données) + Domaine 3 (principes, architectures) | 4 quiz ≥ 80 % |
| 3 | 8 · 9 | Cryptographie intégrale + sécurité physique | Tableau des tailles de clés récité sans faute |
| 4 | 10 · 11 · 12 | Domaine 4 (réseaux) | Tableau des ports récité sans faute |
| 5 | 13 · 14 · 15 · 16 · 17 | Domaine 5 (IAM) + Domaine 6 (assessment, audit) | 5 quiz ≥ 80 % |
| 6 | 18 · 19 · 20 · 21 | Domaine 7 (opérations, incident, DR/BC) | Les 7 étapes incident + 5 tests DR récités |
| 7 | 22 · 23 · 24 · 25 | Domaine 8 + grand référentiel + examen blanc n° 1 | Blanc 1 : ≥ 70 % global |
| 8 | 26 · 27 · 29 · 28 | Examen blanc n° 2, drills, renforcement ciblé, jour J | Blanc 2 : ≥ 80 % global et ≥ 70 % par domaine |
Si un examen blanc reste sous 70 %, décalez la date d'examen plutôt que de tenter le passage : le diagnostic par domaine des chapitres 25–26 vous dit exactement quoi retravailler.
Conditions réelles : 30 minutes, en une seule passe, sans retour en arrière — notez vos réponses sur papier avant de consulter le corrigé (§ 0.7). Questions en anglais, comme le jour J.
During an engagement, a CISSP consultant discovers that her client's product secretly harms public infrastructure. The client instructs her to remain silent. According to the ISC2 Code of Ethics, which duty takes precedence?
Les canons de l’ISC2 sont hiérarchisés : en cas de conflit, le premier prime. Le Canon I — protect society, the common good, and the infrastructure — l’emporte sur le service au client (Canon III, réponse A) comme sur toute clause de confidentialité (D). L’avancement de la profession (C) est hors sujet ici.
Which of the following lists the ISC2 Code of Ethics canons in the correct order?
Ordre officiel des quatre canons : I. Protect society… ; II. Act honorably… ; III. Provide diligent and competent service to principals ; IV. Advance and protect the profession. Seule B respecte cette séquence, qui fixe aussi l’ordre de priorité en cas de conflit.
Who is permitted to file an ethics complaint alleging a violation of Canon III (provide diligent and competent service to principals)?
Une plainte relative au Canon III (service aux principals) n’est recevable que d’une personne liée au professionnel par un contrat de travail ou de prestation. Les plaintes Canon I/II sont ouvertes à quiconque ; les plaintes Canon IV, aux seuls professionnels certifiés.
A CISSP notices that another certified professional has falsified his credentials to win a contract. Under which canon should she file a complaint, and is she permitted to do so?
Falsifier ses credentials nuit à l’intégrité de la profession : c’est le Canon IV. Or les plaintes au titre du Canon IV peuvent être déposées par tout professionnel certifié — elle a donc qualité pour agir. (B se trompe sur la recevabilité : le Canon III ne vise que les principals.)
The preamble of the ISC2 Code of Ethics requires professionals to adhere "and be seen to adhere" to the highest ethical standards. What does this primarily imply?
« …and be seen to adhere » impose d’éviter jusqu’à l’apparence d’un comportement contraire à l’éthique : la perception compte autant que les actes. Cela n’oblige ni à une divulgation publique des manquements (A) ni à un audit indépendant systématique (C).
After passing the CISSP exam, a candidate shares several exam questions in an online forum to help others. Which canon does this MOST directly violate?
Divulguer des questions d’examen brise l’accord de non-divulgation signé par le candidat et dévalue la certification : l’atteinte la plus directe vise la profession — Canon IV, advance and protect the profession. (On peut aussi y voir un manquement au Canon II, mais la cible première est l’intégrité du titre.)
A client asks a CISSP to conceal evidence of a data breach from a regulator to avoid fines. What is the BEST course of action?
Dissimuler une breach à un régulateur serait illégal, et le Canon II impose d’agir légalement. Le professionnel refuse et rappelle au client ses obligations légales de notification. Il ne s’exécute pas (A), n’alerte pas les médias (C) et ne démissionne pas sans explication (D).
An organization's internal policy requires a monitoring practice that violates local privacy law. What should the security professional do?
La loi prime sur la politique interne. Le professionnel signale à la direction que la pratique est illégale et que la politique doit être corrigée — une politique interne ne peut pas « accepter le risque » d’une violation de la loi (A). L’appliquer à une partie des salariés (D) reste illégal.
What is the potential consequence for a CISSP found in violation of the ISC2 Code of Ethics?
La seule sanction dont dispose l’ISC2 est la révocation de la certification. L’ISC2 n’engage pas de poursuites pénales (A) et n’inflige pas d’amende (D) : ce n’est pas un organe judiciaire.
Your employer instructs you to run a penetration test against a business partner's systems, assuring you "they won't mind." No authorization from the partner exists. What should you do?
Tester les systèmes d’un tiers sans autorisation écrite est illégal, quelle que soit l’assurance verbale de l’employeur. Le professionnel refuse tant que l’autorisation écrite du partenaire n’est pas obtenue — l’acceptation du risque par l’employeur (A) ne rend pas l’acte légal, et un scan « léger » (B) reste non autorisé.
A fire alarm sounds in a facility where employees are present. What should the security manager do FIRST?
La sécurité des personnes prime toujours. Face à une alarme incendie avec du personnel présent, la priorité absolue est l’évacuation en sécurité — avant tout déclenchement de la suppression (A, dangereux tant que des personnes sont là) ou arrêt des systèmes (C).
A ransom note appears on a production server's screen. What should the security team do FIRST?
Devant une demande de rançon, on active d’abord le plan de réponse à incident (incident response plan), qui cadre containment, éradication et communication. On ne paie pas (A), on ne détruit pas les preuves en réinstallant (B) et on ne prévient pas tout le personnel dans la précipitation (D).
Before adopting a new cloud-based collaboration tool, what is the BEST first step for the security team?
Avant d’adopter un outil cloud, la première étape est l’évaluation du risque de l’outil et de son fournisseur (risk assessment, incluant la due diligence du provider). La négociation tarifaire (A) et la brochure marketing (D) ne renseignent pas sur le risque ; déployer d’abord en production (C) inverse l’ordre.
Who is ultimately responsible for the security of an organization's information?
La responsabilité ultime de la sécurité de l’information incombe au senior management : c’est une décision de gouvernance. Le CISO (A) pilote et conseille mais n’assume pas la responsabilité finale ; les équipes et les utilisateurs (C, D) exécutent.
A proposed safeguard costs $10,000 per year and would reduce the annualized loss expectancy of a risk from $2,000 to $500. What is the BEST recommendation?
La contre-mesure économise ALE avant − ALE après = 2 000 − 500 = 1 500 $/an, pour un coût de 10 000 $/an. Le coût dépasse largement le bénéfice : on accepte le risque. Dépenser pour « montrer sa due diligence » (A) est un mauvais arbitrage économique.
A security administrator notices a colleague routinely bypassing data loss prevention controls to email files to his personal account. What should the administrator do FIRST?
On signale d’abord par le canal établi par la politique (hiérarchie, RSSI ou RH selon les cas). Confronter le collègue (A), désactiver son compte (B) ou le surveiller soi-même (D) outrepasse son rôle et peut compromettre une éventuelle procédure.
What is the PRIMARY purpose of a security awareness program?
Un programme de security awareness vise avant tout à modifier les comportements et à réduire le risque d’origine humaine. La conformité (A) en est un sous-produit, pas la finalité ; il ne s’agit ni de piéger les fautifs (C) ni de former l’équipe sécurité à la technique (D).
Which element is MOST important for the success of an organization's information security program?
Le facteur le plus déterminant est le soutien visible de la direction générale (tone at the top). Sans lui, budget (A), outils (B) et équipe certifiée (D) restent inefficaces — la sécurité est d’abord une affaire de gouvernance.
Which candidate meets the experience requirements for full CISSP certification?
La certification exige cinq ans d’expérience rémunérée cumulée dans au moins deux des huit domaines. Un diplôme de niveau bac+4 (four-year degree) accorde une réduction d’un an : quatre ans réels sur deux domaines + diplôme = cinq ans validés. A ne couvre qu’un domaine et n’atteint pas cinq ans.
A candidate passes the CISSP exam without any professional experience. What is her status, and how long does she have to earn the required experience?
Réussir l’examen sans expérience confère le statut d’Associate of ISC2, avec six ans pour acquérir les cinq années d’expérience requises. Il n’existe pas de statut « Provisional CISSP » (D).
After passing the exam, within what period must the endorsement process be completed?
L’endorsement (parrainage par un membre certifié) doit être finalisé dans les neuf mois suivant la réussite à l’examen ; au-delà, le candidat doit repasser l’examen.
How many continuing professional education (CPE) credits must a CISSP earn per three-year certification cycle?
Un CISSP doit accumuler 120 CPE par cycle de trois ans, soit un minimum de 40 par an (dont une part de CPE de type Group A, liées au domaine).
A candidate's CISSP CAT exam ends at exactly 100 questions after two hours. What can the candidate conclude?
Le format CAT s’arrête entre 100 et 150 questions dès que l’algorithme atteint une décision statistiquement fiable — dans un sens comme dans l’autre. S’arrêter à 100 questions ne préjuge donc ni de la réussite ni de l’échec.
Midway through the CAT exam, a candidate realizes she probably answered the previous question incorrectly. What is the BEST response?
Le CAT interdit tout retour en arrière : une réponse validée est définitive. La meilleure conduite est de passer à la question suivante et d’y consacrer toute son attention, sans laisser l’erreur supposée dégrader la suite.
An exam question asks what a security professional should do FIRST, and two options describe actions that are both correct. How should the candidate choose?
Quand une question « FIRST » propose deux actions correctes, on choisit celle qui vient en premier dans la séquence logique du processus. Le CISSP raisonne en ordre de priorité (les personnes, puis le cadre, puis la technique), pas en impact ni en niveau de détail technique.