Skip links
0645066933
CEH - Devenez un hacker éthique certifié et sécurisez l'avenir numérique

Ec-council | Learning

Certified Chief Information Security Officer | CCISO Certification

Ask a Training Consultant

Le programme de Directeur de la Sécurité de l’Information Certifié (CCISO) de l’EC-Council a certifié des professionnels de la sécurité de l’information de premier plan à travers le monde. Un groupe central d’exécutifs en sécurité de l’information de haut niveau, le Conseil consultatif CCISO, a constitué la base du programme et a défini le contenu couvert par l’examen, le corpus de connaissances et la formation. Certains membres du Conseil ont contribué en tant qu’auteurs, d’autres en tant que rédacteurs d’examens, d’autres en tant que contrôleurs de la qualité, et d’autres encore en tant qu’instructeurs. Chaque segment du programme a été développé en pensant au CISO aspirant et en poste, et vise à transférer les connaissances des dirigeants expérimentés à la prochaine génération de leaders dans les domaines les plus critiques pour le développement et le maintien d’un programme de sécurité de l’information réussi.

À propos du cours de Directeur Certifié de l'Information (CCISO)

La certification CCISO est un programme de certification en sécurité de premier plan dans l’industrie qui reconnaît l’expérience du monde réel nécessaire pour réussir aux plus hauts niveaux exécutifs de la sécurité de l’information. Rassemblant tous les composants requis pour un poste de niveau C, le programme CCISO combine la gestion des audits, la gouvernance, les contrôles de sécurité de l’information, la gestion des ressources humaines, le développement de programmes stratégiques et l’expertise financière essentielle à la direction d’un programme de sécurité de l’information hautement réussi. Le rôle du CISO est bien trop important pour être appris par essais et erreurs. Les compétences en gestion au niveau exécutif ne sont pas des domaines qui devraient être appris sur le tas.

Le matériel du programme CCISO part du principe qu’il existe une compréhension de haut niveau des sujets techniques et ne consacre pas beaucoup de temps aux informations strictement techniques, mais plutôt à l’application des connaissances techniques au travail quotidien d’un cadre en sécurité de l’information. Le CCISO vise à combler l’écart entre les connaissances en gestion exécutive dont ont besoin les CISOs et les connaissances techniques que de nombreux CISOs en poste ou aspirants possèdent. Cet écart peut être crucial pour un praticien qui s’efforce de passer de la gestion intermédiaire à des rôles de gestion exécutive supérieure. Une grande partie de cela est traditionnellement apprise par le biais de la formation sur le tas, mais le programme de formation CCISO peut être la clé d’une transition réussie vers les plus hauts niveaux de gestion de la sécurité de l’information.

Domaine 1 : Gouvernance et gestion des risques

  1. Définir, mettre en œuvre, gérer et maintenir un programme de gouvernance de la sécurité de l’information
    1.1. Forme d’organisation commerciale
    1.2. Industrie
    1.3. Maturité organisationnelle
  2. Facteurs de sécurité de l’information
  3. Établir une structure de gestion de la sécurité de l’information
    3.1. Structure organisationnelle
    3.2. Position du CISO au sein de la structure organisationnelle
    3.3. Le CISO exécutif
    3.4. CISO non exécutif
  4. Lois/Réglementations/Normes en tant que moteurs de la politique/standards/procédures organisationnelles
  5. Gestion d’un programme de conformité en matière de sécurité de l’information au niveau de l’entreprise
    5.1. Politique de sécurité
    5.1.1. Nécessité d’une politique de sécurité
    5.1.2. Défis de la politique de sécurité
    5.2. Contenu de la politique
    5.2.1. Types de politiques
    5.2.2. Mise en œuvre de la politique
    5.3. Structure de reporting
    5.4. Normes et meilleures pratiques
    5.5. Leadership et éthique
    5.6. Code de déontologie de l’EC-Council
  6. Introduction à la gestion des risques
    6.1. Structure organisationnelle
    6.2. Position du CISO au sein de la structure organisationnelle
    6.3. Le CISO exécutif
    6.4. CISO non exécutif

Domaine 2 : Contrôles de sécurité de l’information, conformité et gestion des audits

  1. Contrôles de sécurité de l’information
    1.1. Identifier les besoins en sécurité de l’information de l’organisation
    1.1.1. Identifier le cadre de sécurité de l’information optimal
    1.1.2. Concevoir des contrôles de sécurité
    1.1.3. Gestion du cycle de vie des contrôles
    1.1.4. Classification des contrôles
    1.1.5. Sélection et mise en œuvre des contrôles
    1.1.6. Catalogue des contrôles
    1.1.7. Maturité des contrôles
    1.1.8. Surveillance des contrôles de sécurité
    1.1.9. Remédiation des lacunes de contrôle
    1.1.10. Maintien des contrôles de sécurité
    1.1.11. Reporting des contrôles
    1.1.12. Catalogue de services de sécurité de l’information

  2. Gestion de la conformité
    2.1. Actes, lois et statuts
    2.1.1. FISMA
    2.2. Règlements
    2.2.1. GDPR
    2.3. Normes
    2.3.1. ASD—Manuel de sécurité de l’information
    2.3.2. Bâle III
    2.3.3. FFIEC
    2.3.4. Famille de normes ISO 00
    2.3.5. NERC-CIP
    2.3.6. PCI DSS
    2.3.7. Publications spéciales NIST
    2.3.8. Énoncé sur les normes pour les engagements d’attestation No. 16 (SSAE 16)

  3. Lignes directrices, bonnes et meilleures pratiques
    3.1. CIS
    3.1.1. OWASP

  4. Gestion des audits
    4.1. Attentes et résultats des audits
    4.2. Pratiques d’audit IS
    4.2.1. Orientation ISO/IEC pour les audits
    4.2.2. Audits internes versus externes
    4.2.3. Partenariat avec l’organisation d’audit
    4.2.4. Processus d’audit
    4.2.5. Normes générales d’audit
    4.2.6. Audits basés sur la conformité
    4.2.7. Audits basés sur les risques
    4.2.8. Gestion et protection de la documentation d’audit
    4.2.9. Réalisation d’un audit
    4.2.10. Évaluation des résultats d’audit et rapport
    4.2.11. Remédiation des constatations d’audit
    4.2.12. Utilisation des logiciels GRC pour soutenir les audits

  5. Résumé

Domaine 3 : Gestion et opérations du programme de sécurité

  1. Gestion de programme
    1.1. Définir une charte de sécurité, des objectifs, des exigences, des parties prenantes et des stratégies
    1.1.1. Charte du programme de sécurité
    1.1.2. Objectifs du programme de sécurité
    1.1.3. Exigences du programme de sécurité
    1.1.4. Parties prenantes du programme de sécurité
    1.1.5. Élaboration de la stratégie du programme de sécurité
    1.2. Exécution d’un programme de sécurité de l’information
    1.3. Définir, développer, gérer et surveiller le programme de sécurité de l’information
    1.3.1. Définir le budget d’un programme de sécurité de l’information
    1.3.2. Élaborer un budget pour le programme de sécurité de l’information
    1.3.3. Gérer le budget d’un programme de sécurité de l’information
    1.3.4. Surveiller le budget d’un programme de sécurité de l’information
    1.4. Définir et développer les besoins en personnel du programme de sécurité de l’information
    1.5. Gérer les personnes d’un programme de sécurité
    1.5.1. Résoudre les problèmes de personnel et de travail d’équipe
    1.5.2. Gérer la formation et la certification des membres de l’équipe de sécurité
    1.5.3. Chemin de carrière clairement défini
    1.5.4. Concevoir et mettre en œuvre un programme de sensibilisation des utilisateurs
    1.6. Gérer l’architecture et la feuille de route du programme de sécurité
    1.6.1. Architecture du programme de sécurité de l’information
    1.6.2. Feuille de route du programme de sécurité de l’information
    1.7. Gestion de programme et gouvernance
    1.7.1. Comprendre les pratiques de gestion de projet
    1.7.2. Identifier et gérer les parties prenantes du projet
    1.7.3. Mesurer l’efficacité des projets
    1.8. Gestion de la continuité des activités (BCM) et planification de la reprise après sinistre (DRP)
    1.9. Sauvegarde et récupération des données
    1.10. Stratégie de sauvegarde
    1.11. Normes ISO BCM
    1.11.1. Gestion de la continuité des activités (BCM)
    1.11.2. Planification de la reprise après sinistre (DRP)
    1.12. Continuité des opérations de sécurité
    1.12.1. Intégration du modèle de confidentialité, d’intégrité et de disponibilité (CIA)
    1.13. Tests du plan BCM
    1.14. Tests du DRP
    1.15. Planification, opérations et programmes de tests pour atténuer les risques et respecter les accords de niveau de service (SLA)
    1.16. Réponse aux incidents informatiques
    1.16.1. Outils de réponse aux incidents
    1.16.2. Gestion de la réponse aux incidents
    1.16.3. Communications de réponse aux incidents
    1.16.4. Analyse post-incident
    1.16.5. Tests des procédures de réponse aux incidents
    1.17. Criminalistique numérique
    1.17.1. Gestion de crise
    1.17.2. Cycle de vie de la criminalistique numérique

  2. Gestion des opérations
    2.1. Établir et faire fonctionner une capacité d’opérations de sécurité (SecOps)
    2.2. Surveillance de la sécurité et gestion des informations et des événements de sécurité (SIEM)
    2.3. Gestion des événements
    2.4. Modèle de réponse aux incidents
    2.4.1. Élaboration de scénarios de réponse aux incidents spécifiques
    2.5. Gestion des menaces
    2.6. Renseignement sur les menaces
    2.6.1. Centres de partage et d’analyse d’informations (ISAC)
    2.7. Gestion des vulnérabilités
    2.7.1. Évaluations des vulnérabilités
    2.7.2. Gestion des vulnérabilités en pratique
    2.7.3. Tests d’intrusion
    2.7.4. Équipes de tests de sécurité
    2.7.5. Remédiation
    2.8. Chasse aux menaces

  3. Résumé

Domaine 4 : Compétences fondamentales en sécurité de l’information

  1. Contrôle d’accès
    1.1. Authentification, Autorisation et Audit
    1.2. Authentification
    1.3. Autorisation
    1.4. Audit
    1.5. Restrictions d’accès des utilisateurs
    1.6. Gestion du comportement d’accès des utilisateurs
    1.7. Types de modèles de contrôle d’accès
    1.8. Conception d’un plan de contrôle d’accès
    1.9. Administration des accès

  2. Sécurité physique
    2.1. Concevoir, mettre en œuvre et gérer un programme de sécurité physique
    2.1.1. Évaluation des risques physiques
    2.2. Considérations sur l’emplacement physique
    2.3. Obstacles et prévention
    2.4. Conception d’installations sécurisées
    2.4.1. Centre d’opérations de sécurité
    2.4.2. Installation d’informations sensibles compartimentées
    2.4.3. Laboratoire de criminalistique numérique
    2.4.4. Centre de données
    2.5. Préparation aux audits de sécurité physique

  3. Sécurité des réseaux
    3.1. Évaluations et planification de la sécurité des réseaux
    3.2. Défis de l’architecture de sécurité des réseaux
    3.3. Conception de la sécurité des réseaux
    3.4. Normes, protocoles et contrôles de sécurité des réseaux
    3.4.1. Normes de sécurité des réseaux
    3.4.2. Protocoles
    4.1.1. Contrôles de sécurité des réseaux
    4.2. Sécurité sans fil (Wi-Fi)
    4.2.1. Risques sans fil
    4.2.2. Contrôles sans fil
    4.3. Sécurité de la voix sur IP

  4. Protection des points de terminaison
    5.1. Menaces aux points de terminaison
    5.2. Vulnérabilités des points de terminaison
    5.3. Sensibilisation à la sécurité des utilisateurs finaux
    5.4. Durcissement des dispositifs de point de terminaison
    5.5. Journalisation des dispositifs de point de terminaison
    5.6. Sécurité des dispositifs mobiles
    5.6.1. Risques des dispositifs mobiles
    5.6.2. Contrôles de sécurité des dispositifs mobiles
    5.7. Sécurité de l’Internet des objets (IoT)
    5.7.1. Protection des dispositifs IoT

  5. Sécurité des applications
    6.1. Modèle SDLC sécurisé
    6.2. Séparation des environnements de développement, de test et de production
    6.3. Approches de test de sécurité des applications
    6.4. DevSecOps
    6.5. Méthodologie en cascade et sécurité
    6.6. Méthodologie agile et sécurité
    6.7. Autres approches de développement d’applications
    6.8. Durcissement des applications
    6.9. Technologies de sécurité des applications
    6.10. Contrôle de version et gestion des correctifs
    6.11. Sécurité des bases de données
    6.12. Durcissement des bases de données
    6.13. Pratiques de codage sécurisé

  6. Technologies de cryptage
    7.1. Cryptage et décryptage
    7.2. Cryptosystèmes
    7.2.1. Blockchain
    7.2.2. Signatures et certificats numériques
    7.2.3. PKI
    7.2.4. Gestion des clés
    7.3. Hachage
    7.4. Algorithmes de cryptage
    7.5. Élaboration de la stratégie de cryptage
    7.5.1. Détermination de l’emplacement et du type de données critiques
    7.5.2. Décider quoi crypter
    7.5.3. Déterminer les exigences de cryptage
    7.5.4. Sélectionner, intégrer et gérer les technologies de cryptage

  7. Sécurité de la virtualisation
    8.1. Vue d’ensemble de la virtualisation
    8.2. Risques de la virtualisation
    8.3. Préoccupations en matière de sécurité de la virtualisation
    8.4. Contrôles de sécurité de la virtualisation
    8.5. Modèle de référence de sécurité de la virtualisation

  8. Sécurité du cloud computing
    9.1. Vue d’ensemble du cloud computing
    9.2. Services cloud de sécurité et de résilience
    9.3. Préoccupations en matière de sécurité du cloud
    9.4. Contrôles de sécurité du cloud
    9.5. Considérations de protection en matière de cloud computing

  9. Technologies transformantes
    10.1. Intelligence artificielle
    10.2. Réalité augmentée
    10.3. SOC autonome
    10.4. Déception dynamique
    10.5. Cyber-sécurité définie par logiciel

  10. Résumé

Domaine 5 : Planification stratégique, finances, approvisionnement et gestion des fournisseurs

  1. Planification stratégique
    1.1. Comprendre l’organisation
    1.1.1. Comprendre la structure de l’entreprise
    1.1.2. Déterminer et aligner les objectifs commerciaux et de sécurité de l’information
    1.1.3. Identifier les sponsors, parties prenantes et influenceurs clés
    1.1.4. Comprendre les finances organisationnelles
    1.2. Créer un plan stratégique de sécurité de l’information
    1.2.1. Notions de base de la planification stratégique
    1.2.2. Alignement sur la stratégie et les objectifs organisationnels
    1.2.3. Définir des objectifs tactiques à court, moyen et long terme en matière de sécurité de l’information
    1.2.4. Communication de la stratégie de sécurité de l’information
    1.2.5. Créer une culture de la sécurité

  2. Conception, développement et maintenance d’un programme de sécurité de l’information au sein de l’entreprise
    2.1. Assurer une base solide pour le programme
    2.2. Perspectives architecturales
    2.3. Créer des mesures et des indicateurs
    2.4. Tableau de bord équilibré
    2.5. Suivi continu et rapport des résultats
    2.6. Amélioration continue
    2.7. Amélioration continue des services (CSI) selon la bibliothèque des infrastructures informatiques (ITIL)

  3. Compréhension de l’architecture d’entreprise (EA)
    3.1. Types d’EA
    3.1.1. Le cadre de Zachman
    3.1.2. Le cadre d’architecture du groupe Open (TOGAF)
    3.1.3. Architecture de sécurité des affaires appliquée de Sherwood (SABSA)
    3.1.4. Cadre d’architecture d’entreprise fédérale (FEAF)

  4. Finances
    4.1. Comprendre le financement des programmes de sécurité
    4.2. Analyser, prévoir et développer un budget de sécurité
    4.2.1. Exigences en matière de ressources
    4.2.2. Définir des indicateurs financiers
    4.2.3. Renouvellement technologique
    4.2.4. Financement de nouveaux projets
    4.2.5. Financement de contingence
    4.3. Gestion du budget de sécurité de l’information
    4.3.1. Obtenir des ressources financières
    4.3.2. Allouer des ressources financières
    4.3.3. Suivi et surveillance du budget de sécurité de l’information
    4.3.4. Rapport des indicateurs aux sponsors et parties prenantes
    4.3.5. Équilibrer le budget de sécurité de l’information

  5. Approvisionnement
    5.1. Termes et concepts du programme d’approvisionnement
    5.1.1. Déclaration des objectifs (SOO)
    5.1.2. Déclaration de travail (SOW)
    5.1.3. Coût total de possession (TCO)
    5.1.4. Demande d’informations (RFI)
    5.1.5. Demande de propositions (RFP)
    5.1.6. Accord-cadre de service (MSA)
    5.1.7. Accord sur le niveau de service (SLA)
    5.1.8. Termes et conditions (T&C)
    5.2. Comprendre le programme d’approvisionnement de l’organisation
    5.2.1. Politiques, processus et exigences internes
    5.2.2. Exigences externes ou réglementaires
    5.2.3. Exigences locales par rapport aux exigences mondiales
    5.3. Gestion des risques d’approvisionnement
    5.3.1. Langage contractuel standard

  6. Gestion des fournisseurs
    6.1. Comprendre les politiques et procédures d’acquisition de l’organisation
    6.1.1. Cycle de vie de l’approvisionnement
    6.2. Application de l’analyse coût-bénéfice (CBA) pendant le processus d’approvisionnement
    6.3. Politiques de gestion des fournisseurs
    6.4. Politiques d’administration des contrats
    6.4.1. Indicateurs de service et de livraison des contrats
    6.4.2. Rapport de livraison des contrats
    6.4.3. Demandes de changement
    6.4.4. Renouvellement de contrat
    6.4.5. Clôture de contrat
    6.5. Assurance de livraison
    6.5.1. Validation de la conformité aux exigences contractuelles
    6.5.2. Audits formels de livraison
    6.5.3. Audits de livraison périodiques et aléatoires
    6.5.4. Services d’attestation de tiers (TPRM)

  7. Résumé

Exigences Minimales

Pour pouvoir se présenter à l’examen CCISO sans avoir suivi de formation, les candidats doivent avoir cinq ans d’expérience dans chacun des 5 domaines CCISO, vérifiée via la demande d’éligibilité à l’examen.

Pour se présenter à l’examen après avoir suivi une formation, les candidats doivent avoir cinq ans d’expérience dans trois des cinq domaines CCISO, vérifiée via la demande d’éligibilité à l’examen.

Des exemptions pour le CCISO sont disponibles pour les candidats en auto-apprentissage.

DomaineDispenses Éducatives
1. Gouvernance et Gestion des RisquesPh.D. en Sécurité de l’information – 3 ans, MS en Gestion de la sécurité de l’information, MS en Ingénierie de la sécurité de l’information – 2 ans, BS en Sécurité de l’information – 2 ans
2. Contrôles de Sécurité de l’Information, Conformité et Gestion des AuditsPh.D. en sécurité de l’information – 3 ans, MS en gestion de la sécurité de l’information, MS en ingénierie de la sécurité de l’information – 2 ans, BS en sécurité de l’information – 2 ans.
3. Gestion et Opérations des Programmes de SécuritéPh.D. en sécurité de l’information – 3 ans, MS en sécurité de l’information ou MS en gestion de projet – 2 ans, BS en sécurité de l’information – 2 ans.
4. Compétences de Base en Sécurité de l’InformationPh.D. en sécurité de l’information – 3 ans, MS en sécurité de l’information – 2 ans, BS en sécurité de l’information – 2 ans.
5. Planification Stratégique, Finances, Approvisionnement et Gestion des FournisseursCPA, MBA, M. Fin. – 3 ans
À propos de l’examen

Il existe trois niveaux cognitifs testés lors de l’examen CCISO.

Niveau 1 – Connaissance : Ce niveau cognitif de questions sert à rappeler des faits mémorisés. C’est le niveau cognitif le plus basique, rarement accepté dans les certifications, car il ne reconnaît que la capacité du candidat à mémoriser des informations. Il peut être utilisé efficacement pour demander des définitions de base, des normes ou tout fait concret.

Niveau 2 – Application : Ce niveau cognitif de questions permet d’évaluer la capacité du candidat à comprendre l’application d’un concept donné. Il diffère des questions de connaissance en ce sens qu’il nécessite la compréhension et l’application correcte d’un concept, et non seulement la connaissance du concept lui-même. Ce type de question requiert souvent un contexte supplémentaire avant que la question réelle ne soit posée.

Niveau 3 – Analyse : Ce niveau cognitif de questions permet d’identifier la capacité du candidat à identifier et résoudre un problème donné une série de variables et de contexte. Les questions d’analyse diffèrent grandement des questions basées sur l’application en ce sens qu’elles exigent non seulement l’applicabilité d’un concept, mais aussi comment un concept, dans certaines contraintes, peut être utilisé pour résoudre un problème.

Note de passage

Pour maintenir la haute intégrité de nos examens de certification, les examens de l’EC-Council sont fournis sous plusieurs formes (c’est-à-dire différentes banques de questions). Chaque forme est soigneusement analysée par le biais de tests bêta avec un groupe d’échantillonnage approprié, sous l’égide d’un comité d’experts en la matière, qui s’assure que chacun de nos examens a non seulement une rigueur académique, mais aussi une applicabilité « dans le monde réel ». Nous avons également un processus pour déterminer le niveau de difficulté de chaque question. La note individuelle contribue ensuite à une « note de coupe » globale pour chaque forme d’examen. Pour garantir que chaque forme ait des normes d’évaluation égales, les notes de coupe sont établies sur une base « par forme d’examen ». Selon la forme d’examen, les notes de coupe peuvent varier de 60 % à 78 %.

Détails de l’examen
  • Nombre de questions : 150
  • Durée de l’examen : 2,5 heures
  • Format de l’examen : Choix multiples
  • Plateforme de l’examen : Portail d’examen ECC
  • Directeur, Directeur de la Sécurité de l’Information (CISO), Google Cloud
  • CISO adjoint
  • VP et Directeur de la Sécurité de l’Information
  • Directeur de la Sécurité de l’Information (VP)
  • Directeur des Systèmes, Sécurité des Systèmes d’Information – CISO
  • Responsable de la Protection de la Vie Privée
  • VICE-PRÉSIDENT ASSOCIÉ ET DIRECTEUR DE LA SÉCURITÉ DE L’INFORMATION
  • Responsable de la Sécurité
  • CIO COO
  • Directeur Exécutif Adjoint – Directeur de la Sécurité de l’Information
  • CISO, Renseignements sur les Menaces
  • Directeur Technique (CTO)
  • Directeur des Données
  • VP, Sécurité de l’Information
  • Responsable de la Sécurité de l’Information
  • Responsable de la Conformité
  • Expert en Cybersécurité Senior, CIO SME
  • Responsable Régional de l’Information
À propos d’OhPhish

OhPhish est un excellent moyen pour les CCISO de donner un coup d’envoi aux programmes de sensibilisation à la sécurité dans leurs entreprises, et ce, sans frais. OhPhish est une solution simple et conviviale pour réaliser des simulations de phishing et des formations en ligne. Le lancement de simulations de phishing est facilité grâce à des modèles de phishing préexistants et des connecteurs pour les référentiels d’identité autorisés (comme Active Directory). La solution envoie non seulement des e-mails et des campagnes personnalisés, mais elle suit également les réponses et les actions (comme les clics sur les liens ou l’ouverture des pièces jointes) en temps réel, fournissant des tendances ainsi que des rapports détaillés par utilisateur, département ou autres démographies clés.

Brochure
Explore
Drag