CISM Certified Information Security Manager.

CISM est la certification ISACA pour les responsables de la sécurité de l'information : gouvernance, gestion de programme, gestion des risques, gestion des incidents. La référence pour les postes de direction en sécurité, exigée dans environ 60 % des offres de CISO. Approche différente du CISSP : orientée management, moins technique.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll entries

La vision de Cyber Academy

CISM est la certification ISACA pour les responsables de la sécurité de l'information : gouvernance, gestion de programme, gestion des risques, gestion des incidents. La référence pour les postes de direction en sécurité, exigée dans environ 60 % des offres de CISO. Approche différente du CISSP : orientée management, moins technique.

Ce que certifie le CISM

Le CISM est la certification de l'ISACA destinée aux personnes qui gèrent la sécurité de l'information plutôt qu'elles ne la configurent. Elle valide votre capacité à bâtir et à piloter un programme de sécurité, à l'aligner sur les objectifs de l'entreprise et à en rendre compte aux dirigeants et au conseil d'administration.

Le titre s'organise autour de quatre domaines professionnels : la gouvernance de la sécurité de l'information, la gestion des risques liés à la sécurité de l'information, le développement et la gestion du programme de sécurité de l'information, et la gestion des incidents de sécurité de l'information. Ces quatre domaines décrivent le métier réel d'un responsable de la sécurité : donner une direction, comprendre et traiter le risque, livrer le programme qui fait le travail, et contenir les incidents lorsque les contrôles échouent.

La shortDefinition a raison de présenter le CISM comme la référence absolue pour les fonctions de direction de la sécurité. Concrètement, cela signifie que les recruteurs l'utilisent comme indice qu'une personne « peut porter une fonction de sécurité », et non qu'elle « peut durcir un serveur ». On attend d'un titulaire du CISM qu'il fasse le lien entre deux publics : les équipes techniques qui exploitent les contrôles et les dirigeants qui financent le risque et l'acceptent. Cette couche de traduction est au cœur du rôle, et c'est la raison pour laquelle le discours autour du CISM s'appuie sur la gouvernance, les lignes de reporting et l'acceptation du risque plutôt que sur l'outillage.

CISM face au CISSP : l'angle managérial

La question la plus fréquente des praticiens porte sur la différence entre le CISM et le CISSP. Les deux sont des titres de haut niveau et tous deux touchent à la gouvernance, au risque et aux opérations, mais leur centre de gravité diffère. Le CISSP, de l'(ISC)squared, est plus large et plus technique : huit domaines couvrant l'architecture, la cryptographie, la sécurité réseau, la sécurité logicielle et les opérations. C'est la certification naturelle pour un praticien ou un architecte de la sécurité. Le CISM est plus restreint et plus managérial : quatre domaines, tous abordés du point de vue d'une personne responsable d'un programme et d'un budget, et non de celle qui met en œuvre les contrôles.

Le CISM comparé aux titres voisins
TitreOrganismeAngle principal
CISMISACAPiloter un programme de sécurité : gouvernance, risque, programme, incidents
CISSP(ISC)squaredPraticien technique généraliste : huit domaines, de l'architecture aux opérations
CISAISACAAudit et assurance des systèmes d'information
CRISCISACAIdentification, évaluation et traitement du risque informatique de l'entreprise

Au sein de la propre famille de l'ISACA, le CISM se place aux côtés du CISA et du CRISC. Le CISA est le titre de l'auditeur, axé sur l'évaluation des contrôles et l'apport d'assurance. Le CRISC est le titre du spécialiste du risque, axé sur l'identification du risque informatique et la réponse à ce risque. Le CISM est le titre du manager, axé sur la responsabilité de la fonction qui relie la gouvernance, le risque et les opérations. De nombreux responsables de la sécurité finissent par en détenir plusieurs, car les rôles se recoupent à mesure que l'on monte en responsabilités.

Ce qu'il faut pour détenir le CISM

Le CISM est un titre conditionné par l'expérience, pas seulement par un examen. L'ISACA exige des candidats qu'ils réussissent l'examen et qu'ils justifient d'une expérience professionnelle pertinente en gestion de la sécurité de l'information, dont une partie relevant des quatre domaines. Des dérogations limitées existent pour une partie de l'exigence d'expérience, et la certification doit ensuite être maintenue par une formation professionnelle continue et le respect du code de déontologie professionnelle de l'ISACA. Cette exigence de maintien est la raison pour laquelle le CISM reste à jour : les titulaires cumulent des heures de CPE à chaque cycle, au lieu de réussir une seule fois et de s'en contenter.

Pour les praticiens qui hésitent à le poursuivre, voici le cadrage honnête. Si votre trajectoire vous mène à diriger une fonction de sécurité, à conseiller un conseil d'administration ou à occuper un siège de CISO, le CISM est le titre que les recruteurs citent le plus souvent. Si votre travail relève de l'architecture et de l'ingénierie pratiques, le CISSP ou une spécialisation technique vous servira mieux. Les deux sont complémentaires plutôt que concurrents, et les responsables de haut niveau détiennent fréquemment les deux.

Frequently asked questions

01Quelle est la différence entre le CISM et le CISSP ?

Le CISM est managérial et restreint : quatre domaines centrés sur le pilotage d'un programme de sécurité. Le CISSP est technique et large : huit domaines, de l'architecture aux opérations. Le CISM convient aux responsables de la sécurité et aux aspirants CISO ; le CISSP convient aux praticiens et aux architectes. De nombreuses personnes expérimentées détiennent les deux.

02Quels sont les quatre domaines du CISM ?

La gouvernance de la sécurité de l'information, la gestion des risques liés à la sécurité de l'information, le développement et la gestion du programme de sécurité de l'information, et la gestion des incidents de sécurité de l'information. Ensemble, ils décrivent l'ensemble du métier consistant à porter une fonction de sécurité.

03Faut-il une expérience professionnelle pour obtenir le CISM ?

Oui. Le CISM est conditionné par l'expérience. Vous devez réussir l'examen et justifier d'une expérience pertinente en gestion de la sécurité de l'information, dont une partie au sein des quatre domaines. Des dérogations limitées d'expérience existent, et le titre se maintient par une formation professionnelle continue.

04Le CISM en vaut-il la peine pour un poste de CISO ?

C'est l'un des titres les plus fréquemment demandés dans les offres d'emploi de direction de la sécurité et de CISO, car il signale que vous pouvez porter un programme et rendre compte du risque aux dirigeants, et pas seulement exploiter des contrôles. C'est un excellent choix si votre parcours s'oriente vers le leadership.

05Comment le CISM se situe-t-il par rapport au CISA et au CRISC ?

Les trois sont des titres de l'ISACA avec des angles différents. Le CISA s'adresse aux auditeurs qui apportent une assurance sur les systèmes, le CRISC aux spécialistes du risque informatique, et le CISM aux managers qui portent la fonction de sécurité. Ils se recoupent et sont souvent détenus ensemble.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.