Journal CISSP, sécurité, il faut que je vous raconte un truc...

94
2
juil.
2022

Il faut que je vous parle d’un truc. Fin 2019, trois mois avant le confinement, il m’est arrivé quelque chose. La crise des 40 ans 4 ans plus tard, peut être… Si vous avez un peu suivi mes précédentes aventures, vous savez qu’à cette période, j’avais décidé de passer mon « vrai » diplôme d’ingénieur, CTI. Vous savez aussi que j’ai pas mal œuvré dans l’écriture de bouquins, et même que l’un deux est une référence dans le domaine… Enfin, il s’est bien vendu, quoi. L'autre, le dernier sur la Haute Dispo, K8S et compagnie, beaucoup moins, mais bon, c’est le jeu. Il parait même que j’aurais aussi écrit un vrai Pacman en Python juste pour savoir si je pouvais le faire, ou que je m’amuse à bidouiller des scripts pour accéder au système de fichiers du GPS embarqué de mon Kangoo… Ce qu’on sait moins, c’est que j’ai été le « tech lead » des Ops d’une très belle plateforme « Digital » pendant plus de 6 ans. Oui, une jolie infra exposée sur Internet avec plus de cent-cinquante sites internet et backends d’applications mobiles dessus. Un bijou, des joies, des peines, de l’exaltation et presque un burn out. Et la raison pour laquelle j’ai longtemps disparu de LinuxFR… On a tout migré sur OpenShift, et on a fermé le truc. Fin du jeu. Et paf, crise des 40+4 ans : j’ai voulu faire autre chose.

Comme ma boite est un super employeur, j’ai demandé si on pouvait avoir besoin de moi ailleurs, et j’ai eu l’embarras du choix, voire l'inverse. Pile au moment de choisir, voilà que le grand boss de la cybersécurité, qui avait été auparavant mon grand boss tout court, a eu vent de mes velléités de changement, et m’a demandé de venir bosser pour lui… Et pan, je suis tombé dedans, et je suis devenu, moi, grand fou-furieux de Linux, de haute disponibilité, d’architectures redondantes, d’orchestration, d’automation, de containers, etc., « responsable de la sécurité opérationnelle du Cloud Privé », rien que ça. Je n’ai pas senti le piège, j’aurais dû, quand j’ai demandé combien de temps il me laissait pour décider et qu’il m’a répondu « 5 minutes », quand j’ai dit « mais je ne suis pas un expert de la sécurité », et qu’on m’a répondu « T’inquiète, c’est facile, tu apprendras… ». La nasse s’est refermée. J’étais piégé. Je vous passe les détails des deux dernières années, et en effet, j’ai appris un nouveau métier, j'ai pu résoudre tout plein de problèmes pour lesquels on m’avait recruté. C'est cool un super titre bien pompeux, mais ça cache mal la masse de travail associée.

Le piège, je vous dis : être un très bon ingénieur, un expert technique, même en sécurité, ça a ses limites. La sécu, ce n’est pas que configurer de l'encodage end-to-end, gérer des règles firewalls, mettre des anti-malwares, des IPS et des EDR, des SIEM, demander (et résoudre) des pentests de temps en temps. Le piège, c’est la partie « management » de la Sécurité : le conseil aux managers, l’évaluation des risques, des vulnérabilités, les analyses quantitatives et qualitatives, les BCP, les BIA, les … Je sens que je vous ai perdus… Et bien moi aussi, j’ai commencé à me perdre. On m’aurait menti ? Oui, on m’a menti. Ce n’est pas facile. Le piège. Et donc, acculé : dans mes objectifs annuels de 2022, mon gentil manager (bonjour chef, je t’aime beaucoup, même après ça), m’a demandé un truc: devenir un vrai professionnel de la sécu. Toute la sécu. Pas que dans l’informatique, pas que dans l'expertise technique. Bref, il m’a demandé de me former au truc le plus compliqué qui existe: le CISSP, « Certified Information Systems Security Professional ». J’ai dit oui. Je n’avais pas vraiment le choix. Quelle idée…

J’aurais dû me renseigner avant. J’ai commencé à douter lorsque mes collègues ont commencé à me regarder bizarrement, certains avec admiration, me disant « t’es courageux », d’autres avec pitié, me disant « mon pauvre », d'autres me disant « t’as prévu d’avoir une vie l'année prochaine ? », et les plus cinglés, ceux version nerd qui transpirent la sécurité (informatique) « ça va en trois semaines c’est torché ». J’ai acheté le bouquin officiel, et j’ai compris. Un pavé, version parpaing (même poids, même consistance), de 1300 pages. En anglais. Ah oui, parce que tout est en anglais. Alors, on va revenir sur ce qu’est le CISSP. C’est une certification professionnelle internationale et indépendante en sécurité des systèmes d’information, gérée par l’ISC². C’est l’une des premières qui a existé, tout simplement parce qu'avant, il n'y en avait pas en cybersécurité. C’est, semble-t-il, la plus difficile à obtenir, elle est classée comme la meilleure au monde dans son domaine, elle couvre l’ensemble des domaines de la sécurité informatique (mais pas que). Elle demande une expérience initiale de 5 ans dans au moins deux des huit domaines couverts, et est valide 3 ans, renouvelables. Il faut aussi être parrainé par un autre CISSP. Fait intéressant, c’est la seule certification qui a été reconnue, chez nos amis anglais en premier, comme étant de niveau équivalent à un Master en Cybersécurité, niveau 7. Pas en France, enfin pas encore, on a toujours 10 ans de retard par rapport à nos amis. La certification couvre huit domaines :

  1. Gestion des risques et de la sécurité
  2. Protection des actifs
  3. Ingénierie de la sécurité
  4. Sécurité des télécommunications et des réseaux
  5. Contrôle d’accès et gestion des identités
  6. Évaluation de la sécurité
  7. Sécurité des opérations
  8. Sécurité des développements

C’est gros, c’est long, c’est large (on parle du contenu de la formation, hein). Et ça ne parle pas que d’informatique. Il y a par exemple toute la sécurité physique (bâtiments, surveillance, éclairage, incendie), ce qui fait que la formation parle aussi bien des ciphers avec vecteurs d’initialisation que du type d’extincteur à utiliser pour éteindre un feu de cuisine. C’est la force de cette certification : elle a pour objectif de couvrir l’intégralité des domaines de la sécurité, aussi bien techniques que fonctionnels et organisationnels, dans le but soit de devenir responsable de la sécurité, soit de pouvoir conseiller ceux-ci. Et donc, il faut parfois entrer dans certains détails (la partie mathématique sur Diffie-Hellman est croustillante). Mais heureusement, on s’arrête à mi-profondeur, Si Kerberos est expliqué de manière détaillée, on ne passe pas à son implémentation. Autre chose, importante, l’éthique est placée au-dessus de tout. Certes, c’est très américain, la sécurité supporte le business, mais tout s’efface devant l’éthique, et la protection de la vie, physique, privée (pour mentale, il faudra repasser). Et ça, ça m’a beaucoup marqué tout au long de ma formation.

Le deal, avec mon service Formation , était simple : ils me paient l’examen et les supports, et je me débrouille ensuite tout seul pour m’organiser. Mon objectif: fin juin, histoire de pouvoir ensuite prendre beaucoup de repos. Je le dis tout de suite, j’en ai eu pour 1000 euros (remboursés), entre les supports de cours, l’inscription sur des sites d'entrainement, et l’examen. J’ai commencé le 2 janvier en lisant un premier livre en français (merci Zakaria Hadj) pour bien m’immerger dans le truc, avec 110 pages de notes manuscrites, car je retiens mieux en écrivant. Je suis ensuite passé au livre de cours officiel, le pavé. La vache, c’est monstrueux, c’est écrit en tout petit, la moindre ligne est importante. J’ai ensuite commencé l’entrainement, composé de près de 2400 questions officielles, sur le site en ligne. Les auteurs du support officiel disent que si on a 90% de bonnes réponses, on est bon pour l’examen. La blague… C’est faux. Là, on était début avril. Pendant un mois j’ai déroulé toutes les questions, dans tous les sens, avec des simulations d’examens, jusqu’à faire plus de 90%. Mais il y a un biais : on finit par les retenir, et donc on n’analyse plus, on répond avant même de lire… On m’avait parlé de questions très difficiles, sur un site géré par un formateur, appelé Luke Ahmed. Je me suis inscrit.

Je suis tombé de haut. Luke Ahmed, tu es formidable. Tu m’as ouvert les yeux, sûr de moi que j’étais, avec tes questions horribles. J’en aurais pleuré, devant la difficulté. J'ai pesté derrière mon écran, la boule au ventre. Moi, je croyais que les QCM c’était bidon, que c’était du par cœur. Mon œil. Un QCM bien foutu peut être plus dur qu’un vrai sujet. Luke a réussi à pondre 800 questions d’une difficulté inégalée. 40% de bonnes réponses, crise de nerfs, je suis en PLS. Une seule source pour étudier, ce n’est pas suffisant. Luke, avec qui on peut discuter sur Telegram, conseille un livre, le All-in-One de Shon Harris (paix à son âme). On est début mai, mon examen est dans deux mois. Je me lance dans la lecture effrénée des 1300 pages de ce nouveau pavé. Shon Harris, tu es géniale. J'aurais aimé te connaitre. Sache, de là-haut, que ton œuvre est un bijou. Les concepts clairement expliqués à l’aide d’exemples concrets, m’ont sauvé. Tes milliers de questions, difficiles, dans l’esprit de l’examen, m’ont fait sortir de l’abîme. Et Luke, ton site, avec tes vidéos claires sur le Risk Management Framework, le BIA, SAML, Kerberos, et ainsi de suite, un bijou. Bon, il est moche, mais on s'en fout. Ton livre « How to think like a manager » pareil ! Parce que oui, quand dans une question il y a des réponses techniques, même valables, ce ne sont pas forcément les bonnes. Un contrôle ne rajoute aucune sécurité tant qu’il n’a pas été évalué, tant du côté sécurité que de la valeur des actifs qu’il est sensé protéger. Et il faut y penser quand on répond.

C’est la fin mai. Mon employeur nous permet d’accéder aux plateformes de formation Linkedin et Percipio. Je m’inscris à un boot camp de 20 heures avec un super texan fan de musique Rock, Michael J Shannon. 4 heures par jour, plusieurs centaines de diapositives. Disons que je suis OK sur environ 80% du contenu, mais l’assistance est fébrile, voire perturbée, c’est trop gros. Je ne lâche pas. Je passe à la vitesse supérieure, je réorganise mon temps de travail, je repousse certains sujets à plus tard, la préparation à l’examen devient ma priorité. Je vis, je respire, je transpire CISSP. C’est une drogue. D’autres questions, des fiches, je replonge dans le bouquins, dans des vidéos, tant chez Luke que sur Youtube, Wikipedia (surtout en anglais) est une mine. Les normes ISO, les documents du NIST, le système légal américain, le GDPR, le WPA3, Orthogonal Frequency Division Multiplex, tout y passe. C’est mon obsession. Je dors mal, je rêve de Common Criteria, de SDLC, des synthetic transactions, de Mobile Device Management, d’Incident Response Plan, de Hot sites. Je passe aux questions de Shon Harris, celles du livre additionnel, je suis à 75% au premier essai. Pas assez. Mi-juin : je finis d’apprendre par cœur les différentes séquences, et surtout leur contexte. Je refais toutes les questions, en rajoutant celles du site Examtopics. Je suis à 90%, sauf celles de Luke, entre 70% et 82%. Je ne dépasserai pas ce score. Luke, elles sont chouettes tes questions. Mais elles sont dures. Tu parles, si j’avais su…

Et voilà le 28 juin. Jour de l’examen. Parlons de ça. Pour réussir, il faut au minimum 70% de bonnes réponses, en tout, et par domaine. Il y a au minimum 125 questions, jusqu’à 175, et jusqu’à 4 heures. Certaines questions sont blanches : elles ne sont pas notées, elles sont là dans le but de préparer les futures questions des futurs examens, et de valider les réponses. Mais on ne sait pas lesquelles. C’est un examen de type CAT « Computerized Adaptative Testing ». L’examen s’adapte aux réponses données, pouvant proposer une question plus simple, mais moins bien notée, si on a mal répondu, ou au contraire une question plus compliquée si on répond bien, mais qui rapporte plus de points. Au bout de 125 questions, si on à 95% de chances de réussir, on passe. Si on a 95% de chances de rater, on perd. Sinon, le système rajoute une question, et recalcule les probabilités à chaque réponse, jusqu’à 175 maximum. Debout 5h30. Arrivée au centre d’examen à 7h20. Les conditions sont drastiques : les poches sont vidées, les objets enfermés, les lunettes vérifiées, les jambes palpées, la salle filmée, les écrans et le comportement des candidats scrutés. 125 à 175 questions, ça peut paraitre léger pour certains. Mais quand elles peuvent être sur n’importe quel sujet des 3000 pages lues, on est obligé de tout apprendre, il n’y a pas de chance à ce niveau.

8 heures, la boule au ventre (ah oui, je suis d’un naturel très stressé), ça démarre. Luke, en fait, tes questions, elle sont si faciles… Mon Dieu, qui a inventé de telles questions ? Elles ne ressemblent pas vraiment à l’entrainement. Peut-être que c’est comme aller au feu la première fois, on a beau être formé, le baptême est violent. Le CISSP est sélectif, je l’ai entrevu durant ma préparation, je le comprends pleinement durant l’examen. C’est dur. Les questions sont fourbes: Best, most, first, less, double négation, réponses toutes valides mais quelle est la meilleure ? Question 40, je me dis que c’est mort. Question 66, le stress m’oblige à faire un break, pause. Mais que se passe-t-il ? Elles semblent un peu plus simples maintenant, est-ce parce que j’ai été si mauvais que ça, l’algorithme a pitié ? Question 110, le stress se rappelle à moi. Je lutte. Allons jusqu’à 125, ont sera fixé. Soit je sors et c’est réglé, soit on continue et je refais une pause… Question 125, je clique sur Next. Blanc : l’écran me dit que c’est terminé. Je clique sur End exam, je sors. Je suis un zombie, je suis pale, je suis lessivé. On me tend la feuille, à l’envers. Je ne sais plus quoi faire. Je demande combien de temps j’ai passé: deux heures. Je retourne un peu la feuille. Je lis le premier mot : « Congratulations ». Moment de flottement. Je dis « je n’ai jamais fait un truc aussi dur », on me répond « pourtant, vous êtes allé super vite ». Je réalise. J’exulte !

Six mois, entre deux et huit heures par jour, tous les jours, même en vacances, partout, chez moi, dans le train, à l’hôtel, au bureau, dans les salles d’attente. Environ 900 heures de travail. 3000 pages lues, 150 pages et fiches manuscrites, plus de 5000 questions d’entrainement, plein de vidéos. Voila, examen réussi. Et maintenant ? Maintenant il reste une étape, l’endossement. Je dois justifier de mes années dans la sécurité. Mon employeur est là, mon chef est lui-même CISSP, ça va aider. Côté travail, cette étape de ma vie m’a énormément aidé à concevoir la sécurité dans sa globalité. Les gens de la sécurité sont vus comme des empêcheurs de tourner en rond. Maintenant, par mon expérience et par ce long voyage vers la certification, je sais que c’est faux. Quand on a les données, les vies, de de millions de personnes en sa possession, il n’y a pas de demi-mesure possible. La sécurité doit s’intégrer dans tout, partout, et dès l’initiation du moindre projet. Elle n’est pas que technique, elle est aussi organisationnelle, managériale. Elle est chère, elle ralentit les projets, mais elle est vitale. Je suis maintenant meilleur dans mon métier. J’ai réussi, chef. Je suis vanné, il faut aller se reposer, maintenant. Chef, je te l’ai dit, ne me redemande plus jamais de faire un truc comme ça, je suis sérieux.

Et après ? Durant cette étape de ma vie, j’ai abordé deux trois trucs dans mon apprentissage : les forensics et les red teams. J’aimerais bien creuser tout ça, il semble y avoir des formations sympas. Mais d’abord, quelques projets personnels. Ça à l’air bien, jouer de la guitare. On va essayer ça. Ça existe, les certifications en guitare ?

CISSP, ISC²
Le CISSP démystifié
Guide officiel du CISSP, Sybex, Mike Chapple
Questions d’entrainement officielles, Sybex
All-In-One CISSP Exam guide, de Shon Harris, McGraw-Hill
CISSP Practice exams, do Shon Harris et Jonathan Ham
How to think like a manager, Luke Ahmed
Study Notes and Theory, Luke Ahmed, A CISSP study guide
Examtopics, CISSP
Diapositives du CISSP Boot camp, Michael J Shannon

PS: Une dernière chose. Merci LinuxFR, et mes camarade de la Tribune. C'est tout bête, mais les petites conversations sympas, tout comme les grands débats qui y ont lieu, m'ont détendu. Merci à toutes et tous. J'avais promis un retour d'expérience, c'est fait.

  • # Pendant ce temps dans l'équipe de dev du backoffice paiement

    Posté par  (site web personnel) . Évalué à 10. Dernière modification le 02 juillet 2022 à 17:03.

    - Chef ! J'ai trouvé une super lib js sur le site d'un gentil hacker russe pour gérer la validation des numéros de CB, mais j'ai un avertissement quand j'essaye de la télécharger !
    - Pas grave, utilise ta connexion 4g perso et cette clef usb que j'ai trouvé tout à l'heure dans le train.

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

  • # Ah, voilà pourquoi

    Posté par  (site web personnel) . Évalué à 10.

    je comprends mieux pourquoi la qualité du contenu du site Linuxfr.org était en baisse… content de savoir que ça va remonter en flèche.

    On a quand même de belles dépêches de temps en temps, et des beaux journaux.

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • # Felicitations

    Posté par  (site web personnel) . Évalué à 10.

    Merci pour ton témoignage, et bravo pour ton concours ! J’ai ressenti à la lecture du journal a quel point tu as du en baver ! Je ne connais pas le domaine de la sécurité, je ne vais donc pas broder dessus, mais ton retour est intéressant sur l’énergie nécessaire pour sortir de sa zone de confort. Tu as vraiment eu de la chance que l’employeur t’ai donné les moyens de mener ta formation.

    Te serais-tu lancé dedans si tu avais imaginé la charge que ça représentait ?

    • [^] # Re: Felicitations

      Posté par  . Évalué à 7.

      Merci, je vois que l'un des messages que je voulais transmettre est bien passé ! J'ai en effet de la chance d'avoir un très bon employeur. Beaucoup de mes collègues on passé la certification ces dix dernières années. Certains du premier coup, d'autres après deux ou trois tentatives (ça doit être psychologiquement dur, de recommencer, je suis admiratif). Quand je vois que certains employeurs refusent et que les employés doivent se payer la formation avec leur compte CPF… En faisant ça l'employeur va se tirer une balle dans le pied: tu mets CISSP sur ton profil linkedin, tu deviens un héros. Il ne faudra pas s'étonner, après (j'attends d'avoir fini "l'endorsement" pour mettre à jour mon profil, à la rentrée).

      En fait, on m'avait proposé de passer le CISSP un première fois en 2016 ou 2017, j'avais jeté un œil et j'avais repoussé l'échéance aux calendes grecques quand j'avais vu l'investissement en temps nécessaire, car j'étais totalement accaparé par la fameuse plateforme dont je parle au début. Donc, la réponse à ta question est oui. Je m'étais conditionné en conséquence, je savais que ça allait être compliqué… Mais pas à ce point là, et de loin. Même aujourd'hui, en sachant tout ça, je me serais lancé tout de même. C'était vraiment nécessaire, professionnellement, mais aussi personnellement. Le plus dur, ça a été pour ma famille. Les deux derniers mois, je ne parlais que de ça.

  • # Félicitations

    Posté par  (site web personnel) . Évalué à 10. Dernière modification le 03 juillet 2022 à 20:06.

    L'examen du CISSP est réputé difficile, et exactement pour les raisons que tu listes : il faut connaître beaucoup de sujets différents au-delà de l'aspect superficiel, et le test lui même est assez stressant (les règles ont quelque peu changé depuis que j'ai passé le mien il y a quelques années, mais le principe reste similaire).

    L'autre point que j’apprécie est que les certifications de ISC2 sont "vendor neutral" ; ce n'est pas un examen lié à un vendeur, produit ou technologie particulière, ce sont bien des règles de sécurité qui peuvent (et doivent) être appliquées quelque soit les systèmes avec lesquels ont travaille.

    Là où le bas blesse, c'est qu'il faut maintenir sa certification (elle expire tous les trois ans) et il faut accumuler 40 crédits de formation par an (CPE - Continuing Professional Education) ce qui exige de se maintenir à jour. Excellente chose en soi, mais il ne faut pas s'y prendre au dernier moment.

    Anecdote personnelle : je passe mon examen, je suis plutôt confiant, il faudra attendre un peu pour le résultat. Je sors de la salle d'examen, je récupère mon téléphone portable, où je vois plein d'appel manqués de la part de mon employeur (qui savait très bien que je n'étais pas joignable).

    Message sur le répondeur : "il y a une panne de courant, notre sous-traitant informatique à recommandé d'éteindre toute la salle serveur (1). Plus rien ne marche. Le courant est revenu, il faut que tu reviennes tout redémarrer".

    Ah, mais j'avais compris que l'examen CISSP c'était juste un questionnaire ; il y a une partie pratique en plus maintenant ?

    1 : ni le sous-traitant, ni personne d'autre n'avait réalisé que la dite salle serveur est sous onduleur, et que le bâtiment dispose de son propre générateur…

  • # Tout ça pour un bout de papier...

    Posté par  . Évalué à 3.

    Punaise 6 mois de dur labeur pour ça, j'espère que ton employeur sait récompenser un tel effort (et le récompensera tous les 3 ans date de renouvellement)

  • # Bonne et mauvaise nouvelle

    Posté par  (Mastodon) . Évalué à 10.

    Si tu veux te mettre à la guitare, j'ai une bonne et une mauvaise nouvelle.

    La mauvaise :
    - mon conseil absolu pour travailler un instrument (quel qu'il soit), c'est d'en jouer tous les jours sans exception. La semaine, le week-end, en vacances… tous les jours. Et vu ton expérience narrée ici, ça va peut-être te rappeler de mauvais souvenirs :(

    La bonne :
    - une séance de 1mn compte aussi :)

    Oui c'est déjà ça (surtout au tout début). Tu ne connais que 3 accords ? Alors tu prends ta guitare, tu plaques tes 3 accords, tu reposes ta guitare, c'est bien, tu as joué de la guitare aujourd'hui. C'est tellement mieux que de se dire "ah j'ai pas le temps d'en faire 30mn" et de ne rien faire. Évidemment si tu te contente uniquement de ça, va falloir être (très) patient, mais si tu te fais 2 ou 3 séances de travail (disons 20mn ou plus) dans la semaine, intercaler des jours où tu passes peu de temps n'est pas du tout un soucis.

    Trouves un endroit pratique et accessible pour poser ta guitare (un pied guitare ça coûte rien, poser la guitare dans le salon à côté du canapé est une excellente idée) et joues-en tous les jours.

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Bonne et mauvaise nouvelle

      Posté par  (site web personnel) . Évalué à 8.

      J'ai eu un client qui avait plus de 80 ans, et qui voulait être indépendant dans l'usage de son ordinateur, pour scanner des documents, les envoyer par email en pièce jointe, surfer sur Internet, lire, répondre ou envoyer des emails.

      Rien de sorcier, mais il s'est rendu compte que s'il n'ouvrait pas tous les jours son ordinateur pour effectuer ces opérations il oubliait comment faire et galérait avec ses notes sur son cahier.

      Donc, tous les jours, il répondait ou envoyait au moins un email, avec Thunderbird, et avait généralement un document à scanner et à envoyer. Pour Firefox, ça lui posait moins de soucis.

      Le passage de Windows à Linux Debian, avec KDE, lui a apporté beaucoup de confort. Il n'avait plus ces horribles alertes de "sécurité" à propos d'Internet plein de soiffard dangereux et vils.

      Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • # Je l'ai passé aussi !

    Posté par  . Évalué à 9.

    Et en fait à part la partie loi/process ce n'est pas si compliqué que cela, mais je pense que cela dépends du bagage de chacun.

    Attention, je ne dis pas que c'est simple, mais je me souviens avoir plus souffert lors du passage de mon CCNA (il y a 20 ans… ça passe) par exemple. Le CISSP, il y a pas mal de sujet qui sont de la culture général, typiquement sur des sujets qui sont abordés sur linuxfr, redondance, API, point juridique autour des données, les langages de programmation, les BDD, la biometrie, gestion de projet, complexité des mpd etc.

    Il faut formaliser ses connaissances, mais le plus compliqué pour moi, c'est de comprendre ce qui est demandé.

    Par exemple : Une entreprise détruit ses disques dur avant de les envoyer dans un centre de recyclage, qu'est ce que l'entreprise essaye d'éviter ?
    La question est simple, éviter la fuite de données. Mais ce ne sera pas dans les réponses possible. Ce sera des trucs du genre :
    A : Data-Persistence
    B : Classification mistake
    C : Data remanance while at 3rd party site
    D : Mishandling of drive by 3rd party

    Voila le vrai challenge avec cette certification.

    Mais il y a aussi quelques questions technique simples, quelle est le port standard pour HTTP ?
    Et des trucs techniques tordus, quel est le port par défaut pour une connexion SQL ? Est-il judicieux de chiffrer tous les flux dans une DMZ ? (réponse non, on traverse un FW L7 géré par une équipe ne gérant pas les certificats, seul choix possible).

    Bref, j'ai beaucoup appris en passant cette certification, même des choses que je savais déjà. Les voir avec l’œil d'un DSI/CIO voir même CEO est très intéressant.

    Seul bémol, depuis que je l'ai passé, j'ai oublié énormément des choses sur lesquelles j'ai passé des heures…

    • [^] # Re: Je l'ai passé aussi !

      Posté par  . Évalué à 4.

      Bravo à toi. C'était déjà le TAC ?
      J'avais beaucoup moins souffert en passant le RHCE en 2005, toute une journée d'examens pratiques devant la machine avec un chouette scénario… Je n'ai pas eu la chance d'avoir une des questions simples citées (sur des ports ou protocoles spécifiques)… La plus simple se reportait à smtp et au spam. Je reconnais bien le type de question sur la destruction des disques et le souci de rémanence des données. Et oui, elles sont quasiment toutes comme ça, les questions, piégeuses, soumises à interprétation, parfois avec toutes les réponses valables (à défaurt de valides). Donc, tu aurais choisi quoi ?

      La complexité est là, comprendre le sens profond de la question, mais aussi la lier à l'ensemble des connaissances acquises, en piochant dans l'étendue des savoirs nécessaires. Chaque domaine, individuellement, n'est pas forcément compliqué (quoique), mais il faut tous les retenir. Clairement, si la certification se faisait domaine par domaine, 90% des gens l'auraient. Mais les questions lient souvent les domaines… Se rappeller les différences entre Bell-Lapadula et Biba, impec, mais en rajoutant Clark-Wilson, Brewer-Nash, Graham-Dennis, Non-interference, Take-Grant, les associer aux modèles MAC, DAC, RBAC, ABAC, RB-RBAC, Risk-BAC, lesquels sont de type lattice ou mixtes MAC/DAC, savoir que le Brewer-Nash évite les conflits d'intéret, que ABAC est utilisé avec les SDN, etc., et la question suivante qui n'a aucun rapport et qui se rapporte au SAST, DAST, synthetic transactions, la durée d'un copyright, les trade secrets, puis ensuite une question bien tordue sur les firewalls stateful vs stateless vs circuit proxy vs … Puis ensuite sur les forensics mais version chain of custody, revenir sur les scanners de vulnérabilité au sein des containers, pour repasser sur les soucis de collusion, de rotation des postes et des two-person controls, revenir sur du defense-in-depth, passer sur du CPTED et l'éclairage des accès des locaux en temps de brouillard… Chaque question est un scénario aux réponses multiples n'apportant pas forcément une réponse unique. Et pourtant, il faut choisir.

      • [^] # Re: Je l'ai passé aussi !

        Posté par  . Évalué à 5.

        Oui, c'était le TAC, je l'ai eu vers 120 questions il me semble, avec 30 minutes restant.

        En fait le secret, c'est pas quel choix il faut faire, mais quel choix il ne faut pas faire, puis choisir le plus probable.

        A : Data-Persistence
        Très peu probable, regardons les autres choix
        B : Classification mistake
        Possible, selon la classification des données, la gestion du support peut differer.
        C : Data remanance while at 3rd party site
        Plus probable que B vu la spécificité de la question sur le site de recyclage (3rd party)
        D : Mishandling of drive by 3rd party
        J'aurais choisi ça, si tu détruis le disque, ça évite d'avoir à vérifier que la boite de recyclage ne gère pas bien ta politique de gestion des disques usagés.

        Concernant le reste de tes points, je te rejoins que ce ne soit pas simple, mais 'est globalement assez logique et sur des sujets que je connaissais ou dont j'avais entendu parler, même si je ne te cache pas que j'ai beaucoup bossé pour l'avoir cet exam.

    • [^] # Blague

      Posté par  (site web personnel) . Évalué à 5.

      Une certification inutilement difficile et dont on ne retient pas grand chose, c'est pratique pour pouvoir… vendre la certification et les produits dérivés (livres, fiches de révision…).

      Je la connaissais avec TOGAF :-)

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Blague

        Posté par  . Évalué à 9. Dernière modification le 06 juillet 2022 à 15:06.

        TOGAF est abordé dans le CISSP :)

        Toute certification, tout diplôme, ne reflète qu'une validation de ses connaissances dans les domaines abordés au moment où on les passe. C'est la seule garantie qu'elles apportent, avec leur réputation. Nous ne devons pas être très nombreux à nous souvenir après précision de toutes les matières qui nous ont été enseignées durant nos études, ou des premiers langages de programmation qu'on a abordé il y a 30-35 ans. Mais on se rappelle (presque) tous du socle de base, qu'on a a abordé ou su, et surtout on saurait probablement retrouver facilement les infos, ou on pourrait s'y remettre… On sait qu'on a su. Je n'ai pas fait de Physique et de SVT depuis 1996, et pourtant, lorsque les vaccins ARN sont arrivés, j'ai pu comprendre. J'ai un socle pour comprendre comment fonctionne une centrale nucléaire et une centrale à fusion (pourvu que ça marche). J'ai pu comprendre parce que j'avais appris ça (ou les bases), il y a bien longtemps.

        Le CISSP t'oblige déjà à avoir une expérience de cinq dans le domaine, et doit ensuite être revalidé tous les trois ans, t'obligeant à une formation permanente (40 heures par an) en sécurité que tu dois justifier. Et comme elle est basée sur les fondamentaux de la Sécurité, son contenu est relativement pérenne. Au pire, on reprend le référentiel lors des évolutions (la dernière date de 2021, celle d'avant de 2018), et on se forme au delta. Après c'est certain, si on ne pratique pas…

        A chacun de maintenir autant que possible son socle de connaissances.

        • [^] # Re: Blague

          Posté par  (site web personnel) . Évalué à 7.

          Toute certification, tout diplôme, ne reflète qu'une validation de ses connaissances dans les domaines abordés au moment où on les passe.

          Sauf que quand la certification est faite de telle façon que tu oublies presque tout le lendemain et que la majorité de ces compétences acquises servent… à réussir l'examen, on n'est plus dans l'éducation, mais dans la sélection et le business.

          Même si on apprends toujours des choses, je trouve dommage de cramer autant de temps dans du bachotage.

          Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

  • # Bon chasseur et mauvais chasseur

    Posté par  . Évalué à 3.

    Les gens de la sécurité sont vus comme des empêcheurs de tourner en rond.

    Je pense aussi que les bons ingénieurs sécurité sont capables de proposer des solutions pour faire avancer les choses.
    Là où les ingénieurs "moins impliqués" vont se contenter d'interdire machinalement.
    J'ai personnellement croisé pas mal d'ingénieurs "moins impliqués".

    Sinon

    « T’inquiète, c’est facile, tu apprendras… »

    +

    Le deal, avec mon service Formation , était simple : ils me paient l’examen et les supports, et je me débrouille ensuite tout seul pour m’organiser

    =

    Six mois, entre deux et huit heures par jour, tous les jours, même en vacances, partout, chez moi, dans le train, à l’hôtel, au bureau, dans les salles d’attente. Environ 900 heures de travail. 3000 pages lues, 150 pages et fiches manuscrites, plus de 5000 questions d’entrainement, plein de vidéos.

    Et

    Et après ?

    Assez tristement, une solution est bien entendu de te mettre sur le marché de l'emploi pour récolter différemment les fruits de tes efforts…

    • [^] # Re: Bon chasseur et mauvais chasseur

      Posté par  . Évalué à 10.

      JE suis assez d'accord et ça soulève un problème extrêmement récurrent qui est celui du déni du travail fourni par l'étudiant.

      Sous prétexte que l'inscription est quasi-gratuite en fac de droit, de médecine, en prépa ou école d'ingé voire que tu es payé au cours de tes études à l'X/l'ENS, les personnes qui n'ont pas fait ces études en déduisent que tu as une obligation de repayer à la société, par ton travail, le diplôme qu'on t'a gracieusement offert. Il en va de même dans ton cas : sous prétexte que la boîte t'a payé l'inscription et salarié pendant la formation, tu as une "dette" vis-à-vis d'elle. Sauf que tu décris très bien que tu as travaillé beaucoup plus que la durée légale sur cette formation. Si le temps que tu as passé à cette formation avait été dédié à créer de la valeur pour l'entreprise, tu aurais dû être payé 2 à 3 fois ton salaire pour équilibrer le temps de travail. En te salariant pendant la formation, l'entreprise fait une affaire en or : elle se retrouve avec un employé certifié, à son salaire initial.

      Je serais d'ailleurs curieux du retentissement sur ta vie personnelle et familiale de cette certification. Pour moi, c'est simple, je ne serais pas en mesure de fournir une telle quantité de travail aujourd'hui. Pas avec une famille et un gamin d'un an. Tu décris des moments de doute, de remise en question personnelle : tu as mis en jeu ta santé mentale et tu t'es mis une pression énorme car tu n'avais qu'un an pour réussir ce que certains mettent 2 à 3 tentatives à réussir. Comment ça s'est passé en famille ?

      Enfin, un dernier point sur la certif valable 3 ans. Moi, j'ai passé le TOEIC en 2016, j'ai eu 945 (merci les pages de man, la doc d'Arch et World of Warcraft), je le mets toujours sur mon CV. La durée de validité du diplôme, elle est définie par la personne qui lit le CV, pas par l'institut de formation. Ce que sanctionne le diplôme, c'est une connaissance à un instant t, certes, mais aussi une culture générale du domaine étudié et une capacité de travail, qualités déterminantes pour se mettre à jour. Pour prendre mon exemple, j'ai un diplôme d'état de docteur en médecine. Certaines connaissances que j'ai apprises sont obsolètes, voire sont devenues tellement suboptimales qu'elles seraient dangereuses. On ne traite plus les cancers comme je l'ai appris. On ne traite surtout pas une hépatite C comme je l'ai appris. Il y a aussi des choses que j'ai oubliées. Je ne m'amuserais pas à intuber un patient, alors que je l'ai fait au cours de mes études. Ça n'empêche que je suis recruté pour mon diplôme, par des employeurs qui savent très bien que je suis capable de me mettre à jour. Et on ne me refait pas passer de diplôme pour ça.
      Ceci dit, après coup,je pense que j'aurais beaucoup moins de travail à fournir pour repasser les épreuves de connaissances. Penses-tu que tu pourras repasser la certification dans 3 ans sans bosser autant que la première fois ?

      Ça, ce sont les sources. Le mouton que tu veux est dedans.

      • [^] # Re: Bon chasseur et mauvais chasseur

        Posté par  . Évalué à 1.

        "Sous prétexte que l'inscription est quasi-gratuite en fac de droit, de médecine, en prépa ou école d'ingé…"

        C'est en effet pire que la situation présente en temps qu'employé, je dirais. On n'est même pas fichu de défalquer quelques trimestres obligatoires pour compenser des études supérieures niveau retraite, alors qu'on ne s'est pas vraiment roulé les pouces.

        Il ne faut pas s'étonner que les études supérieures longues attirent moins un de ces jours. Surtout que niveau salaire, le rapport Q/P n'est globalement pas là. Sauf à aller faire x3 de l'autre côté de l'atlantique…

  • # eh beh...

    Posté par  . Évalué à 1.

    très sincèrement, après avoir lu ton pavé, j'espère que :

    a/ t'as fait un gap x2/x3 sur ta rému, que tu nages dans le bassin des "six figures"
    b/ que t'as copine t'as pas quitté (aurélien traquenard lisait autant que tu bossais, ca lui est arrivé)
    c/ que t'as pu retrouver un rythme de sommeil correct
    d/ que ton tel sonne tous les jours pour des propales
    e/ que tu puisses monter ta société, vu combien tu dois rapporter à ta boite
    f/ que le chef de l'ainssi te remettre a médaille de chevalier de la légion d'honneur numérique

    :D

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.