Les compétences en cybersécurité valent cher. Avec près de 15 000 postes proposés en 2023, les entreprises recherchent activement des professionnels capables de sécuriser leurs systèmes d’information. Si vous êtes expert en sécurité informatique, c’est le bon moment pour valoriser vos compétences ; notamment en passant l’examen CISM.
Qu’est-ce que la certification CISM ?
Créée en 2002, la certification CISM (Certified Information Security Manager) valide vos compétences en matière de sécurité informatique.
Cette qualification est décernée par ISACA®, une association professionnelle internationale ayant pour objectif d'améliorer la gouvernance des systèmes d'information. À ce titre, la qualification CISM est reconnue au niveau mondial. Vous pourrez donc exercer votre métier d’expert SSI dans n’importe quel pays : en France, en Europe, aux États-Unis, etc.
À qui s’adresse la certification CISM ?
La qualification Certified Information Security Manager s’adresse aux :
- Professionnels en sécurité informatique ;
- Responsable sécurité des systèmes d’information (RSSI) ;
- Consultants en sécurité.
Quelle est la différence entre CISM et CISSP ?
Pour les experts de la sécurité informatique, la certification CISM n’est pas la seule disponible. Il y a aussi la CISSP. Ces deux formations s’adressent aux experts de la sécurité informatique et présentent des conditions d’obtention similaires. Il existe toutefois quelques différences :
- L’objectif : CISSP témoigne de votre capacité à concevoir, mettre en œuvre et gérer un programme de cybersécurité. Le CISM valide votre expertise en gestion des équipes de sécurité des informations.
- L’organisme : Le CISM est géré par ISACA®, alors que CISSP est géré par l’(ISC)2
- Le programme : CISSP se présente sous la forme d’un corpus de connaissances (Critical Body of Knowledge ou CBK) articulé autour de 8 domaines. De son côté, le CISM inclut 4 domaines.
De manière générale, le CISM est plus adapté à ceux qui prévoient d’occuper un directeur de la sécurité des informations (DSI). À l’inverse, le CISSP correspond davantage aux ingénieurs cyber.
Cela dit, il est tout à fait possible de cumuler les deux certifications pour optimiser votre valeur sur le marché de l’emploi.
Comment se déroule l’examen ?
L’examen CISM est un test informatisé, dont les sessions sont disponibles 3 fois par an. Ce test se présente sous la forme d’un QCM de 200 questions. Afin de le valider, il vous suffit d’obtenir la moyenne.
Pour y participer, vous devez vous inscrire en ligne auprès du site de l’ISACA et payer l’examen. À partir de là, vous recevrez toutes les informations par email.
Le pré-requis
Pour valider la certification CISM, vous devez d’abord disposer de connaissances suffisantes dans le fonctionnement des systèmes d’information. Mais surtout, l’ISACA exige une expérience professionnelle d’au moins 5 ans dans la gestion de la sécurité de l’information. Et ce, dans les 10 années précédentes.
Il existe toutefois des équivalences. Par exemple, si vous êtes déjà titulaire de la certification CISSP, cela remplace automatiquement 2 ans d’expérience.
Si vous souhaitez conserver la certification, il faudra également actualiser vos connaissances régulièrement. À ce titre, vous devrez suivre 20 heures de formation professionnelle continue tous les ans. Sans oublier, les 120 heures de formation réparties sur 3 ans et à répéter tous les 3 ans.
Cette exigence s’explique facilement par l’évolution extrêmement rapide des technologies et méthodes de piratage informatique. L’actualisation des connaissances permet ainsi aux professionnels certifiés CISM d’accompagner plus efficacement les entreprises dans les audits, contrôles et sécurité de systèmes d’information.
Le programme de la certification
Pour obtenir la certification CISM, vous devez disposer des connaissances suffisantes dans les 4 domaines ci-dessous :
- Gouvernance de la sécurité de l’information : ce domaine compte pour 24% de l’examen. Ici, vous vous concentrez sur la stratégie de la sécurité informatique. Vous devez être capable de la mettre en place, d’identifier ses métriques, d’expliquer sa nécessité et les résultats souhaités.
- Conformité et gestion des risques de l’information : il représente 30% de l’examen. À travers ce domaine, vous démontrez votre capacité à identifier, signaler, classer et répondre aux risques informatiques. En outre, vous devez savoir évaluer la pertinence des contrôles de sécurité mis en place.
- Développement et gestion de programmes de sécurité de l’information : c’est 27% de l’examen. Il s’agit d’aligner la politique de sécurité aux besoins de l’entreprise. Pour cela, vous devez être capable de gérer les ressources, de concevoir des contrôles de sécurité efficaces, et d’intégrer les exigences de sécurité dans les relations avec les tiers.
- Gestion des incidents de sécurité de l’information : ce domaine vous permet de valider 19% de l’examen. Vous démontrez votre capacité à identifier les composants d’un plan d’intervention, et à évaluer son efficacité.
À travers ces 4 domaines de la certification CISM, vous montrez à la fois vos compétences techniques, mais également votre compréhension des objectifs métier inhérents à la sécurité des données. Pour les entreprises, vous devenez rapidement une ressource précieuse.
Comment se préparer à la certification CISM ?
Avant de valider vos connaissances en matière de sécurité de l’information grâce à la certification CISM, vous devez d’abord les acquérir. C’est justement l’objectif de la CyberUniversity. Grâce à nos formations, vous saurez comment implémenter une politique de sécurité de l’information, comment l’adapter aux besoins de l’organisation, comment anticiper les risques cyber, comment les gérer et comment réagir en cas d’incidents. Découvrez notre programme.