fr
en
Prérequis CISSP : Mythe vs Réalité (Faut-il vraiment 5 ans d'expérience ?)
La certification CISSP est-elle réservée aux professionnels chevronnés ? Cette question revient sans cesse dans les forums de cybersécurité. L'exigence des « 5 ans d'expérience requise » semble être un mur infranchissable pour de nombreux candidats. Pourtant, la réalité est bien plus nuancée. Décryptage des prérequis CISSP et démystification des idées reçues.
Le mythe des 5 ans : comprendre la vraie exigence
Ce que dit officiellement ISC²
Selon les prérequis officiels d'ISC², les candidats doivent justifier de cinq années cumulées d'expérience professionnelle rémunérée à temps plein dans au moins deux des huit domaines du CISSP Common Body of Knowledge (CBK).
Cette formulation précise crée souvent de la confusion. Beaucoup interprètent cela comme « vous ne pouvez même pas passer l'examen sans 5 ans d'expérience ». C'est faux.
La réalité : vous pouvez passer l'examen SANS expérience
Voici le point crucial que beaucoup ignorent : vous pouvez passer l'examen CISSP sans avoir les cinq années d'expérience requises. Si vous réussissez l'examen sans remplir les conditions d'expérience, vous obtenez le titre d'Associate of ISC² plutôt que la certification CISSP complète.
En tant qu'Associate, vous disposez alors de six ans maximum pour acquérir l'expérience professionnelle nécessaire et accéder à la certification CISSP complète. Une fois l'expérience validée, votre statut est automatiquement mis à niveau.
Parcours complet vers la certification CISSP
Cette infographie illustre les différents chemins possibles pour obtenir votre certification CISSP, que vous ayez ou non l'expérience requise au départ. Notez bien les deux parcours post-examen qui s'offrent à vous !
Les dispenses d'expérience : réduire à 4 ans
La dispense d'un an : comment en bénéficier ?
ISC² permet de réduire l'exigence d'expérience d'une année complète si vous possédez :
- Un diplôme universitaire de 4 ans (licence ou équivalent régional) dans n'importe quel domaine
- Un diplôme avancé (master, doctorat) en sécurité de l'information
- Une certification approuvée par ISC² figurant sur leur liste officielle
Avec cette dispense, vous ne devez justifier que de 4 ans d'expérience professionnelle au lieu de 5.
Changements importants en avril 2026
Attention : À partir du 1er avril 2026, ISC² réduit considérablement la liste des certifications acceptées pour la dispense d'un an. Si votre stratégie repose sur une certification spécifique pour obtenir cette dispense, vérifiez qu'elle reste éligible après cette date.
Qu'est-ce qui compte comme « expérience valide » ?
Les critères d'ISC²
Pour que votre expérience soit acceptée, elle doit être :
- Rémunérée – Les stages non rémunérés et le bénévolat ne comptent généralement pas
- À temps plein – Minimum 35 heures par semaine (les emplois à temps partiel peuvent être cumulés)
- Cumulative – Pas nécessairement consécutive, vous pouvez additionner différentes périodes liées à au moins 2 des 8 domaines CISSP – Votre expérience doit couvrir au minimum deux domaines du CBK
Les 8 domaines du CISSP
Votre expérience doit s'inscrire dans au moins deux de ces domaines :
- Sécurité et gestion des risques
- Sécurité des actifs
- Architecture et ingénierie de sécurité
- Sécurité des communications et des réseaux
- Gestion des identités et des accès (IAM)
- Évaluation et tests de sécurité
- Opérations de sécurité
- Sécurité du développement logiciel
Ce qui compte réellement
L'erreur courante est de penser qu'il faut un titre de poste spécifique. En réalité, ISC² évalue les responsabilités réelles, pas les intitulés. Un administrateur système qui gère des contrôles d'accès et effectue des évaluations de vulnérabilités peut justifier d'une expérience valide dans plusieurs domaines CISSP.
Stratégies pour les candidats juniors
1. La voie Associate of ISC²
Pour qui ? Les professionnels avec moins de 4-5 ans d'expérience qui veulent valider leurs connaissances.
Avantages :
- Démontre votre expertise théorique immédiatement
- Ajoute de la crédibilité à votre CV pendant que vous accumulez l'expérience
- Aucune pression temporelle : vous avez 6 ans pour compléter l'expérience
Inconvénients :
- Vous ne pouvez pas utiliser le titre CISSP officiellement
- Certains employeurs ne comprennent pas la différence entre Associate et CISSP
2. Cibler les domaines pertinents dès maintenant
Même si vous êtes en début de carrière, orientez vos missions professionnelles vers des responsabilités qui correspondent aux 8 domaines. Documentez méticuleusement :
- Les projets de sécurité auxquels vous participez
- Les politiques de sécurité que vous appliquez
- Les évaluations et audits que vous réalisez
3. Obtenir d'abord une certification éligible à la dispense
Envisagez de passer d'abord une certification comme CompTIA Security+, CCSP, ou CISM (vérifiez la liste ISC² mise à jour pour 2026) pour réduire l'exigence à 4 ans.
Vérification de l'expérience : ISC² contrôle-t-il vraiment ?
Oui, absolument. ISC² vérifie les expériences déclarées via :
- Un endorsement obligatoire par un professionnel CISSP certifié qui peut attester de votre expérience
- Un processus d'audit aléatoire où vous devrez fournir des preuves (lettres d'employeurs, fiches de poste, etc.)
- Des sanctions sévères en cas de fausse déclaration, pouvant aller jusqu'à l'interdiction permanente
Ne mentez jamais sur votre expérience. Les conséquences ne valent pas le risque.
Démystifier les prérequis CISSP
Le mythe des « 5 ans obligatoires » empêche de nombreux professionnels talentueux de se lancer dans la certification CISSP. La réalité est plus flexible :
- Vous pouvez passer l'examen sans expérience (statut Associate)
- Une dispense peut réduire l'exigence à 4 ans
- L'expérience peut être cumulative et non consecutive
- Ce sont vos responsabilités réelles qui comptent, pas votre titre de poste
La clé est de bien comprendre ces nuances pour élaborer une stratégie adaptée à votre situation. Que vous soyez débutant ou professionnel expérimenté, il existe un chemin vers le CISSP.