Définition CISM
Pour gagner en compétences et en légitimité dans certains domaines de la cybersécurité, les experts suivent des certifications. La CISM (Certified Information Security Manager) offre une reconnaissance du savoir-faire des spécialistes dans la mise en place de stratégies et de pratiques en matière de sécurité informatique. Cette certification apporte des compétences dans quatre domaines clés sur la gouvernance de la sécurité des systèmes d’information. Découvrez ce qu’est la CISM et comment vous préparer pour l’obtenir.
Qu’est-ce que la certification CISM ?
La certification CISM, pour Certified Information Security Manager, a été élaborée par l’ISACA (Association pour l’audit et le contrôle des systèmes d’information), le même organisme proposant la certification CISA. Il s’agit d’une certification professionnelle reconnue dans la gestion de la sécurité informatique.
L’objectif de la certification CISM est d’apporter les connaissances aux experts sur :
- la gestion des risques informatiques face aux menaces ;
- la gouvernance de la sécurité ;
- la mise en place de stratégies de sécurité ;
- la gestion des incidents.
À qui s’adresse l’examen Certified Information Security Manager ?
Pour passer l’examen de la certification, vous devez répondre à certains critères professionnels et disposer d’une expérience en cybersécurité. Vous ne pouvez donc pas envisager d’obtenir la CISM en sortant de vos études par exemple.
Les prérequis pour passer la certification CISM
Pour accéder à la certification CISM, deux prérequis essentiels sont attendus. Vous devez disposer de cinq ans d’expérience minimum sur un poste lié à la sécurité des systèmes d’information. Dans certains cas, vous pouvez demander une dérogation avec deux ans d’expérience. Cette expertise vous donne les compétences nécessaires pour comprendre et suivre la formation de préparation.
Il est en effet indispensable pour cette certification de maîtriser le fonctionnement des systèmes d’information. Vous devez également disposer d’une première expertise dans le domaine de la cybersécurité pour en comprendre les enjeux. La maîtrise de l’anglais est aussi essentielle puisque l’examen de la CISM est réalisé en anglais.
Les professionnels concernés par la CISM
Voici une liste non exhaustive des professionnels concernés par la certification CISM :
- les RSSI, DSI, CSO (Chief Security Officer), etc. ;
- les consultants en sécurité informatique ;
- les experts de la cybersécurité ;
- les professionnels de l’informatique (administrateur réseau, ingénieur système, etc.).
Comment se préparer à la certification CISM ?
Pour assurer votre réussite à l’examen CISM, ne négligez pas votre préparation. Les différentes formations que vous pouvez suivre vous donnent les compétences et le vocabulaire nécessaires pour aborder la certification dans les meilleures conditions.
Les formations disponibles pour se préparer à la certification CISM
Pour vous préparer à la certification CISM, de nombreuses formations vous sont accessibles. Des organismes reconnus par l’état vous proposent de suivre sur quelques jours des cours théoriques et d’effectuer un examen blanc. Ces formations sont payantes, mais elles sont également éligibles au CPF pour vous aider à les financer. Selon l’organisme choisi, vous pouvez participer à cette formation en présentiel ou en classe virtuelle.
L’ISACA propose elle aussi toutes les ressources nécessaires pour vous préparer à l’examen. Elles sont payantes, mais elles offrent l’avantage de vous offrir une plus grande souplesse pour votre emploi du temps. Vous pouvez suivre la formation en groupe ou à votre rythme. Ces ressources sont disponibles en français pour vous faciliter les apprentissages.
Les objectifs d’une formation pour se préparer à la certification CISM
La formation vous apporte le socle de connaissances dont vous avez besoin pour obtenir la CISM. Vous abordez ainsi les quatre domaines liés à la gestion de sécurité traités dans l’examen de certification. Outre la préparation, vous prenez connaissance de l’ensemble des normes et des procédures clés pour le management de la sécurité informatique au sein d’une entreprise.
En plus des cours théoriques, la formation vous apporte tous les éléments nécessaires pour connaître le déroulement de la certification officielle.
Le programme de la formation pour la certification CISM
La formation vous propose de suivre quatre modules pour vous apporter les compétences indispensables à la réussite de la certification. La CISM est orientée management, gestion et communication.
Module n° 1 : gouvernance de la sécurité de l’information
Au cours de ce premier module, vous apprenez à mettre en place une stratégie de sécurité des systèmes d’information tout en prenant en compte la stratégie générale de l’entreprise ou de l’organisation. La gouvernance consiste également à instaurer une politique fiable et pérenne, en distribuant notamment les rôles et les responsabilités à différents acteurs SI. La fin de ce module vous propose d’apprendre à réaliser un audit des solutions mises en place.
Module n° 2 : gestion des risques pesant sur les systèmes d’information
Ce module vous place face aux risques que subissent les systèmes d’information. Il vous aide à comprendre l’utilité d’instaurer une analyse continue des menaces, de les identifier et d’évaluer les risques des attaques. Vous disposez alors d’une base pour concevoir une stratégie de traitement des risques de cybersécurité. La communication autour de la gestion des risques est un point essentiel à maîtriser, c’est-à-dire la communication entre les services et les principaux intervenants.
Module n° 3 : développement et mise en place d’un plan de sécurité IT
Pour mettre en place un plan de sécurité, vous avez besoin d’une méthodologie. Vous apprenez dans ce module les bases d’une architecture SI (contrats, outils d’analyse, etc.). Vous devez comprendre les bonnes pratiques pour instaurer des mesures de sécurité adaptées et efficaces à l’architecture que vous souhaitez protéger. La bonne gestion d’un plan de sécurité IT consiste à maîtriser les outils et les métriques pour vérifier l’efficacité de vos actions.
Module n° 4 : gestion des incidents sur les systèmes d’information
Ce module vous aide à comprendre le fonctionnement d’un plan de gestion des incidents de sécurité, tant en matière de pratiques que de techniques à mettre en place. Ce module est large puisqu’il évoque à la fois la détection, l’analyse, mais aussi la mise en place de réponses. Vous apprenez à élaborer un plan d’intervention efficace. Après détection ou éradication d’un incident, vous mesurez les concepts de continuité d’activité ou de reprise après un sinistre.
Comment se déroule l’examen CISM ?
Le déroulement de l’examen CISM est strict et nécessite, dans un premier temps, de s’inscrire par vos propres soins. Le comptage des points est lui aussi propre aux certifications de l’ISACA.
L’inscription à l’examen CISM
Pour vous inscrire, vous devez vous enregistrer sur le site de l’ISACA et payer les coûts associés. Votre éligibilité de passage est vérifiée lors de cette étape. Elle est valable douze mois. Une fois votre paiement effectué, vous pouvez choisir une date pour passer la certification, soit dans un centre de test agréé, soit à distance sous forme d’examen surveillé.
Déroulement de l’épreuve et système de notation
L’examen CISM se présente sous forme de 150 questions sur les domaines de compétences abordés dans la formation. Vous disposez de quatre heures pour y répondre. Vous n’êtes pas noté au nombre de bonnes réponses, mais selon votre niveau de compétences dans les domaines requis.
Obtenir sa certification CISM après la réussite de l’examen
Une fois l’examen réussi, n’oubliez pas de réaliser les démarches pour obtenir votre certification. Il s’agit de vous acquitter de frais de traitement (environ 50€), d’adhérer au Code de Déontologie professionnelle et à la Politique de formation professionnelle continue de l’IASACA.
Pour connaître toutes les modalités et les différentes préparations, n’hésitez pas à télécharger le guide officiel des certifications ISACA.
Quelle est la différence entre la CISM et la CISSP ?
Les certifications CISM et CISSP ne présentent pas le même objectif. La CISSP, pour Certified Information Systems SecurityProfessionnal, se montre plus technique. Elle s’adresse à ceux qui préfèrent intervenir sur le terrain et prendre en charge les outils dans la gestion de la sécurité informatique.
La CISM concerne les professionnels cherchant à atteindre un plus haut niveau de responsabilité et des postes de direction. La CISM vous apporte des éléments clés notamment en matière de communication et management sur la gestion de la sécurité. Les deux certifications se montrent complémentaires. Selon vos objectifs professionnels et vos capacités de financement, vous pouvez envisager l’une ou l’autre, voire les deux.
Les certifications ISACA sont exigeantes, mais elles vous apportent une distinction majeure dans votre profil d’expert en cybersécurité. Selon votre objectif et votre orientation de carrière, la CISM est un atout, tant en matière de poste que de salaire.