Kevin Mitnick : le CISSP ne sert à rien

C'est marrant, il ne parle pas des autres genre EC-Council; qui eux font vraiment de l'argent pour rien....

De manière générale, la plupart des certifications et organismes associés font de l'argent de manière directe (comme l'ISC2 qui demande une cotisation annuelle et des CPE pour conserver la certification) ou indirecte (certification nécessitant une formation délivrée par certains centres de formation ou simplement une certification qui devra être renouvellée avec les prochaines versions de produits..).

De toute façon, une certification n'est qu'une preuve de l'acquis de connaissances théoriques et ne remplacera jamais l'expérience (elle l'a complète par contre).

Le CISSP a au moins comme avantage de garantir que la personne certifiée dispose d'une bonne vision générale de la sécurité des SI. Par contre c'est clair que cette certification n'a rien à voir avec des connaissances techniques poussées (d'ailleurs elle ne le revendique pas).

Kevin a dû louper sa certif CISSP et c'est pour ça qu'il est aigri

Globalement d'accord avec Squastana !

C'est marrant, Kevin me donne un peu l'impression des stars de rock sur le retour, qui se sentent obligées de critiquer leurs pairs pour se faire remarquer en 'provoquant', un peu à la Oasis pour ceux qui connaissent le groupe

Sinon, pour donner raison à Kevin, et jeter un pavé dans la mare : effectivement, je pense que le CISSP a perdu de la valeur depuis quelques années, avec tous les organismes de formation (notamment internes de SSII) , qui permettent le bachotage et in fine d'avoir le CISSP sans en avoir forcément le niveau.

Maintenant, là où Kevin a faux, c est que le CISSP n'est pas une formation de 'hacking', il n'y a pas que ça dans la monde de la sécurité des SI , mais plutôt une certification généraliste et relativement approfondie, qui permet d'offrir une garantie correcte quant aux connaissances et donc compétences du certifié

En conclusion, encore une fois, d'accord avec Squastana : il a du loupé l exam ... !

-R

Le contenu du programme de certification CISSP semble plein de bon sens. Il a le mérite de véhiculer une vision exhaustive de la sécurité et de privilégier les compromis entre simplicité, risque et technicité.

On constate dans certaines grandes entreprises une confusion entre complexité et sécurité. On pourrait citer en exemple les fanatiques de la segmentation qui, sous prétexte d'étanchéïté, créent sur leur infrastructure plusieurs centaines de VLAN. La conséquence en est une poltique de filtrage illisible, inauditable et probablement médiocrement efficace.

Un RSSI sensibilisé au compromis risque/sécurité n'aurait peut-être pas organisé son architecture d'une telle manière.

En tout cas il est bon en marketing Mitnick, voilà sa business card : http://www.flickr.com/photos/ranh/10670 ... 106709219/ ... il a du avoir l'idee en prison !

Kevin enfonce des portes ouvertes, il est évident qu'une certification ou qu'un diplome quelconque ne confère pas une expérience

Il insiste très lourdement sur la certification, je pense comme mes collègues qu'il doit avoir des comptes à régler...

Peut-être qu'après cet article l'ISC2 ne validera plus de CPE pour l'achat de livres de Kevin

Nota : La belle carte de visite lockpicking de Kevin est totalement inspirée de celle de Melvin.net qui lui aurait donné l'autorisation de la copier. http://spiralbound.net/2006/01/23/melvi ... iness-card

J'ai tout de même l'impression que c'est un peu gadget... la souplesse de l'acier de ces cartes n'est pas très agréable à utiliser. Les rossignols classiques, bien rigides, sont préférables imho.

Et puis, comparé à la "7 zéros tubulaire" de I-Hack

http://www.i-hacked.com/content/view/19 ... iew/199/1/

... on n'est plus dans la même catégorie

Il me semble toutefois que la palme de la délicatesse et de la distinction doit être accordée à Marcus Ranum (Tenable)

http://www.ranum.com/fun/bsu/safecracki ... index.html

car sa manière de chatouiller les serrures de coffres forts est probablement la plus rapide que je connaisse. Mitnick a encore beaucoup de progrès à faire

Pour en revenir à l'affaire CISSP, un article de ce type avait déjà été publié dans le Focus, sous la plume de Scott Granneman si j'ai bonne mémoire. Il y a plus de 5 ou 6 ans de cela d'ailleurs. Il y avait eu quelques grincements de dents, et puis l'affaire s'était calmée.

Marc