Accueil · Guides de révision · CISSP

Guide complet CISSP — ISC²

Certified Information Systems Security Professional · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La CISSP de l'ISC² est la certification reference mondiale pour les professionnels confirmes de la securite de l'information. Elle s'adresse aux RSSI, architectes securite, consultants et managers cyber justifiant de 5 ans d'experience dans au moins 2 des 8 domaines du CBK. L'examen CAT dure 4 heures (125 a 175 questions) et coute 749 USD. Debouches : RSSI, architecte securite, consultant GRC, responsable SOC. Salaire moyen 75-110 k EUR en France en 2026.

Pourquoi passer la certification CISSP ?

Passer la CISSP en 2026 reste l'un des meilleurs investissements carriere pour un professionnel cyber. Avec la directive NIS2 transposee dans tout l'UE, le reglement DORA pour le secteur financier et l'AI Act, la demande en experts securite certifies explose. Les entreprises europeennes peinent a recruter : ENISA estime le deficit a plus de 350 000 postes cyber non pourvus en Europe. La CISSP est exigee dans 70% des offres senior en France (etude APEC 2026) et reconnue ANSI/ISO 17024, DoDD 8570 IAT/IAM Niveau III et conforme au cadre europeen ECSF. Sur le CV, elle valide une expertise transversale couvrant gouvernance, risque, architecture, cryptographie, IAM, securite reseau, devsecops et reponse a incident. Le ROI est rapide : une augmentation moyenne de 25% est observee dans l'annee suivant l'obtention. Contrairement aux certifications techniques verticales (OSCP, CCSP), la CISSP ouvre les portes du management strategique. Elle est souvent prerequis pour acceder aux postes de RSSI ou directeur cybersecurite dans les grands groupes du CAC 40 et institutions publiques.

Caractéristiques de l'examen

Format	CAT adaptatif 125 a 175 questions QCM et drag-and-drop
Duree	240 minutes (4 heures)
Score requis	700 sur 1000 points
Prix officiel	749 USD soit environ 695 EUR
Langues	Francais, Anglais, Allemand, Espagnol, Japonais, Chinois
Validite	3 ans avec 120 CPE requis
Prerequis	5 ans d'experience dans 2 des 8 domaines CBK, sinon statut Associate of ISC²

Programme détaillé par domaine

Domain 1 : Security and Risk Management 16%

Objectifs: Ce domaine fondateur couvre la gouvernance de la securite, la gestion des risques, la conformite reglementaire et l'ethique professionnelle. Le candidat doit maitriser les cadres de gouvernance (COBIT, ISO 27001, NIST CSF 2.0), les principes CIA (Confidentialite, Integrite, Disponibilite) etendus aux notions DAD et Parkerian Hexad. Comprendre RGPD, NIS2, DORA et l'AI Act europeen est indispensable en 2026. Le candidat evalue les risques (qualitatif vs quantitatif : SLE, ALE, ARO), elabore politiques, standards, procedures et lignes directrices, et gere la continuite d'activite (BIA, RTO, RPO, MTD).
Concepts clés: Defense en profondeur, separation des taches (SoD), least privilege, need-to-know, due care vs due diligence. Threat modeling avec STRIDE, PASTA, DREAD. Gestion du risque tierce partie (TPRM) et chaine d'approvisionnement (SBOM, SLSA). Cadres : ISO 31000, NIST 800-37 RMF, FAIR pour quantification. Code d'ethique ISC². Classification de l'information (Public, Internal, Confidential, Restricted). Notions juridiques : common law vs civil law, propriete intellectuelle (copyright, trademark, patent, trade secret), preuves numeriques admissibilite.
Services / outils: Outils GRC : ServiceNow GRC, Archer, OneTrust pour RGPD. Frameworks de reporting SOC 2 Type II, ISAE 3402. Methodologies EBIOS Risk Manager (ANSSI) populaire en France et MEHARI. Standards PCI-DSS 4.0, HIPAA, SOX selon contexte.
Temps estimé: 15-20h

Domain 2 : Asset Security 10%

Objectifs: Ce domaine traite de l'identification, classification et protection des actifs informationnels tout au long de leur cycle de vie. Le candidat apprend a inventorier les actifs (CMDB), determiner les proprietaires (data owner, data custodian, data steward), appliquer les controles appropries et gerer la fin de vie (data remanence, destruction securisee). Les exigences de souverainete des donnees, particulierement le Cloud Act americain face au RGPD et au futur EUCS, sont au coeur des problematiques 2026.
Concepts clés: Etats des donnees : at rest, in transit, in use (avec confidential computing, Intel SGX, AMD SEV). Techniques de protection : tokenization, masking, anonymization, pseudonymization (cle GDPR). DLP (Data Loss Prevention) : endpoint, network, cloud. DRM et IRM. Classification gouvernementale (Unclassified, Confidential, Secret, Top Secret) vs commerciale. Mediums de stockage et techniques de sanitization (NIST 800-88 : clear, purge, destroy). Cycle de vie : creation, stockage, usage, partage, archivage, destruction.
Services / outils: Solutions DLP : Microsoft Purview, Forcepoint, Symantec. Outils de classification : Boldon James, Titus. Confidential computing : Azure Confidential VMs, AWS Nitro Enclaves. Standards de destruction : DoD 5220.22-M deprecie au profit de NIST 800-88. CASB pour visibilite cloud.
Temps estimé: 10-12h

Domain 3 : Security Architecture and Engineering 13%

Objectifs: Domaine technique dense couvrant les principes d'ingenierie securisee, les modeles de securite formels, la cryptographie et la securite physique. Le candidat concoit des architectures resilientes basees sur Zero Trust (NIST 800-207), maitrise les modeles Bell-LaPadula (confidentialite), Biba (integrite), Clark-Wilson, Brewer-Nash. Il evalue les systemes via Common Criteria (EAL1-7) et comprend les vulnerabilites des systemes embarques, IoT, ICS/SCADA et environnements cloud (CSA CCM).
Concepts clés: Cryptographie symetrique (AES-256-GCM, ChaCha20-Poly1305) et asymetrique (RSA-4096, ECC P-384, Ed25519). Cryptographie post-quantique : standards NIST 2024 ML-KEM (Kyber), ML-DSA (Dilithium), SLH-DSA. PKI complete : X.509, OCSP, CRL, certificate pinning. Hashing : SHA-3, BLAKE3, bcrypt, Argon2id. Attaques cryptographiques : birthday, meet-in-the-middle, side-channel, padding oracle. TPM 2.0, HSM, secure enclaves. Modeles : reference monitor, TCB, rings de protection.
Services / outils: HSM : Thales Luna, AWS CloudHSM, Azure Dedicated HSM. KMS : AWS KMS, Azure Key Vault, HashiCorp Vault. Standards : FIPS 140-3, PKCS#11. SIEM/SOAR : Splunk, Microsoft Sentinel, Elastic Security.
Temps estimé: 20-25h

Domain 4 : Communication and Network Security 13%

Objectifs: Ce domaine couvre la securisation des architectures reseau et des canaux de communication. Le candidat maitrise les modeles OSI et TCP/IP, securise chaque couche, deploie des architectures segmentees (microsegmentation, SDN), et protege les communications avec TLS 1.3, IPsec et protocoles modernes. Les architectures SASE (Secure Access Service Edge) et SSE convergeant CASB, SWG, ZTNA et FWaaS dominent en 2026.
Concepts clés: Protocoles securises : TLS 1.3 (suppression RSA key exchange, PFS obligatoire), DNSSEC, DoH/DoT, SSH, IPsec (AH, ESP, IKEv2). Attaques reseau : DDoS volumetrique/applicatif, ARP poisoning, DNS hijacking, BGP hijacking. Segmentation : VLAN, VXLAN, microsegmentation NSX. Pare-feu nouvelle generation (NGFW) avec deep packet inspection. Wi-Fi : WPA3-Enterprise, 802.1X, EAP-TLS. Reseaux 5G et SA slicing. IPv6 securite.
Services / outils: SASE : Zscaler, Netskope, Palo Alto Prisma. SD-WAN : Cisco Viptela, Fortinet. NDR : Darktrace, Vectra AI, ExtraHop. Pare-feu : Palo Alto, Fortinet, Check Point. Protocoles : RADIUS, TACACS+, 802.1AE MACsec.
Temps estimé: 15-18h

Domain 5 : Identity and Access Management (IAM) 13%

Objectifs: Pilier du Zero Trust, ce domaine traite de l'identification, authentification, autorisation et accountability (AAA). Le candidat conoit des architectures IAM modernes federees, deploie MFA resistante au phishing (FIDO2, passkeys), et applique des modeles d'autorisation granulaires. La gestion des identites machine (workload identity, SPIFFE/SPIRE) prend autant d'importance que celle des humains en 2026.
Concepts clés: Facteurs d'authentification : connaissance, possession, inherence, localisation, comportement. Protocoles federation : SAML 2.0, OAuth 2.1, OIDC, WS-Federation. JWT et risques (alg:none, key confusion). Modeles d'autorisation : DAC, MAC, RBAC, ABAC, ReBAC, PBAC. Just-in-time access et zero standing privilege. Identity governance (IGA) : provisioning SCIM, recertification. Attaques : credential stuffing, password spraying, Kerberoasting, Golden Ticket, SAML Raider, OAuth phishing consent.
Services / outils: IdP : Microsoft Entra ID, Okta, Ping Identity, Keycloak. PAM : CyberArk, BeyondTrust, Delinea. FIDO2 : YubiKey, passkeys Apple/Google/Microsoft. Workload identity : SPIFFE/SPIRE, AWS IAM Roles Anywhere. Annuaires : Active Directory, LDAP, Azure AD.
Temps estimé: 15-18h

Plan de révision hebdomadaire

Planning recommande sur 16 semaines pour candidat experimente travaillant 10-15h par semaine. Semaines 1-2 : lecture integrale de l'Official ISC² CISSP Study Guide 10e edition (Sybex) chapitres Domain 1 et 2, prise de notes structurees par concept. Semaines 3-4 : Domain 3 (le plus dense), focus cryptographie avec exercices pratiques, schemas de PKI, post-quantique. Realiser premier examen blanc diagnostique. Semaines 5-6 : Domain 4 reseau, labs Wireshark, configuration pare-feu, IPsec et TLS. Semaines 7-8 : Domain 5 IAM, deploiement Keycloak lab, integration SAML/OIDC, comprendre les flows OAuth en pratique. Semaines 9-10 : Domains 6 (Security Assessment), 7 (Security Operations) et 8 (Software Security) avec OWASP Top 10 2024 et DevSecOps. Semaine 11 : revision complete, mind maps par domaine, fiches synthese. Semaines 12-13 : intensification examens blancs (Boson ExSim, ISC² Official Practice Tests), viser 80% minimum, analyser chaque erreur. Semaine 14 : revision ciblee des points faibles, relire chapitres problematiques. Semaine 15 : examens blancs en conditions reelles (4h chrono), gestion du temps et de la fatigue cognitive. Semaine 16 : revision legere des fiches, repos cognitif J-3, examen. Astuce : adopter la mentalite manager ISC² : choisir toujours la reponse la plus strategique, axee gouvernance et protection des personnes avant technique pure.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle ISC²

Page officielle avec exam outline, CBK detaille et politiques d'examen mises a jour 2024-2026.

Official Study Guide Sybex 10e edition

Reference incontournable de Chapple, Stewart et Gibson, alignee sur le CAT 2024.

Boson ExSim CISSP

Banque d'examens blancs reputee pour realisme et explications detaillees, indispensable a J-30.

Communaute Reddit r/cissp et Discord Certification Station

Retours d'experience quotidiens, mnemoniques partages, support pre et post-examen actif.

5 erreurs classiques à éviter

Erreur 1 : Penser comme un technicien plutot que comme un manager. La CISSP teste la vision strategique : privilegier toujours protection des personnes, gouvernance et risque avant solution technique.
Erreur 2 : Negliger les domaines a faible poids (Asset Security 10%). Ils contiennent des questions pieges et peuvent faire basculer un score borderline.
Erreur 3 : Reviser uniquement sur QCM sans lire le CBK. Le CAT teste la profondeur conceptuelle ; les questions vues en pratique tests ne se reproduisent jamais a l'identique.
Erreur 4 : Sous-estimer la cryptographie post-quantique et les standards NIST 2024 (ML-KEM, ML-DSA). Le contenu CISSP a ete actualise et ces sujets apparaissent desormais.
Erreur 5 : Oublier l'endossement par un membre ISC² apres reussite. Sans cette etape sous 9 mois, le titre CISSP n'est jamais delivre malgre la reussite a l'examen.

5 questions types corrigées

Q1. Lors de la conception d'une architecture Zero Trust pour une banque soumise a DORA, quel principe doit guider en priorite la decision d'octroi d'acces a une ressource ?

Réponse : B

Le Zero Trust (NIST 800-207) repose sur le principe never trust, always verify. La decision d'acces doit etre dynamique, contextuelle et continue, fondee sur l'identite verifiee, la posture du device (MDM/EDR), la sensibilite de la ressource et les signaux comportementaux. La localisation reseau (A) et le VPN (D) sont des modeles perimetriques obsoletes. L'appartenance statique a un groupe AD (C) ne suffit pas car elle n'integre pas le contexte runtime. DORA exige justement cette verification continue pour les acces aux fonctions critiques.

Q2. Une entreprise migre ses cles cryptographiques vers des algorithmes post-quantiques. Quel standard NIST doit-elle implementer pour l'echange de cles ?

Réponse : C

ML-KEM (Module-Lattice Key Encapsulation Mechanism), anciennement Kyber, est le standard NIST FIPS 203 publie en aout 2024 pour l'echange de cles resistant aux attaques quantiques. RSA et ECDH (A, B) sont vulnerables a l'algorithme de Shor sur ordinateur quantique cryptographiquement pertinent. ChaCha20-Poly1305 (D) est un algorithme de chiffrement symetrique authentifie, non un mecanisme d'echange de cles, et reste sur (les algorithmes symetriques avec cles 256 bits resistent a Grover). Les organisations doivent planifier leur migration crypto-agile des 2026.

Q3. Lors d'une analyse BIA, vous identifiez qu'une application metier a un MTD de 8 heures. Quel RTO est acceptable ?

Réponse : C

Le MTD (Maximum Tolerable Downtime) represente la duree maximale d'indisponibilite avant impact catastrophique sur l'organisation. Le RTO (Recovery Time Objective) doit imperativement etre inferieur au MTD pour conserver une marge de securite face aux imprevus durant la reprise. Un RTO de 4-6 heures pour un MTD de 8h offre cette marge. Reponse A depasse le MTD donc inacceptable. B ne laisse aucune marge. D est faux : le budget influence le choix mais ne peut justifier de depasser le MTD qui est une contrainte business absolue definie par les metiers.

Voir plus de questions gratuites →

Carrière & salaire après CISSP

En France et en Europe en 2026, la CISSP ouvre acces aux postes les mieux remuneres du domaine cyber. Salaires medians observes (etudes Hays, Michael Page, APEC 2026) : Analyste SOC senior 55-70 k EUR, Consultant GRC 65-85 k EUR, Architecte securite 80-105 k EUR, RSSI groupe 110-160 k EUR voire 200 k EUR dans le CAC 40 avec bonus. En Suisse et Luxembourg, ajouter 30-40%. Au Royaume-Uni, RSSI 90-140 k GBP. La CISSP est souvent prerequise pour passer manager. Evolution naturelle : CISSP puis specialisations CCSP (cloud), CISSP-ISSAP (architecte), CISSP-ISSMP (management), CISM (audit), ou CRISC (risque). Combiner avec une expertise verticale (OSCP offensif, GIAC GCIH defense) maximise l'attractivite. Les secteurs banque, defense, energie et sante recrutent massivement.

Détail des salaires CISSP en 2026 →

FAQ — CISSP

Combien de temps faut-il pour preparer CISSP ?

Entre 3 et 6 mois selon experience, soit 150-250 heures d'etude. Les profils avec 7+ ans d'experience cyber transverse peuvent reussir en 3 mois a 10h/semaine. Les profils plus specialises (ex : pentester pur) doivent compter 5-6 mois pour couvrir gouvernance, BCP et droit.

Cette certification est-elle reconnue en France ?

Oui, la CISSP est la certification securite la plus reconnue en France et en Europe. Elle est exigee ou recommandee dans la majorite des offres senior (RSSI, architecte, consultant). Accreditee ANSI/ISO 17024 et alignee sur le cadre europeen ECSF de l'ENISA depuis 2023.

Quel est le taux de reussite a CISSP ?

ISC² ne publie pas officiellement le taux, mais les estimations communautaires l'evaluent entre 60% et 70% au premier passage. Les candidats bien prepares avec 200h d'etude et des scores Boson superieurs a 80% reussissent dans plus de 90% des cas.

Quel est le salaire apres CISSP ?

En France en 2026, salaire median 75-95 k EUR pour 5-8 ans d'experience, 100-140 k EUR pour les profils confirmes (architecte, RSSI adjoint), et jusqu'a 200 k EUR pour les RSSI de grands groupes. L'augmentation moyenne post-certification est de 20-30% dans l'annee.

Faut-il une experience prealable ?

Oui, 5 ans d'experience cumulee dans au moins 2 des 8 domaines du CBK. Une reduction d'un an est accordee pour un diplome bac+4 securite/IT ou pour une autre certification approuvee (CISA, CCSP, etc.). Sans experience, on obtient le statut Associate of ISC² jusqu'a validation.

CISSP ou cert concurrente : laquelle choisir ?

CISSP pour les profils managers/architectes generalistes. CISM (ISACA) si focus management/audit IT. CCSP si specialisation cloud. OSCP si voie offensive technique. La CISSP reste la plus polyvalente et universellement reconnue pour evoluer vers le management cyber strategique.

Combien coute l'examen CISSP ?

749 USD soit environ 695 EUR en 2026. Ajouter 125 USD de cotisation annuelle ISC² (AMF) apres certification. Budget total formation incluse : 1500-3500 EUR selon ressources (auto-formation a bootcamp officiel ISC²).

Combien de fois peut-on repasser CISSP ?

En cas d'echec, delai d'attente de 30 jours pour la 2e tentative, 60 jours pour la 3e, 90 jours pour la 4e. Maximum 4 tentatives par periode de 12 mois glissants. Chaque passage coute 749 USD. La politique ISC² 2024 reste inchangee en 2026.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc CISSP → Test d'orientation