CISM vs CISSP : quelle certification choisir?
La technologie constitue une réponse courante aux risques de cybersécurité. Cependant,aujourd’hui, envisager de se protéger des risques de sécurité uniquement grâce à la technologie est un leurre. Selon une enquête publiée par IBM, 95% des cyber-attaques réussies ont ciblé un domaine non informatique. Il est donc vital de renforcer les compétences en sécurité dans les entreprises. Or la pénurie de professionnels qualifiés en sécurité informatique représente aujourd’hui un défi majeur pour les organisations de toutes tailles. Selon (ISC)2, le déficit passera à 1,5 million d’ici 2020. L’écart de compétences est un obstacle majeur pour de nombreuses organisations. Mais c’est aussi une opportunité pour les informaticiens. Les enquêtes auprès des responsables informatiques montrent que les certifications en sécurité sont de plus en plus importantes. Les deux certifications en sécurité les plus recherchées sont CISM et CISSP. A l’heure du choix : CISM vs CISSP quelle certification vous convient le mieux?
CISM vs CISSP : l’heure du choix
Les professionnels des Systèmes d’Information possédant certains types de certifications particulièrement recherchés. Ils peuvent donc espérer une meilleure rémunération. CISM et CISSP sont certifications professionnelles les plus reconnues dans le domaine de la sécurité de l’information ainsi que le montre le classement 2017 des certifications qui paient le mieux. CISM (Certified Information Security Manager) est une certification de l’ISACA. CISSP (Certified Information Systems Security Professional) est une certification de la fondation (ISC)2. Les deux nécessitent un investissement important en temps et en coût. Alors, laquelle correspond le mieux à votre profil et à vos compétences?
La différence majeure entre ces deux certifications réside dans leur contenu et le public qu’elles ciblent. CISM se concentre sur le management et la stratégie, et couvre superficiellement les sujets techniques. Elle est, par conséquent, extrêmement prisée pour des Managers (RSSI, CISO,…). A l’inverse, CISSP se focalise principalement sur les aspects tactiques des opérations de sécurité. CISSP concerne donc d’avantage les ingénieurs et techniciens impliqués dans les opérations.
Alors, CISM vs CISSP : quels sont les avantages et les inconvénients de ces deux certifications?
CISM : la certification des managers
CISM (Certified Information Security Manager) est une certification professionnelle délivrée par l’ISACA et détenue par plus de 42.000 professionnels dans le monde parmi lesquels plus de 7.500 ont des responsabilités de CISO ou de RSSI, tandis que plus de 3.500 occupent un rôle de DSI ou de Directeur Informatique. Elle cible spécifiquement les managers en sécurité de l’information. Elle fait partie en 2017, comme en 2016 des trois certifications les mieux rémunérées.
Le CISM a remporté le prix du «meilleur programme de certification professionnelle» pour les SC Awards 2018 et le prix du meilleur programme de formation professionnelle ou de certification pour 2018 en Europe; c’était la huitième année consécutive qu’il était désigné finaliste des SC Awards 2018 dans cette catégorie pour les prix nord-américains. Le CISM figure parmi les dix certifications informatiques les mieux rémunérées selon le rapport 2018 sur les compétences et les salaires en informatique mené par Global Knowledge, avec un salaire moyen de 105 926 USD en Amérique du Nord. (Source: ISACA)
CISM: un examen exigeant
CISM couvre 4 domaines d’expérience dans les quels vous devrez réussir un examen et, ensuite, faire la preuve de votre expérience :
- Gouvernance de la sécurité de l’information (24%)
- Gestion des risques informationnels (30%)
- Développement et gestion d’un programme de sécurité de l’information (27%)
- Gestion des incidents de sécurité de l’information (19%)
L’examen, désormais électronique, se compose de 150 questions multi-choix et dure 4 heures. Le score minimum pour réussir l’examen est de 450 points. Cela semble correspondre plus ou moins à 60-70% des réponses correctes. Il est en effet à noter que toutes les questions n’ont pas le même poids. De plus, environ 25 questions ne sont pas notées et figurent dans l’examen uniquement à des fins d’évaluation.
Le syllabus du CISM s’appuie très largement sur COBIT® 2019. Aussi une formation COBIT sera une bonne base pour bien comprendre les aspects de gouvernance et de gestion des risques couvrant la première moitié du contenu.
2AB & Associates vous propose de façon régulière des séminaires de formation accrédités par ISACA pour préparer le passage de la certification CISM à Paris, Québec et Abidjan.
CISM : une certification professionnelle
CISM, à l’instar de CISSP ou PMP, est une certification professionnelle. Cela signifie que la réussite à l’examen n’est que la première étape. Vous devrez ensuite postuler, auprès de l’ISACA, à l’obtention de la certification CISM. Pour cela vous devrez prouver, de façon très documentée votre expérience en management de la sécurité de l’information sur 5 années. Vous devrez également donner des références pouvant confirmer cette expérience de façon détaillée. Les références seront ensuite interrogées par des membres de l’ISACA aux fins de vérification. Après un délai de l’orde de 4 à 8 semaines, vous recevrez alors votre certificat ou un mail vous indiquant les raisons du rejet de votre demande.
La certification CISM m’a aidée à progresser du niveau de support IT au service desk à celui de vice-président. La connaissance que j’ai acquise est applicable dans le monde entier, dans tous les pays. (L.D. CISM, IT Security Manager, 3M Company) (Source : site web ISACA)
CISM : une revalidation continue exigée
CISM (Certified Information Systems Security Professional) vise à garantir, non seulement des connaissances, mais aussi votre expérience. C’est ce qui explique le succès de cette certification auprès des Entreprises. Elles sont ainsi assurées de la compétence des titulaires. De plus, vous devrez, chaque année, fournir à l’ISACA des preuves de votre engagement dans un processus d’amélioration continue. A défaut votre certification vous sera purement et simplement retirée de façon définitive.
CISSP : une certification plus technique
CISSP (Certified Information Security Professional) est une certification professionnelle délivrée par la fondation (ISC)2. Elle est détenue par plus de 132.000 professionnels de la sécurité de l’information dans le monde, dont 75% aux seuls Etats-Unis. Le deuxième pays comptant le plus de CISSP est le Royaume Uni.
En Afrique de l’Ouest, on compte 1 certifié au Burkina Faso, 1 au Sénégal, 4 en Côte d’Ivoire, contre 29 au Ghana et 153 au Nigéria. Avec 922 certifiés, la France se classe au 13ème rang mondial. Les certifiés CISSP occupent pour la plupart des responsabilités tactiques et opérationnelles en sécurité du SI (RSSI, responsable réseau, Information Security Manager, architectes IT). Le CISSP se positionne à la 4ème place des certifications les mieux rémunérées.
CISSP couvre huit domaines de compétence dans lesquels vous devrez apporter la preuve de votre expérience avant de pouvoir vous présenter à l’examen :
- Gestion des risques et de la sécurité (16%)
- Sécurité des actifs (10%)
- Ingénierie de la sécurité (12%)
- Sécurité des communication et du réseau (12%)
- Gestion de l’identité et des accès (13%)
- Evaluation et tests de sécurité (11%)
- Opération de la sécurité (16%)
- Sécurité des développements logiciels (10%)
L’examen, au format électronique, se passe uniquement dans des centres d’examen Pearson VUE. Il comporte 250 questions et dure jusqu’à 6 heures. Le score minimum pour réussir l’examen est de 700 points (sur un total de 1000).
CISSP est une certification recherchée mais difficile à réussir. Pour la préparer et la réussir dès le premier essai, nous vous conseillons de bien vous préparer. Pour ce faire, nous vous conseillons de suivre la formation Réussir la certification CISSP® sur 5 jours. 2AB & Associates propose cette session dans différentes villes dont Paris et Abidjan.
CISSP : une certification professionnelle également
CISSP est également une certification professionnelle mais, à l’inverse du CISM, la preuve de l’expérience préalable dans le domaine doit être fournie en amont de l’examen. Ce n’est que lorsque (ISC)2 aura validé cette expérience d’au moins cinq années à temps complet dans un minimum de deux des 8 domaines de compétence couverts que vous pourrez vous présenter à l’examen. Aucune équivalence n’est admise. Là encore, l’objectif est de s’assurer de la compétence des candidats sur la base de l’expérience.
CISM : comment conserver votre certification
CISSP est une certification qui vise à garantir le maintien de votre compétence dans le temps. Vous devrez donc chaque année fournir à (ISC)2 la preuve que vous avez accumulé des CPEs grâce à des formations ou la participation à certaines conférences. Vous devrez en outre payer un montant annuel de 85$ à (ISC)2 et accumuler un total de 120 CPEs par cycle de 3 ans. A défaut d’apporter la preuve de vos CPEs, votre certification sera annulée. Vous pourrez cependant la récupérer ultérieurement en payant les redevances pour l’intégralité des années de retard et en repassant et réussissant de nouveau l’examen.
L’intérêt d’une certification
Selon la dernière enquête annuelle réalisée par Certification Magazine les professionnels confirment l’intérêt d’une certification CISM ou CISSP.
Pour beaucoup de professionnels, la valeur de ces certifications réside d’abord dans une meilleure compréhension des concepts clés de leur domaine. Cela semble plus important que l’augmentation espérée de salaire liée à la certification.
Pour les employeurs, elles permettent d’identifier les candidats à fort potentiel dans le domaine de la sécurité du SI. Ces deux certifications démontrent l’expertise approfondie d’un candidat et augmentent la crédibilité et le calibre de son potentiel. C’est une façon de mesurer la qualité d’un candidat. Attention cependant à ne pas trop compter sur les certifications seules au lieu d’évaluer l’adéquation d’une personne à la culture et à la mission de l’entreprise. En soi, une certification ne constitue pas une garantie qu’un praticien réussira dans une organisation particulière.
Alors, CISM vs CISSP? Qu’en pensez-vous?
Si vous hésitez toujours, merci de nous laisser vos remarques et vos questions en commentaire. Nos experts se tiennent à votre disposition pour vous apporter une réponse. Si vous détenez déjà l’une de ces deux certifications, votre commentaire est aussi le bienvenu.
Pour en savoir plus sur la mise en perspective du CISM vs CISSP, vous pouvez aussi nous suivre sur les réseaux sociaux et vous abonner sans engagement à notre blog.
Si vous aimez cet article, vous pouvez aussi nous laisser un petit « J’aime » pour nous encourager.
11 thoughts on “CISM vs CISSP : quelle certification choisir?”
Article très intéressant et très fouillé. Un véritable trésor d’informations pour l’indécise que je suis. Et d’après ce que j’ai pu y lire, la certification qui me correspondrait le plus serait CISM.
Toutefois selon votre article toujours, « une formation COBIT sera une bonne base pour bien comprendre les aspects de gouvernance et de gestion des risques couvrant la première moitié du contenu ».
Pourriez-vous m’expliquer pourquoi, et me donner les cas de figure ou profils de managers, où ce préalable n’est pas indispensable (s’ils existent)?
Bonjour Blédja,
Merci pour votre commentaire.
La certification CISM est destinée à des managers en sécurité du système d’information. La base des compétences requises pour être un manager, qu’il s’agisse de sécurité, de ressources humaines, d’informatique, de finance, etc. c’est au minimum la connaissance approfondie du fonctionnement d’une entreprise en matière de gouvernance et de management, incluant la gouvernance et le management des risques d’entreprise.
CISM teste tout naturellement la compétence des candidats sur ces deux sujets. Pour cela, CISM s’appuie sur COBIT, qui est le référentiel de gouvernance et de management de l’information dans les entreprises le plus utilisé dans le monde, à la fois dans le public et dans le privé.
Un manager ayant déjà une parfaite connaissance des bonnes pratiques en matière de gouvernance et de management des Entreprises, peut en effet s’affranchir de suivre une formation COBIT. Cependant, le plus souvent, une formation COBIT sera un bon premier pas pour comprendre « l’esprit » des questions de l’examen CISM qui n’est pas un examen technique.
Je travaille dans le domaine de la sécurité depuis maintenant 6 ans et je suis maintenant interessé à passer la certification CISSP. Quels sont les pré-requis à avoir avant de participer à cette formation?
Bonjour Henry,
Merci pour votre question.
Le prérequis détaillés sont disponibles sur le site de (ISC)2 :
CISSP est un examen de haut niveau à forte orientation technique, mais aussi managériale. Il est donc souhaitable que vous ayez déjà une expérience de management pour passer et réussir l’examen CISSP.
Bonjour,
Je dispose de compétences en management mais très peu en Sécurité, cependant je souhaite activement m’orienter vers ce domaine et souhaiterais passer CISM.
Est-ce indispensable d’avoir d’excellentes connaissances en Sécurité pour passer cette certification ? Quels sont les prérequis ?
Merci
Bonjour Laurent,
Merci pour votre commentaire.
CISM est avant tout une certification professionnelle destinée à des managers en sécurité. Je dirais qu’une très grande partie du syllabus porte sur des connaissances et une expérience en gouvernance et en management. Bien sûr c’est aussi une certification en sécurité de l’information mais le niveau technique requis n’est pas extrêmement élevé. Rien à voir avec le niveau technique requis pour réussir le CISSP.
Si vous réussissez l’examen, pour pouvoir obtenir la certification vous devrez fournir des preuves d’une expérience professionnelle d’au moins 5 années en sécurité de l’information durant les dix dernières années, dont au moins trois années dans un rôle de management.
Pour vous préparer au passage de l’examen, nous vous conseillons de suivre une formation « atelier de préparation au CISM » proposée par AB Consulting au cours de laquelle vous seront délivrés les manuels officiels de l’ISACA ainsi qu’en base de questions d’examens avec les explications vous permettant de bien comprendre l’esprit des questions.