Certification cissp : préparation à l’examen

Cryptographie

Protéger les informations en appliquant des algorithmes mathématiques et la transformation des données

• Systèmes de cryptographie symétrique et asymétrique
• S'assurer de l'intégrité des messages via le hachage
• Authenticité des messages avec les signatures numériques

• Revoir les attaques cryptanalytiques
• Reconnaître les attaques d'analyse statistique

Contrôle d'accès

Mécanismes pour protéger les systèmes d'information

• Définir les contrôles administratifs, techniques et physiques
• Mettre en œuvre des approches centralisées et décentralisées
• Examiner les authentifications biométriques et à facteurs multiples

• Identifier les menaces courantes, différencier les systèmes de détection et les systèmes de protection

Conception et architecture de la sécurité

Examiner les modèles et les frameworks de sécurité

• Triade de la sécurité de l'information et modèles multi-niveau
• Examiner les normes du marché : ISO 27001/27002

• Principes et défauts de la conception des systèmes
• Modèles et critères de certification et d'accréditation

Sécurité du développement de logiciel

Sécuriser le cycle de vie du développement de logiciel

• Méthodes et les contrôles du développement de logiciel
• Mettre en évidence les menaces de codage : Cross-Site Scripting (XSS), attaques JavaScript et Buffer Overflow

• Identifier les menaces et les attaques de bases de données
• Définir les caractéristiques de la conception de BdD sécurisées

Juridique, régulations, enquêtes et conformité Analyser les mesures et les techniques juridiques

• Revoir la propriété intellectuelle, la responsabilité et les lois
• Différencier le crime traditionnel du crime informatique

• Le (ISC)2 Code of Professional Ethics
• Exigences et procédures de conformité

Gouvernance de la sécurité de l'information et gestion des risques

Rendre la sécurité conforme aux objectifs de l'entreprise

• Utiliser les principes de sécurité fondamentaux
• Gérer les stratégies, les normes et les procédures de sécurité

• Évaluer les menaces et les vulnérabilités
• Réaliser une analyse et un contrôle des risques

Continuité de l'activité et reprise après sinistre

Préserver l'activité

• Adhérer au Business Continuity Management Code of Practice and Specifications (BS 25999)
• Analyse d'impact

• Concevoir un plan de reprise après sinistre
• Mettre en œuvre les processus de test et de maintenance

Sécurité des télécommunications et des réseaux

Définir une architecture réseau sécurisée

• TCP/IP et autres modèles de protocoles
• Se protéger des attaques réseau

• Technologies filaires et sans fil
• Pare-feu, proxies et tunnels
• Identifier le bon usage du chiffrement

Sécurité des opérations

Maintenir la résilience opérationnelle

• Protéger les atouts de valeur
• Contrôler le système et les comptes utilisateur
• Gérer les services de sécurité de façon efficace

Sécurité physique

Sauvegarder les ressources physiques

• Refuser les accès non autorisés
• Concevoir des environnements résistant aux hostilités et menaces des catastrophes naturelles