Personne n’a probablement été plus surpris que la direction du Consortium International des Certifications de Sécurité des Systèmes d’Information (ISC) 2, lorsque Namit Merchant, lycéen indien de 16 ans, a passé et réussi le rigoureux examen Certified Information Security Systems Professional (CISSP) l’année dernière.
Avant même que Merchant ne se présente à l’examen, (ISC) 2 avait jeté les bases d’un resserrement des exigences pour les titres de compétences professionnels les plus connus de l’industrie. À compter de janvier 2003, les candidats au PCIS auront besoin d’un diplôme de quatre ans ou de quatre ans d’expérience de travail, ce qui est beaucoup plus rigoureux que la condition préalable actuelle de trois ans d’expérience.
Le changement est un pas dans la bonne direction. Si le CISSP doit rester le porte-étendard des certifications de sécurité, alors (ISC) 2 doit correctement contrôler les candidats pour s’assurer que seuls les plus qualifiés atteignent cette marque d’excellence. À tout le moins, les nouvelles exigences devraient réduire la probabilité que (ISC)2 certifie d’autres adolescents. (C’est une bonne nouvelle pour Merchant, car cela signifiera probablement qu’il détiendra le titre de plus jeune CISSP pendant longtemps.)
Le problème est que (ISC) 2 ne dispose pas de l’infrastructure nécessaire pour vérifier les antécédents professionnels ou scolaires de chaque candidat, ce qui signifie que certains candidats moins scrupuleux passeront probablement entre les mailles du filet.
Ne présumons pas que tous les oublis de vérification seront malveillants. Les exigences de certification CISSP existantes sont les suivantes: (1) accepter le Code d’éthique (ISC) 2, (2) réussir l’examen et (3) avoir trois ans d’expérience directe en sécurité dans un ou plusieurs des 10 domaines. Les deux premières exigences sont simples à gérer – demandez au candidat de signer le Code d’engagement éthique et de passer le test. Mais la vérification des qualifications est une entreprise importante.
Une vérification complète a été effectuée dans le passé. Avant qu’il y ait un examen CISSP, (ISC) 2 accordait des certifications aux professionnels dans le cadre de son programme de « droits acquis » basé uniquement sur leur expérience. Ces professionnels bénéficiant de droits acquis sont ceux qui ont créé le Corpus de connaissances commun original (CBK) et le premier examen du CISSP. Comme seul un petit nombre de personnes bénéficiaient de droits acquis, un comité de bénévoles a pu gérer la charge de travail.
Mais avec des milliers de candidats du monde entier chaque année, un seul comité ne peut évidemment pas vérifier les milliers de demandes CISSP (ISC)2 reçues chaque année. Actuellement, les processus d’application, de vérification, de planification des tests et de recertification sont confiés à (ISC) 2 Services, une branche de Scholder Measurement Technologies (SMT), la société de test qui maintient et note les examens CISSP et Systems Security Certified Practioner (SSCP). Mais Scholder n’est pas responsable des vérifications.
Le problème de vérification monumental ne signifie pas que (ISC) 2 devrait abandonner ses normes élevées. Au lieu de cela, il devrait adopter d’autres contrôles complémentaires qui amélioreront sa capacité à vérifier les qualifications des candidats du CISSP.
La vérification ponctuelle est un moyen possible d’équilibrer le coût et les exigences de la vérification, mais ce n’est pas idéal. Les auditeurs peuvent trouver l’embellissement occasionnel des candidats, mais il y a toujours une forte probabilité que de nombreuses personnes non qualifiées échappent au dépistage.
Le parrainage est une méthode de vérification pratique qui nécessite un effort minimal de la part de (ISC) 2. Chaque CISSP est tenu de respecter le Code d’éthique, de sorte que (ISC) 2 peut réduire une partie du fardeau de la vérification des candidats en demandant aux CISSP de valider l’admissibilité d’un candidat. Il est peu probable qu’un membre en règle risque de perdre son titre de compétence en parrainant un candidat non qualifié. En outre, il est beaucoup plus facile de rechercher un CISSP existant que de vérifier les études et les antécédents professionnels d’un candidat.
Changer la façon dont l’expérience est rapportée peut également aider. Le formulaire de demande actuel du CISSP demande des renseignements sur l’emploi, mais il est dépourvu des coordonnées nécessaires à la vérification des antécédents. La collecte de la description de poste et des contacts de vérification, du nombre d’années d’expérience et du pourcentage de travail de sécurité effectué aiderait les candidats à évaluer correctement leur expérience de « travail direct » et faciliterait la vérification. Les descriptions de poste et les pourcentages peuvent être comparés aux normes de l’industrie et les coordonnées peuvent être utilisées pour vérifier la composante de sécurité de chaque poste répertorié.
Ces mesures ne sont pas parfaites, mais elles pourraient améliorer le processus de vérification et réduire le nombre d’applications que (ISC) 2 devrait vérifier. Les efforts déployés par l’organisation pour défendre et renforcer la valeur du PCIS sont certainement louables. Espérons que (ISC) 2 donnera suite à ses exigences plus strictes avec des pratiques de vérification encore plus définitives.
À propos de l’auteur: William Stackpole, CISSP, est un bénévole actif (ISC)2 et un ancien président et membre actuel du Comité de développement des tests du CISSP.