La vision de Cyber Academy
CISA est la certification de référence en audit des systèmes d'information, délivrée par ISACA depuis 1978. Cinq domaines couvrent le processus d'audit, la gouvernance, l'acquisition, les opérations et la protection des actifs. La certification vers laquelle se tournent par défaut les Big Four pour leurs missions. Reconnue mondialement ; obligatoire pour de nombreux postes d'audit interne et de conformité dans les secteurs réglementés.
Ce que CISA certifie réellement
CISA est la certification qui atteste votre capacité à auditer un système d'information et à défendre l'opinion à laquelle vous parvenez. Elle est délivrée par ISACA et constitue depuis des décennies la qualification de référence en audit informatique, ce qui explique pourquoi elle est l'attente par défaut sur les missions des Big Four et l'exigence que de nombreux employeurs réglementés inscrivent dans les fiches de poste d'audit interne et de conformité. La certification ne porte pas sur l'exploitation du système d'information ni sur sa sécurisation. Elle porte sur l'évaluation indépendante de l'existence des contrôles, de leur efficacité, et de la capacité des preuves à étayer cette conclusion.
La distinction de praticien qu'il faut retenir est que CISA est une certification d'assurance, et non de mise en œuvre. Un titulaire CISM dirige un programme de sécurité. Un titulaire CISA forme une opinion indépendante sur le caractère maîtrisé de ce programme, et de l'environnement informatique plus large qui l'entoure. Cette indépendance est l'enjeu même : un auditeur qui a conçu le contrôle ne peut pas en donner une assurance crédible. CISA forme à l'état d'esprit fondé sur la preuve et l'échantillonnage qui rend l'opinion défendable.
Les cinq domaines CISA
L'examen et le corpus de connaissances sont organisés en cinq domaines. Ils progressent de la manière dont vous auditez, à la manière dont l'informatique est gouvernée, jusqu'aux trois domaines du cycle de vie qu'un auditeur doit être capable d'évaluer :
- Processus d'audit des systèmes d'information. Planification, cadrage fondé sur le risque, collecte des preuves, échantillonnage et reporting. La discipline qui rend tous les autres domaines auditables.
- Gouvernance et gestion de l'informatique. Stratégie, politiques, structure organisationnelle, et manière dont l'entreprise pilote et supervise son informatique.
- Acquisition, développement et mise en œuvre des systèmes d'information. La question de savoir si les projets, les changements et les nouveaux systèmes sont maîtrisés du cas d'affaires jusqu'à la mise en production.
- Exploitation des systèmes d'information et résilience de l'activité. Exploitation quotidienne, gestion des services, sauvegarde, continuité et reprise après sinistre.
- Protection des actifs informationnels. Sécurité logique et physique, identité et accès, chiffrement, et contrôles de protection des données.
La place de CISA parmi les certifications voisines
CISA n'existe pas isolément dans le catalogue ISACA, et les praticiens la combinent couramment avec d'autres. Les évolutions les plus fréquentes sont latérales vers le risque avec CRISC, ou ascendantes vers le leadership en sécurité avec CISM. Face au monde ISO, CISA et la certification PECB Lead Auditor attestent toutes deux d'une compétence d'audit, mais sur des terrains différents : CISA est une qualification large en audit informatique liée aux domaines ISACA, tandis que Lead Auditor s'appuie sur ISO 19011 et vise l'audit d'un système de management spécifique, tel qu'un SMSI ISO 27001, souvent comme voie pour devenir auditeur accrédité d'un organisme de certification.
| Certification | Organisme | Objet principal |
|---|---|---|
| CISA | ISACA | Assurance large en audit informatique sur cinq domaines |
| CISM | ISACA | Gestion et gouvernance d'un programme de sécurité de l'information |
| CRISC | ISACA | Identification, évaluation et traitement du risque informatique |
| Lead Auditor | PECB | Audit d'un système de management spécifique selon ISO 19011 |
Obtenir la certification représente plus que réussir l'examen. ISACA exige une expérience professionnelle vérifiée en audit informatique, l'adhésion à un code de déontologie professionnelle, et une formation professionnelle continue pour maintenir la certification active. Cette exigence d'expérience est ce qui donne du poids à CISA : elle confirme que le titulaire a réellement effectué le travail, et pas seulement étudié la matière.
Frequently asked questions
01Quelle est la différence entre CISA et CISM ?
CISA atteste que vous savez auditer et donner une assurance indépendante sur un environnement informatique. CISM atteste que vous savez concevoir et gérer un programme de sécurité de l'information. CISA est le versant assurance, CISM le versant gestion, et de nombreux praticiens détiennent les deux.
02Une expérience professionnelle est-elle requise pour obtenir CISA ?
Oui. ISACA exige une expérience professionnelle vérifiée en audit, contrôle ou sécurité des systèmes d'information, en plus de la réussite à l'examen. Il existe des substitutions limitées, mais l'exigence d'expérience est centrale dans la certification.
03Comment l'examen CISA est-il structuré ?
L'examen est construit autour des cinq domaines CISA et repose sur des mises en situation. Les questions évaluent le jugement d'audit et la priorisation des risques, par exemple ce qu'un auditeur devrait faire en premier dans une situation donnée, plutôt que la mémorisation des noms de contrôles.
04CISA ou PECB Lead Auditor, lequel choisir ?
CISA est une certification large d'audit informatique liée aux domaines ISACA et constitue la référence par défaut dans les postes d'audit informatique et au sein des Big Four. PECB Lead Auditor s'appuie sur ISO 19011 pour auditer un système de management spécifique, tel qu'ISO 27001, et constitue la voie vers l'audit accrédité au sein d'un organisme de certification. Elles correspondent à des parcours de carrière différents et ne sont pas mutuellement exclusives.
05Faut-il renouveler CISA ?
Oui. Les titulaires CISA maintiennent la certification grâce au programme de formation professionnelle continue d'ISACA et à l'adhésion à son code de déontologie professionnelle. Sans formation continue, la certification devient caduque.