La vision de Cyber Academy
CRISC est la certification ISACA dédiée aux praticiens du risque IT. Elle couvre l'identification, l'évaluation, le traitement et le suivi des risques liés aux systèmes d'information. Elle fait le lien entre le risque métier et le risque IT. Complément naturel du CISA pour les auditeurs qui évoluent vers le risk management, et d'ISO 27005 / ISO 31000 pour les praticiens formés à l'ISO qui souhaitent intégrer le vocabulaire ISACA.
Ce que CRISC certifie
CRISC est la certification d'ISACA destinée aux praticiens qui pilotent le risque informatique et le risque des systèmes d'information, plutôt que de l'auditer après coup. Elle valide la capacité du titulaire à mener l'ensemble du cycle de vie du risque sur les actifs technologiques : identifier l'exposition, évaluer la probabilité et l'impact, concevoir et recommander une réponse, puis surveiller la position résiduelle dans le temps. La revendication distinctive de CRISC est la couche de traduction.
Elle attend du titulaire qu'il exprime une vulnérabilité de base de données ou une mauvaise configuration cloud dans les termes que le registre des risques de l'entreprise et le conseil d'administration utilisent réellement, afin que le risque informatique devienne une entrée du risque d'entreprise, et non une conversation parallèle dans un langage distinct.
Là où de nombreuses certifications techniques s'arrêtent aux contrôles, CRISC présente les contrôles comme la conséquence d'une décision de risque. Le titulaire est censé partir du scénario de risque, de l'appétence et de la tolérance fixées par l'organisation, et du coût du traitement, puis justifier pourquoi un contrôle donné existe et ce qu'il laisse non traité. Ce fil risque-réponse-contrôle est la colonne vertébrale de la certification et la raison pour laquelle elle se place aux côtés des travaux de gouvernance plutôt que d'une sécurité purement opérationnelle.
Où se situe CRISC parmi les certifications voisines
CRISC est le plus souvent perçue comme la suite naturelle pour un titulaire CISA. CISA prouve que vous savez auditer les systèmes d'information et juger si les contrôles sont conçus et fonctionnent efficacement ; CRISC prouve que vous savez piloter le risque auquel ces contrôles répondent et décider de la marche à suivre. Les auditeurs qui passent de la formulation de constats à la définition de la stratégie de risque utilisent CRISC pour rendre cette transition lisible auprès des employeurs. Les deux partagent le vocabulaire et le cadre de gouvernance d'ISACA, ce qui explique pourquoi elles sont régulièrement associées.
Pour les praticiens formés à l'ISO, CRISC ajoute le dialecte ISACA à une méthodologie qu'ils appliquent déjà. Quelqu'un qui maîtrise ISO 27005 ou ISO 31000 réalise déjà l'identification, l'analyse, l'évaluation, le traitement et l'acceptation. CRISC ne remplace pas ce processus ; elle donne à la même personne les termes d'ISACA, le cadrage du risque informatique d'entreprise, et une certification reconnue par les employeurs qui standardisent sur ISACA plutôt que sur l'ISO. Les méthodologies sont compatibles, et détenir les deux signale que vous savez naviguer entre les deux univers de référence.
| Certification | Question principale | Titulaire type |
|---|---|---|
| CRISC | Quel est le risque informatique et qu'allons-nous faire à son sujet ? | Gestionnaire de risque informatique, responsable des risques |
| CISA | Les contrôles sont-ils conçus et fonctionnent-ils efficacement ? | Auditeur informatique, audit interne |
| ISO 27005 | Comment menons-nous le processus de risque de sécurité de l'information ? | Praticien SMSI, analyste des risques |
Ce que font réellement les titulaires de CRISC
En pratique, un titulaire de CRISC travaille au plus près du point de rencontre entre le risque technologique et la prise de décision métier. Les tâches récurrentes incluent les suivantes.
- Construire et maintenir des scénarios de risque informatique et un registre des risques que la fonction de risque d'entreprise au sens large peut exploiter.
- Évaluer la probabilité et l'impact, puis confronter le résultat à l'appétence et à la tolérance déclarées de l'organisation.
- Recommander une réponse (accepter, atténuer, transférer ou éviter) et justifier le choix sur la base du coût et du risque résiduel, et non d'une simple préférence technique.
- Concevoir ou spécifier les contrôles des systèmes d'information qui mettent en œuvre une réponse choisie, et définir les indicateurs qui montrent s'ils tiennent.
- Surveiller les indicateurs clés de risque et rendre compte de la position résiduelle aux instances de gouvernance en termes métier.
Le fil conducteur de l'ensemble est la responsabilité et la communication. CRISC consiste moins à découvrir une nouvelle vulnérabilité qu'à décider de ce que l'organisation devrait faire, à s'assurer que quelqu'un est responsable de cette décision, et à prouver dans le temps que le risque résiduel est resté à l'intérieur de la limite convenue.
Frequently asked questions
01En quoi CRISC diffère-t-elle de CISA ?
CISA est une certification d'audit informatique : elle prouve que vous savez évaluer si les contrôles sont conçus et fonctionnent efficacement. CRISC est une certification de risque : elle prouve que vous savez identifier, évaluer, traiter et surveiller le risque informatique et décider de ce que l'organisation devrait faire. De nombreux praticiens obtiennent d'abord CISA, puis ajoutent CRISC lorsqu'ils passent de l'audit des contrôles au pilotage du risque.
02Ai-je besoin de CRISC si je connais déjà ISO 27005 ou ISO 31000 ?
Pas strictement, car le processus de risque sous-jacent est le même. CRISC ajoute le vocabulaire ISACA, un cadrage du risque informatique d'entreprise, et une reconnaissance auprès des employeurs qui standardisent sur ISACA plutôt que sur l'ISO. Détenir les deux vous permet de naviguer aisément entre les deux univers de référence.
03Qui délivre CRISC ?
CRISC est délivrée et maintenue par ISACA, le même organisme professionnel à l'origine de CISA et de CISM. Comme les autres certifications ISACA, elle comporte une exigence d'expérience et des obligations de formation continue pour rester certifié.
04CRISC est-elle une certification technique ou managériale ?
Elle se situe entre les deux. Elle suppose que vous comprenez les systèmes d'information et leurs contrôles, mais le travail qu'elle valide est la gestion des risques et la prise de décision : cadrer des scénarios, mettre en balance le traitement et l'appétence, et rendre compte du risque résiduel au métier.