Les professionnels de la sécurité de l’information qui souhaitent approfondir leurs connaissances des principes de gouvernance et de management de la sécurité et du contrôle des SI/TI peuvent envisager de passer l’examen CISM® pour poursuivre leur évolution de carrière. Le CISM® leur apportera une crédibilité accrue et la confiance des parties prenantes internes et externes, de leurs pairs et des régulateurs.
La certification CISM®, proposée par l’Information Systems Audit and Control Association (ISACA), démontre aux potentiels employeurs que le titulaire s’est révélé efficace dans ses responsabilités de gestion de la sécurité de l’information au niveau stratégique. Le titulaire d’une certification CISM® bénéficient d’un avantage concurrentiel en raison du fait que l’employeur a des preuves tangibles que le candidat possède de réelles compétences dans son domaine. Cela augmentera son attractivité pour un rôle de management de la sécurité du SI et accélèrera ses gains et son évolution de carrière.
Crédit: ISACA © 2020
Un autre avantage de l’obtention de la certification CISM® est qu’elle permet de rejoindre un réseau de pairs d’élite, professionnels de la sécurité à travers le monde, pouvant être utilisé pour obtenir un effet de levier, des connaissances et des outils éprouvés par une communauté d’experts.
Pré-requis de la certification CISM®
Vous avez réussi votre examen? Félicitations! Mais ce n’est que le premier pas de votre parcours vers l’obtention de votre certification CISM®. Quelques pré-requis doivent encore être satisfaits. Pour prétendre à la certification, vous devez justifier d’un minimum de 5 ans d’expérience professionnelle en gestion de la sécurité de l’information répondant à la description figurant dans les domaines de pratique du CISM. L’expérience professionnelles requise pour la certification CISM® doit avoir été acquise dans les 10 ans précédant la date de votre demande.
Si vous êtes enseignant dans une université accréditée sur des sujets liés à l'un des domaines de compétences du CISM®, chaque période de deux ans d’enseignement compte pour un an d’expérience en sécurité de l’information. Cette équivalence peut être utilisée par les professeurs qui préfèrent enseigner à des étudiants plutôt qu’appliquer leurs compétences dans le domaine de la mise en œuvre.
Il est important de noter que de nombreuses personnes choisissent de passer l’examen CISM avant de répondre aux exigences en matière d’expérience. Cette pratique est tout à acceptée. Cependant la certification CISM® ne sera pas décernée tant que toutes les exigences ne seront pas satisfaites.
1. Réussir l’examen
La réussite de l’examen CISM® n’est que la première étape pour obtenir la certification. Dans la pratique, vous pouvez passer l’examen avant de remplir les conditions préalables requises. De nombreux candidats s’attaquent donc à cette tâche en premier. C’est le cas notamment des jeunes diplômés universitaires qui ont encore les termes et des connaissances de base frais dans leur mémoire.
Les questions de l’examen sont présentées dans un format à choix multiples, avec quatre réponses pour chacune. Contrairement à certains examens similaires, il peut y avoir plus d’une option plausible. Cependant, une seule réponse correspondra toujours au meilleur choix. Chaque question sera centrée sur un domaine du CISM spécifique. L’examen n’entrelace généralement pas les concepts. Cette structure résulte en des réponses correctes qui peuvent être subtiles, mais pas forcément compliquées.
Une stratégie courante utilisée par les candidats consiste à d’abord identifier le domaine concerné par la question. Ensuite il convient de filtrer les réponses qui ne coïncident pas avec le domaine en question. Pour terminer, il reste à utiliser les principes du domaine approprié pour aider à sélectionner la bonne réponse.
Gardez toujours à l’esprit que la meilleure réponse à la question est toujours associée à l’atteinte des objectifs stratégiques de l’organisation. La réponse qui semble la meilleure à prioril, surtout si elle est de nature technique, n’est pas nécessairement la bonne. N’oubliez jamais que les questions sont associées à une application dans la sécurité du SI, et pas seulement de manière générale.
L'ISACA ne s’attend pas non plus à ce que vous ayiez une expertise approfondie des technologies de la sécurité et de clauses spécifiques. Gardez donc un esprit ouvert, utilisez votre compréhension la plus large des questions posées et choisissez une réponse qui semble correcte d’une vue générale..
De plus, il n'y a pas de pénalité pour les mauvaises réponses. Donc, si vous manquez de temps, éliminez les réponses clairement incorrectes et faites un choix judicieux parmi les réponses restantes.
2. Soumettre votre demande de certification CISM® à l’ISACA
Une fois que vous avez réussi l’examen, vous devez soumettre votre demande de certification CISM®. Pour ce faire, vous devrez télécharger un formulaire sur le site Web de l’ISACA. Cette demande doit être remplie et soumise dans les cinq ans suivant la date à laquelle vous avez réussi l’examen. Si le délai entre la réussite de l’examen et la soumission de la demande dépasse cinq ans, vous devrez repasser l’examen et soumettre à nouveau votre demande une fois que vous l’aurez réussi.
L’expérience préalable requise pour être éligible à la certification CISM® doit avoir été acquise dans les 10 ans précédant la date de votre candidature.
Si votre demande est rejetée, l’ISACA a mis en place une politique d’appel qui peut être utilisée si vous pensez qu’il y a eu une erreur dans l’évaluation de votre dossier ou si vous avez une réclamation concernant le contenu de l’examen ou les conditions de déroulement de l’épreuve.
3. Adhérer au Code d’Éthique de l’ISACA
L’ISACA exige de tous les détenteurs de la certification CISM® qu’ils appliquent les normes appropriées et agissent de manière professionnelle dans leur carrière. Conformément à son code d’éthique, cela signifie :
- toujours servir les intérêts de vos parties prenantes,
- maintenir la confidentialité des connaissances acquises tout au long des activités de votre carrière,
- et vous assurer d’être toujours compétent dans votre travail.
En cas non-respect du code d’éthique de l’ISACA, vous pouvez faire l’objet de mesures disciplinaires, pouvant entraîner la résiliation de votre certification.
Après obtention de votre certificat CISM®, les conditions suivantes doivent être maintenues pour conserver votre statut de titulaire de la certification :
- Un minimum de vingt heures de CPE doit être réalisé et rapporté annuellement à l’ISACA. Ces heures doivent être pertinentes dans le domaine de la gouvernance et de la sécurité du SI. Bien que vous n’ayez besoin d’en réaliser que 20 par an, vous devez déclarer un minimum 120 heures de CPE pour chaque période de trois ans. Alors assurez-vous de consacrer le temps nécessaire progressivement tout au long de chaque période de trois ans pour pouvoir atteindre ce seuil. Ces heures peuvent inclure des cours éducatifs, des formations internes en entreprise et/ou la participation à des conférences et ateliers.
- Payer les frais de maintien à l’ISACA. Ces frais s’élèvent à 45 USD pour les membres et à 85 USD pour les non-membres. Les frais d’adhésion à l’ISACA coûtent entre 68 USD et 135 USD, plus les cotisations à la section locale dont vous dépendez, selon que vous êtes un étudiant, un jeune diplômé récent ou un professionnel au sein d’une organisation.
4. Vous engager à respecter la politique d’éducation continue de l’ISACA
L’ISACA organise et/ou sponsorise une pléthore d’évènements professionnels auxquels les titulaires du CISM® sont encouragés à assister. Ceux-ci incluent des séminaires (en présentiel ou en ligne), des conférences, des ateliers, etc. Assurez-vous de conserver la preuve de votre participation à ces évènements, car ils peuvent être utilisés pour vos heures de CPE.
5. Vous conformer aux normes d’audit des SI
Un échantillon aléatoire de titulaires du CISM® est audité chaque année. Ils doivent apporter la preuve qu’ils remplissent les critères exigés par le CISM depuis douze mois avant le cycle de reporting de 3 ans. Si vous êtes sélectionné(e), vous devrez communiquer les éléments d’information suivants dans votre documentation :
- Votre nom
- Titre de l’activité
- Nom de l’organisation qui parraine l’évènement
- La description
- La date
- Le nombre d’heures de CPE effectuées