L’examen CISM® valide votre expertise dans 4 domaines
-
17%
Gouvernance de la sécurité de l’information
-
20%
Gestion du risque informationnel
-
33%
Programme de sécurité de l’information
-
30%
Gestion des incidents
La pratique professionnelle du CISM consiste en un ensemble d’énoncés de tâches et de connaissances, organisés en 4 domaines. L’examen CISM comporte 150 questions et couvre les quatre domaines de gestion de la sécurité de l’information.
Les domaines de pratiques et les énoncés ont été approuvés par le groupe de travail sur la certification CISM et représentent une analyse des pratiques et de l’ensemble du travail effectué par les managers de la sécurité de l’information. Cette analyse est validée par d’éminents leaders du secteur, des experts en la matière et des praticiens.
Les énoncés de tâches décrivent les activités que les CISM peuvent étre amenés à effectuer dans une organisation, tandis que les énoncés de connaissances sont les critères utilisés pour mesurer, évaluer et gérer les risques. Chaque domaine a son propre ensemble d’énoncés de tâches et de connaissances et nous en présentons un résumé. Notez que la liste complète de référence des énoncés de tâches et de connaissances se trouve ici.
L’ISACA a réorganisé le manuel du CISM en classant chacun des chapitres en deux sections principales. Dans la première section, le manuel couvre les connaissances et les énoncés de tâches correspondants qui sont testés dans le cadre de l’examen. Dans la deuxiàme section, le manuel contient du matériel de référence et du contenu qui prend en charge les énoncés de connaissances. Ces deux sections sont importantes pour la préparation de l’examen.
Notons que votre réussite à l’examen ne constitue que la première étape vers la certification. Cette dernière ne sera accordée que sur étude de votre dossier de candidature fournissant les preuves de votre expérience d’au moins 5 ans dans la réalisation des tâches référencées.
Dans les énoncés suivants, les termes «entreprise» et «organisation» ou «organisationnel(le)» sont considérés comme synonymes.
Crédit © ISACA 2020
Dans ce domaine, les candidats au CISM devront démontrer leur connaissance de la relation entre les résultats d’une gouvernance efficace de la sécurité de l’information et les responsabilités du management. Ils devront également examiner le modèle business de sécurité de l’information et comprendre les interrelations entre la conception et la stratégie de l’organisation, les personnes, les processus et les éléments technologiques. Les candidats doivent bien comprendre les interconnexions entre gouvernance, culture, facilitation et soutien, émergence, facteurs humains et architecture.
Parmi les concepts considérés comme importants pour les candidats au CISM, citons le mesurage de la sécurité, qui implique une description de la manière dont une évaluation quantitative périodique des performances de sécurité doit étre mesurée.
Le domaine propose également une approche permettant de mesurer l’efficacité de ses résultats. Par exemple, si nous considérons que le résultat à atteindre est la livraison de valeur, alors l’efficacité peut être mesurée en tenant compte des éléments suivants:
- Le coût de la sécurité est-il proportionnel à la valeur de l’actif? Si le coût de la protection était le double de la valeur de l’actif, par exemple, il conviendrait de ne pas mettre en œuvre la protection.
- Des tests périodiques sont-ils effectués sur les mesures de sécurité? Si les mesures que nous mettons en place ne sont pas correctement testées, il n’y aura pas de création de valeur.
- Les candidats devront comprendre le concept du modèle de maturité et d’aptituse de COBIT (CPM), en particulier les niveaux 3, 4 et 5.
En outre, le CISM comprend quelques questions d’EA2F. Les candidats devront donc comprendre la «Défense en profondeur», qui teste les actions à entreprendre lors de la prévention, du confinement, de la détection, de la collecte de preuves et de la récupération ou même de la restauration des processus métier.
Les candidats devront enfin comprendre les métriques. Cela impliquera souvent de savoir comment définir des métriques et les produire pour la haute direction.
1.A. Gouvernance d’entreprise
- 1.A.1 Culture organisationnelle.
- 1.A.2 Exigences légales, réglementaires et contractuelles.
- 1.A.3 Structures organisationnelles, rôles et responsabilités.
1.B. Stratégie de sécurité de l’information
- 1.B.1 Développement de la stratégie de sécurité de l’information.
- 1.B.2 Cadres et normes de gouvernance de l’information.
- 1.B.3 Planification stratégique (par exemple, budgets, ressources, analyse de rentabilité).
Les candidats au CISM doivent comprendre la stratégie de gestion des risques de l’organisation et son lien avec les technologies de l’information. Pour ce faire, la compréhension des priorités de l’organisation en matière de risque est indispensable. Des rôles et des responsabilités clairs doivent donc être définis et inclus dans différentes descriptions de poste au sein de l’organisation.
Divers concepts sont importants à mémoriser pour les candidats au CISM. Ces concepts comprennent les menaces, les vulnérabilités, l’exposition, l’impact, l’objectif de temps de récupération (RTO), l’objectif de point de récupération (RPO), les objectifs de prestation de services (SDO) et la fenê;tre d’interruption acceptable (AIW). Tous ces sujets sont, bien sûr traité dans le manuel de révision CISM 15e édition.
Quelques étapes de base doivent être observées lors de la mise en œuvre de l’IRM. Normalement, la portée et les limites doivent être déterminées, suivies d’une évaluation des risques. Une fois que cela est fait, un plan de traitement des risques est conçu pour réduire le risque à un niveau acceptable. Le risque résiduel est alors accepté et communiqué, tout en observant si les contrôles en place fonctionnent réellement.
Les candidats doivent garder à l’esprit qu’il n’existe en fait aucune manière qualitativement correcte ou erronée de sélectionner une méthodologie et de mener une évaluation des risques. Il s’agit principalement d’un exercice progressif qui commence par l’évaluation des actifs, puis passe à l’évaluation de la vulnérabilité et des menaces. Le risque est ensuite évalué et les bons contrôles à appliquer déterminés. Le risque résiduel est discuté et communiqué à la direction.
Une fois l’évaluation des risques terminée, les CISMs ont la possibilité d’éviter, d’atténuer, de transférer ou d’accepter le risque. La valeur attribuée aux ressources informationnelles détermine combien vous pourrez dépenser pour protéger cette ressource.
Les CISMs peuvent définir des bases de référence qui leur permettent de mesurer l’efficacité de leurs programmes de gestion du risque informationnel.
Cela se traduit par 9 tâches qu’un CISM doit être capable d’effectuer en Entreprise.
2.A. Appréciation des risques liés à la sécurité de l’information
- 2.A.1 Paysage des menaces et risques émergents.
- 2.A.2 Analyse des vulnérabilités et des déficiences des mesures de sécurité.
- 2.A.3 Appréciation et analyse des risques.
2.B. Réponse aux risques liés à la sécurité de l’information
- 2.B.1 Traitement des risques / Options de réponse aux risques.
- 2.B.2 Propriété des risques et des mesures de sécurité.
- 2.B.3 Surveillance des risques et rapports.
Les candidats doivent noter que, pour qu’un programme de sécurité de l’information soit efficace, il doit à tout prix atténuer les risques liés aux technologies de l’information et de l’information, en tenant compte de l’ampleur et de la fréquence de la perte potentielle. Les candidats doivent être conscients que les défis les plus souvent rencontrés par les CISM dans les organisations sont les personnes, les processus et les questions de politique qui entrent en conflit avec les objectifs du programme.
Le manuel CISM décrit les contraintes liées à l’élaboration d’une feuille de route InfoSec. Les plus importants d’entre eux sont les exigences légales et réglementaires, l’éthique et le personnel. Par exemple, certains problèmes pour le personnel peuvent être que les RH procèdent à des vérifications sporadiques des antécédents alors même que que ce sont des membres du personnel non formés qui effectuent ces vérifications.
ISACA accorde beaucoup d’attention à la méthodologie SABSA, les candidats doivent donc s’y préparer. Les candidats doivent également noter que l’objectif du développement et du management d’un programme de sécurité est de mettre en œuvre la stratégie de la manière la plus rentable, tout en minimisant l’impact sur les fonctions commerciales. Les candidats devront savoir comment définir le but ou le résultat souhaité, définir les objectifs à atteindre, définir le risque résiduel et définir l’état souhaité
3.A. Développement du programme de sécurité de l’information
- 3.A.1 Ressources du programme de sécurité de l’information (par exemple, personnes, outils, technologies).
- 3.A.2 Identification et classification des actifs informationnels.
- 3.A.3 Normes et cadres de l’industrie pour la sécurité de l’information.
- 3.A.4 Politiques, procédures et lignes directrices de sécurité de l’information.
- 3.A.5 Métriques du programme de sécurité de l’information.
3.B. Gestion du programme de sécurité de l’information
- 3.B.1 Conception et sélection des mesures de sécurité de l’information.
- 3.B.2 Mise en œuvre et intégration des mesures de sécurité de l’information.
- 3.B.3 Test et évaluation des mesures de sécurité de l’information.
- 3.B.4 Sensibilisation et formation à la sécurité de l’information.
- 3.B.5 Gestion des services externes (par exemple, prestataires, fournisseurs, tiers, quatrièmes parties).
- 3.B.6 Communications et rapports du programme de sécurité de l’information.
Ce domaine est considéré par beaucoup comme le plus important dans la mesure où la reprise après un incident garantit la continuité des activités. L’importance de la gestion des incidents est que son objectif est de gérer et de répondre aux événements perturbateurs imprévus dans le but de contrôler les impacts à des niveaux acceptables. ISIM fait partie de la planification de la continuité des activités, tout comme la reprise après sinistre fait partie de la planification de la continuité des activités.
L’un des résultats de a gestion des incidents de sécurité de l’information est qu’avec une formation, une planification et des tests adéquats, les candidats s’assureront que les incidents sont identifiés et contenus, et que la cause fondamentale est traitée. Cela permettra la récupération dans une fenêtre d’interruption acceptable (AIW).
Il existe trois technologies que les candidats doivent associer à la gestion des incidents de sécurité de l’information. Il s’agit de systèmes de détection d’incident réseau (NIDS), de systèmes de détection d’intrusion hôte (HIDS) et de journaux (ceux-ci peuvent concerner un système, une base de données, un système d’exploitation ou une application.) Notons qu’il est important de savoir qu’un SIEM (informations système et gestion des événements) constitue un moyen de gérer les HIDS, les NIDS et les journaux.
Les candidats doivent connaître les avantages et les inconvénients ainsi que le contenu des six types de sites de secours (installations de traitement d’informations chaudes, froides, chaudes, mobiles, en miroir et en double). La familiarité avec les concepts de récupération de réseau, tels que la redondance, le routage alternatif, le routage diversifié, la diversité du réseau longue distance et la récupération de la voix, est également encouragée.
4.A. Préparation à la gestion des incidents
- 4.A.1 Plan de réponse aux incidents.
- 4.A.2 Analyse d'impact business (BIA).
- 4.A.3 Plan de Continuité d’Activité (PCA/BCP).
- 4.A.4 Plan de Reprise après sinistre (DRP).
- 4.A.5 Classification/catégorisation des incidents.
- 4.A.6 Formation àla gestion des incidents, test et évaluation.
4.B. Opérations de gestion des incidents
- 4.B.1 Outils et techniques de gestion des incidents.
- 4.B.2 Investigation et évaluation des incidents.
- 4.B.3 Méthodes de confinement des incidents.
- 4.B.4 Communications de la réponse aux incidents (par exemple, signalement, notification, escalade).
- 4.B.5 Éradication des incidents et rétablissement.
- 4.B.6 Pratiques de revue post-incident.
- Identifier les influences internes et externes à l’organisation qui ont un impact sur la stratégie de sécurité de l’information.
- Établir et/ou maintenir une stratégie de sécurité de l’information en alignement avec les buts et objectifs de l’organisation.
- Établir et/ou maintenir un cadre de gouvernance de la sécurité de l’information.
- Intégrer la gouvernance de la sécurité de l’information dans la gouvernance d’entreprise.
- Établir et maintenir des politiques de sécurité de l’information pour guider l’élaboration de normes, de procédures et de lignes directrices.
- Élaborer des analyses de rentabilisation pour soutenir les investissements dans la sécurité de l’information.
- Obtenir l’engagement continu de la haute direction et des autres parties prenantes pour soutenir la mise en œuvre réussie de la stratégie de sécurité de l’information.
- Définir, communiquer et surveiller les responsabilités en matière de sécurité de l’information dans l’ensemble de l’organisation et des lignes d’autorité.
- Compiler et présenter des rapports aux principales parties prenantes sur les activités, les tendances et l’efficacité globale du programme de sécurité de l’information.
- Évaluer et rapporter les mesures de sécurité de l’information aux principales parties prenantes.
- Établir et/ou maintenir le programme de sécurité de l’information conformément à la stratégie de sécurité de l’information.
- Aligner le programme de sécurité de l’information sur les objectifs opérationnels des autres fonctions de l’entreprise.
- Établir et maintenir des processus et des ressources de sécurité de l’information pour exécuter le programme de sécurité de l’information.
- Établir, communiquer et tenir à jour les politiques, normes, directives, procédures et autres documents de l’organisation en matiàre de sécurité des informations.
- Établir, promouvoir et maintenir un programme de sensibilisation et de formation à la sécurité de l’information.
- Intégrer les exigences de sécurité de l’information dans les processus organisationnels pour maintenir la stratégie de sécurité de l’organisation.
- Intégrez les exigences de sécurité de l’information dans les contrats et les activités des parties externes.
- Surveiller le respect par les parties externes des exigences de sécurité établies.
- Définir et surveiller la gestion et les mesures opérationnelles pour le programme de sécurité de l’information.
- Établir et/ou maintenir un processus d’identification et de classification des actifs informationnels.
- Identifier les exigences de conformité légales, réglementaires, organisationnelles et autres applicables.
- Participer et/ou superviser le processus d’identification, d’appréciation et de traitement des risques.
- Participer et/ou superviser le processus d’évaluation des vulnérabilités et d’analyse des menaces.
- Identifier, recommander ou mettre en œuvre des options appropriées de traitement des risques et de réponse pour gérer les risques à des niveaux acceptables en fonction de l’appétit pour le risque de l’organisation.
- Déterminer si les mesures de sécurité des informations sont appropriées et gérer efficacement les risques à un niveau acceptable.
- Faciliter l’intégration de la gestion des risques liés à l’information dans les processus métiers et informatiques.
- Surveiller les facteurs internes et externes pouvant nécessiter une réapprécitaion des risques.
- Signaler aux principales parties prenantes les risques liés à la sécurité des informations, y compris la non-conformité et les modifications des risques liés aux informations afin de faciliter le processus de prise de décision en matière de gestion des risques.
- Établir et maintenir un plan de réponse aux incidents, en alignement avec le plan de continuité des activités et le plan de reprise après sinistre.
- Établir et maintenir un processus de classification et de catégorisation des incidents de sécurité de l’information.
- Développer et mettre en œuvre des processus pour assurer l’identification en temps opportun des incidents de sécurité de l’information.
- Établir et maintenir des processus pour investiguer et documenter les incidents de sécurité de l’information conformément aux exigences légales et réglementaires.
- Établir et maintenir un processus de traitement des incidents, y compris le confinement, la notification, l’escalade, lééradication et la récupération.
- Organiser, former, équiper et attribuer des responsabilités aux équipes d’intervention en cas d’incident.
- Établir et maintenir des plans et des processus de communication sur les incidents pour les parties internes et externes.
- Évaluer les plans de gestion des incidents par le biais de tests et de revues, y compris des exercices sur table, un examen des listes de contrôle et des tests de simulation à des intervalles planifiés.
- Mener des revues post-incident pour faciliter l’amélioration continue, y compris l’analyse des causes profondes, les leçons apprises, les actions correctives et la réappréciation des risques.