⚠️ Fail Analysis

Pourquoi les gens ratent Certified Information Systems Security Professional (CISSP)

Le CISSP est moins un examen de connaissances qu'un test de mindset. La plupart des candidats échouent non pas par manque de mémorisation des 8 domaines, mais parce qu'ils répondent en "techie" (la réponse techniquement correcte) au lieu de "manager" (la réponse que (ISC)² attend de quelqu'un qui dirige un programme sécurité). 5 erreurs récurrentes sur r/cissp et ISC2 Community.

Révisé 2026-05 (ISC)² ne publie pas de taux officiel. Estimations communautaires (r/cissp) : ~35-45% au premier passage — le plus dur des certs sécurité mainstream.

TL;DRLe CISSP teste la PRIORITÉ du manager sécurité, pas la pureté technique de l'expert. Si tu choisis 'tu installes un firewall' alors que la bonne réponse est 'tu fais l'analyse de risque d'abord', tu rates même en sachant tout.

Top 5 erreurs (du plus fréquent au moins fréquent)

Répondre en techie : choisir la solution technique au lieu de la décision manager.

Cause #1 d'échec d'après les post-mortems r/cissp — citée dans la majorité des 'je connaissais tout mais j'ai raté'.

Le CISSP veut tester si tu peux DIRIGER un programme sécurité, pas si tu sais configurer un firewall. Si la question dit 'une nouvelle vulnérabilité critique vient d'être découverte sur ton réseau, que fais-tu en premier ?', la bonne réponse n'est PAS 'patcher' ou 'isoler le système' — c'est presque toujours 'informer le management / activer le plan d'incident response / faire l'analyse de risque'. Le 'manager mindset' bat le 'techie mindset' sur 30-40% des questions.

Le fixPour chaque question d'examen blanc, demande-toi : 'Si j'étais le RSSI, quelle décision prendrais-je AVANT de toucher à la technique ?'. Les bonnes réponses suivent presque toujours l'ordre : (1) Policy/Risk Assessment → (2) Management Approval → (3) Implementation → (4) Monitoring. La technique vient en dernier.

Sous-estimer le poids du Domain 1 (Security & Risk Management) — ~15% de l'examen.

Erreur récurrente chez les profils techniques (pentesters, ingés sécurité) qui sautent le Domain 1.

Le Domain 1 est le plus 'manager-flavored' : gouvernance, frameworks (ISO 27001, NIST), business continuity, professional ethics, due care vs due diligence. Les candidats techniques le trouvent ennuyeux et y consacrent 5% de leur étude — alors qu'il représente 15% des questions ET conditionne la mentalité 'manager' qui te fait répondre correctement sur les 7 autres domaines.

Le fixConsacre au moins 20-25h spécifiquement au Domain 1. Apprends les définitions précises : Due Care (tu fais ce qu'un manager raisonnable ferait) vs Due Diligence (tu vérifies que tes contrôles fonctionnent), Risk Acceptance vs Mitigation vs Transfer vs Avoidance, MAO/RPO/RTO. Ces nuances font les bonnes réponses.

Étudier sur des dumps ou Boson questions tier-3 sans CBK officiel.

Source d'échec mentionnée régulièrement — la qualité des questions varie énormément.

Les dumps qui circulent (PDF gratuits, certains sites de 'practice exams') sont souvent : (a) périmés (anciennes versions du CBK), (b) techniquement justes mais mal alignés sur la philosophie (ISC)² (réponses 'techie' présentées comme correctes), (c) trop faciles vs l'examen réel. Tu obtiens 90% sur les dumps puis tu rates l'examen.

Le fixSources canoniques uniquement : (ISC)² Official Study Guide (9th edition), Sybex Practice Tests, Boson ExSim CISSP, Pete Zerger's Mind Maps (gratuit), ThorTeaches. La règle : si la source n'aligne pas explicitement ses questions sur la philosophie 'manager-first' (ISC)², elle te fait apprendre les mauvais réflexes.

Mal gérer le format CAT (Computer Adaptive Test) — paniquer sur les questions difficiles.

Erreur du jour J — citée par ~30% des candidats qui ratent malgré une bonne prep.

Depuis 2017, le CISSP est en CAT : entre 125 et 175 questions, durée 4h, et l'examen s'arrête dès qu'il a statistiquement déterminé ton niveau. Conséquence : les questions deviennent PLUS DURES quand tu réponds bien (le test cherche ton plafond). Les candidats voient des questions impossibles et paniquent, alors que c'est SIGNE qu'ils performent bien. Ils sous-performent par stress.

Le fixInternalise la règle du CAT : si tu trouves les questions très dures, c'est BON — c'est que tu performes. Si elles te semblent faciles, tu performes mal. Reste calme, prends 90 secondes par question max, ne reviens pas en arrière (impossible dans CAT). L'examen peut s'arrêter à 100 questions si tu réussis bien — ou à 175 si tu es à la limite.

Ne pas avoir les 5 ans d'expérience sécurité requis (ou ne pas les documenter).

Erreur administrative qui coule la cert APRÈS l'examen réussi.

Le CISSP n'est délivré qu'aux candidats avec 5 ans d'expérience sécurité documentée dans au moins 2 des 8 domaines (un MBA / cert IT pertinente compte pour 1 an). Si tu n'as pas les 5 ans, tu peux passer l'examen et devenir 'Associate of (ISC)²' pendant 6 ans max — sans le titre CISSP. Beaucoup de candidats apprennent ça trop tard.

Le fixAvant de t'inscrire à l'examen, lis le 'CISSP Experience Requirements' sur isc2.org. Prépare ton CV avec dates exactes + descriptions de rôle alignées sur les 8 domaines (Security and Risk Management, Asset Security, Security Architecture, etc.). Identifie un 'endorser' CISSP-certifié qui validera ton expérience après réussite.

Évite ces 5 erreurs en t'entraînant correctement

La pratique sur des questions au format examen reste la méthode #1 pour calibrer son niveau. Certified Information Systems Security Professional (CISSP) a sa propre banque sur CertQuests — gratuite et sans inscription.

⚡ S'entraîner sur CISSP 🗺️ Cert Quest path

Sources

Analyse issue de threads publics (Reddit, communautés Discord/forum vendor). Les fréquences sont des estimations qualitatives — pas des stats officielles. Vérifier avec ses propres recherches avant de prendre une décision majeure de prep.