Le CISSP (Certified Information Systems Security Professional), délivré par l'ISC2, est la certification cybersécurité la plus respectée et la plus exigeante au monde. Avec plus de 160 000 professionnels certifiés dans 170 pays, le CISSP est souvent considéré comme le "gold standard" de la sécurité de l'information. Ce guide vous présente tout ce qu'il faut savoir pour comprendre, préparer et réussir l'examen CISSP en 2025.
Conditions d'admission : 5 ans d'expérience requise
Le CISSP est une certification réservée aux professionnels expérimentés. ISC2 exige :
- 5 ans d'expérience professionnelle cumulée et rémunérée dans au moins 2 des 8 domaines du CBK (Common Body of Knowledge)
- Un diplôme de 4 ans (Bac+4) ou une certification approuvée peut remplacer une année d'expérience
- Un endorsement (validation) par un membre ISC2 certifié après réussite de l'examen
- Accord avec le Code d'éthique ISC2
Format de l'examen CISSP : le CAT
Depuis 2021, l'examen CISSP en anglais utilise le format CAT (Computerized Adaptive Testing), qui adapte la difficulté des questions en temps réel selon vos réponses :
| Paramètre | Détail |
|---|---|
| Format | CAT (Computerized Adaptive Testing) |
| Nombre de questions | 125 à 175 questions |
| Types de questions | QCM, glisser-déposer, zones cliquables, réponses multiples |
| Durée maximale | 4 heures |
| Langue | Anglais (CAT) ; autres langues disponibles en format linéaire 250 questions / 6h |
| Score de passage | 700/1000 |
| Coût | 749 USD |
| Validité | 3 ans (renouvellement 120 CPEs) |
Les 8 domaines du CBK CISSP
Domaine 1 — Sécurité et Gestion des Risques (15 %)
Le domaine le plus vaste. Il couvre la gouvernance, la conformité, les politiques et procédures de sécurité, la gestion des risques (identification, évaluation, traitement), la continuité d'activité (BCP) et les frameworks de sécurité (ISO 27001, NIST, COBIT).
Domaine 2 — Sécurité des Actifs (10 %)
Classification et protection des données (données personnelles, propriété intellectuelle), gestion du cycle de vie des données, chiffrement et contrôles de sécurité des actifs.
Domaine 3 — Architecture et Ingénierie de la Sécurité (13 %)
Modèles de sécurité (Bell-LaPadula, Biba, Clark-Wilson), cryptographie (symétrique, asymétrique, PKI, hash), sécurité des systèmes embarqués et IoT, principes de conception sécurisée.
Domaine 4 — Sécurité des Communications et des Réseaux (13 %)
Protocoles réseau sécurisés (TLS, IPSec, SSH), architectures réseau (DMZ, segmentation, zero trust), sécurité des VPN, pare-feu, IDS/IPS et sécurité des réseaux sans fil.
Domaine 5 — Gestion des Identités et des Accès — IAM (13 %)
Authentification (MFA, biométrie, SSO), contrôle d'accès (RBAC, ABAC, MAC, DAC), gestion du cycle de vie des identités, fédération (SAML, OAuth, OpenID Connect) et annuaires (LDAP, Active Directory).
Domaine 6 — Évaluation et Tests de Sécurité (12 %)
Tests de pénétration, audits de sécurité, revues de code, analyse de vulnérabilités, tests de régression sécurité, métriques et KPIs de sécurité.
Domaine 7 — Opérations de Sécurité (13 %)
Gestion des incidents, forensics numériques, SIEM, SOC, gestion des journaux, disaster recovery (DR), supervision des opérations de sécurité au quotidien.
Domaine 8 — Sécurité dans le Développement Logiciel (11 %)
Cycle de vie de développement sécurisé (SSDLC), revue de code, OWASP Top 10, sécurité des APIs, DevSecOps, gestion des dépendances et des composants tiers.
Stratégie d'étude pour le CISSP
Le CISSP est reconnu pour sa difficulté particulière : l'examen ne teste pas uniquement des connaissances techniques, mais surtout le raisonnement managérial d'un RSSI (responsable de la sécurité des systèmes d'information). Voici les principes clés :
- Pensez "manager", pas "technicien" : face à un incident, la bonne réponse est souvent de notifier la direction ou d'activer le plan de réponse avant d'agir techniquement
- Lisez le CBK officiel ISC2 (CISSP All-in-One Exam Guide de Shon Harris ou Official Study Guide d'ISC2)
- Pratiquez avec des examens blancs : le format des questions CISSP est très spécifique et s'apprivoise avec la pratique
- Planifiez 3 à 6 mois de préparation intensive selon votre expérience de base
CISSP vs CISM : Lequel choisir ?
| Critère | CISSP (ISC2) | CISM (ISACA) |
|---|---|---|
| Orientation | Technique + managériale (large spectre) | Managériale (gouvernance SI) |
| Expérience requise | 5 ans, 2 domaines sur 8 | 5 ans, dont 3 ans en management sécurité |
| Coût examen | 749 USD | 575 USD (membres ISACA) |
| Reconnaissance | Mondiale, très forte | Forte, orientée entreprise |
| Rôles cibles | RSSI, Security Architect, Security Manager | RSSI, IT Risk Manager, Auditeur SI |
| Salaire moyen (FR) | 75 000 – 120 000 € | 70 000 – 110 000 € |
Le CISSP est généralement préféré pour les rôles techniques-managériaux et les postes de RSSI opérationnel, tandis que le CISM convient mieux aux postes de gouvernance, de conformité et d'audit de la sécurité.
ROI salarial : Ce que rapporte le CISSP
Le CISSP est systématiquement classé parmi les certifications IT les mieux rémunérées au monde. En France en 2025 :
- Security Analyst CISSP : 65 000 – 85 000 €
- Security Architect CISSP : 80 000 – 110 000 €
- RSSI / CISO : 90 000 – 140 000 € (voire plus dans les grandes entreprises)
- Security Consultant CISSP : 70 000 – 100 000 € + primes
Selon ISC2, les certifiés CISSP gagnent en moyenne 35 % de plus que leurs homologues non certifiés dans des postes similaires. En période de pénurie de talents en cybersécurité, la certification CISSP est un avantage compétitif majeur sur le marché de l'emploi.
Préparez votre certification CISSP avec Certifexpress
Accédez à nos tests pratiques et flashcards couvrant les 8 domaines du CBK CISSP
Voir toutes les certificationsCet article vous a aidé à mieux comprendre la certification CISSP ?