Le CISM, une combinaison gagnanteL’ISACA a créé en 2003 une nouvelle certification nommé CISM (Certified Information Security Manager) destinée aux managers expérimentés en Sécurité des Systèmes d’information et à ceux qui exercent des responsabilités dans le domaine de la sécurité. Le CISM est conçu pour apporter aux dirigeants une garantie que les collaborateurs certifiés disposent des connaissances répondant aux standards de performance internationaux et des compétences nécessaires au management et au conseil en Sécurité. Ce diplôme orienté métier et gestion des risques informatiques aborde les problématiques de Sécurité en terme de management, de conception et de mise en oeuvre.
Comment obtenir le CISM ?
Plusieurs conditions sont nécessaires. La première consiste à passer et réussir l’examen du CISM. Le prochain examen du CISM aura lieu le dans les mêmes centres d’examen que le CISA, à savoir dans environ 200 sites répartis dans près de 75 pays. Pour la France, il s’agira du centre de Paris. Pour les candidats ayant passé avec succès l’examen écrit, la validation de la certification n’est obtenue qu’après :
- Adhésion au code d’éthique professionnel de l’ISACA et acceptation d’un suivi de formation professionnelle continue sur le domaine.
- Justification d’un minimum de cinq années d’expérience professionnelle dans le domaine de Sécurité des Systèmes d’Information dont trois années minimum dans le rôle de manager en Sécurité des Systèmes d’Information. Des équivalences existent et peuvent être comptabilisées en année d’expérience professionnelle. Ainsi, par exemple un auditeur CISA, un professionnel certifié CISSP ou un détenteur d’un diplôme de troisième cycle en Sécurité des Systèmes d’Information peut obtenir une équivalence de deux années d’expérience. Une expérience en management de système d’information ou une certification GIAC, MCSE, CBCP ou CompTIA Security + équivaut à une année d’expérience. Un cumul n’est en revanche pas possible. De plus, une expérience de trois ans comme manager en Sécurité des Systèmes d’Information est un pré-requis indispensable. Certaines équivalences peuvent également être obtenues.
Plusieurs conditions sont nécessaires. La première consiste à passer et réussir l’examen du CISM. Le prochain examen du CISM aura lieu le dans les mêmes centres d’examen que le CISA, à savoir dans environ 200 sites répartis dans près de 75 pays. Pour la France, il s’agira du centre de Paris. Pour les candidats ayant passé avec succès l’examen écrit, la validation de la certification n’est obtenue qu’après :
- Adhésion au code d’éthique professionnel de l’ISACA et acceptation d’un suivi de formation professionnelle continue sur le domaine.
- Justification d’un minimum de cinq années d’expérience professionnelle dans le domaine de Sécurité des Systèmes d’Information dont trois années minimum dans le rôle de manager en Sécurité des Systèmes d’Information. Des équivalences existent et peuvent être comptabilisées en année d’expérience professionnelle. Ainsi, par exemple un auditeur CISA, un professionnel certifié CISSP ou un détenteur d’un diplôme de troisième cycle en Sécurité des Systèmes d’Information peut obtenir une équivalence de deux années d’expérience. Une expérience en management de système d’information ou une certification GIAC, MCSE, CBCP ou CompTIA Security + équivaut à une année d’expérience. Un cumul n’est en revanche pas possible. De plus, une expérience de trois ans comme manager en Sécurité des Systèmes d’Information est un pré-requis indispensable. Certaines équivalences peuvent également être obtenues.
Quels sont les domaines abordés par le CISM ?
Pour concevoir le CISM, l’ISACA a consacré plus de deux ans à collecter des informations pointues sur la Sécurité des Systèmes d’Information et à les faire valider par des tiers de référence sur le sujet. Le fruit de ces travaux a permis notamment d’identifier les connaissances indispensables exigées pour faire d’un collaborateur en sécurité un véritable manager en Sécurité des systèmes d’information. Le CISM couvre ainsi un certain nombre de domaines comprenant :
- Gouvernance de la Sécurité : s’assurer que la stratégie en terme de sécurité des Systèmes d’Information est en ligne avec les objectifs business de l’entreprise et en accord avec les contraintes juridiques et réglementaires. Les thèmes abordés comprennent notamment la politiques Sécurité, l’organisation sécurité, la définition des rôles et responsabilités.
- Risk Management : identifier et gérer les risques relatifs à la Sécurité des Systèmes d’Information afin d’atteindre les objectifs business. Les thèmes abordés comprennent notamment le développement d’un processus d’analyse des risques, les méthodologies d’analyse de risques, le choix des stratégies et l ‘élaboration de plan d’actions permettant de gérer ces risques.
- Schéma directeur de la Sécurité des Systèmes d’Information : concevoir, développer et manager une stratégie pour mettre en œuvre les principes établis par la Gouvernance de la Sécurité. Les thèmes abordés comprennent notamment la conduite de projet, le cycle de développement, l’architecture de Sécurité.
- Gestion de la Sécurité : mettre en œuvre les orientations contenues dans le schéma directeur de la Sécurité. Les thèmes abordés comprennent notamment les tableaux de bord, le budget sécurité, l’audit et contrôle, la formation.
- Gestion de crise : être en mesure de répondre efficacement et de redémarrer face à des incidents de la Sécurité des Systèmes d’Information. Les thèmes abordés comprennent notamment la gestion d’incident, le plan de secours, le plan de continuité d’activités.
Pour concevoir le CISM, l’ISACA a consacré plus de deux ans à collecter des informations pointues sur la Sécurité des Systèmes d’Information et à les faire valider par des tiers de référence sur le sujet. Le fruit de ces travaux a permis notamment d’identifier les connaissances indispensables exigées pour faire d’un collaborateur en sécurité un véritable manager en Sécurité des systèmes d’information. Le CISM couvre ainsi un certain nombre de domaines comprenant :
- Gouvernance de la Sécurité : s’assurer que la stratégie en terme de sécurité des Systèmes d’Information est en ligne avec les objectifs business de l’entreprise et en accord avec les contraintes juridiques et réglementaires. Les thèmes abordés comprennent notamment la politiques Sécurité, l’organisation sécurité, la définition des rôles et responsabilités.
- Risk Management : identifier et gérer les risques relatifs à la Sécurité des Systèmes d’Information afin d’atteindre les objectifs business. Les thèmes abordés comprennent notamment le développement d’un processus d’analyse des risques, les méthodologies d’analyse de risques, le choix des stratégies et l ‘élaboration de plan d’actions permettant de gérer ces risques.
- Schéma directeur de la Sécurité des Systèmes d’Information : concevoir, développer et manager une stratégie pour mettre en œuvre les principes établis par la Gouvernance de la Sécurité. Les thèmes abordés comprennent notamment la conduite de projet, le cycle de développement, l’architecture de Sécurité.
- Gestion de la Sécurité : mettre en œuvre les orientations contenues dans le schéma directeur de la Sécurité. Les thèmes abordés comprennent notamment les tableaux de bord, le budget sécurité, l’audit et contrôle, la formation.
- Gestion de crise : être en mesure de répondre efficacement et de redémarrer face à des incidents de la Sécurité des Systèmes d’Information. Les thèmes abordés comprennent notamment la gestion d’incident, le plan de secours, le plan de continuité d’activités.
Les atouts de la certification CISM.
Les personnes ayant passé le CISA ces dernières années auront constaté une évolution de plus en plus importante du domaine concernant la Sécurité. En effet, la Sécurité des Systèmes d’Information prend aujourd’hui une place stratégique au sein de l’entreprise. Pour cette raison notamment, L’ISACA a créé le CISM dédié au management de la Sécurité des Systèmes d’Information. Contrairement aux autres certifications disponibles aujourd’hui et portant soit sur des plate-formes spécifiques soit sur des problématiques générales ou techniques, le CISM repose sur le développement de nouvelles compétences, liées au management de la sécurité, chez les professionnels expérimentés en sécurité de l’information.
De plus, les certifiés adhèrent à une communauté d’intérêt mutuel, véritable lieu d’échanges et de dialogues. L’obtention du CISM apporte une preuve tangible d’une véritable progression de carrière : en effet, la réussite à l’examen, fondé sur l’expérience du terrain, indique une expérience solide couplée à une véritable expertise en management de la sécurité informatique. Le CISM peut constituer une méthode à la disposition de la Direction Générale d’évaluation des équipes spécialisées en place mais aussi servir de critères de choix dans les processus de recrutement.
Le CISM est délivré par l’ISACA qui propose déjà depuis de nombreuses années à la fois une certification en audit des systèmes d’information (CISA) reconnue au niveau international comme étant un symbole d’excellence dans la profession de l’audit informatique. L’AFAI, en partenariat avec le CLUSIF et le CIGREF, se charge de la mise en place du CISM en France. Aussi, elle se tient à votre disposition pour toute question complémentaire concernant le CISM et les modalités d’inscription.