Certification CISA - Certified Information Systems Auditor ISACA
Entretien avec Yves LALOUM, formateur en Sécurité Informatique sur la certification CISA
Aujourd’hui, le monde de l’audit des systèmes d’information s’est développé à une vitesse inimaginable. Faisant ainsi exploser la demande pour les auditeurs des SI et des professionnels de la sécurité. Alors la certification CISA est devenue incontournable pour les professionnels désireux d’acquérir une reconnaissance de leur expertise pour pouvoir s’ouvrir à d’autres opportunités encore plus prometteuses. La plupart des Banques centrales et des instituts financiers à travers le monde ont commencé à embaucher des professionnels certifiés CISA pour réaliser des audits de sécurité efficaces. Pour mieux connaître la certification CISA et de ce qui fait sa particularité nous nous sommes entretenus avec Monsieur Yves LALOUM, consultant formateur en audit et sécurité des SI au sein d’Oo2 Formations & Consulting. Dans cet entretien Monsieur LALOUM revient sur plusieurs points notamment son parcours, pourquoi la certification CISA, les avantages de se certifié CISA…Etc.
Bonjour, pouvez-vous vous présenter ?
Je suis Yves LALOUM, consultant et formateur en audit et sécurité des systèmes d'information. Après des années passées dans la recherche et le développement en systèmes d'information en France et aux États Unis, j'ai co fondé un cabinet en audit, organisation et sécurité des systèmes d'information.
Parallèlement, j'ai enseigné dans de nombreux instituts français et étrangers, notamment l'INSA de Lyon et je suis professeur associé au Conservatoire National des Arts et Métiers à Paris, où j'ai créé et dirigé des enseignements sur l'audit, la sécurité et l'intégration des systèmes d'information. J'anime régulièrement également des formations pour la certification CISA notamment dans le cadre de l'AFAI (Association Française d'Audit et de Conseil) ainsi qu'à l'étranger, en Côte d'Ivoire, au Sénégal, au Maroc et en Tunisie. Et occasionnellement des formations à la certification «ITIL Foundation.»
Pouvez-vous nous parler de la certification CISA ?
La certification CISA est une certification très ancienne qui date de 1981 mais qui a su évoluer aussi bien sur le plan méthodologique que technologique au cours des années pour devenir une véritable référence dans le monde de l'audit et de la gouvernance des systèmes d'information. Cette certification a été créée par l'ISACA (Information System Audit and Control Association) à laquelle l'AFAI est affiliée.
Pour être certifié CISA, il faut réussir l'examen de certification qui se compose de 150 questions en QCM sur tous les domaines de l'Audit et du Contrôle mais cela ne suffit pas, il faut également justifier d'une expérience professionnelle de 5 ans et aussi entretenir en permanence ses compétences par des formations et des activités professionnelles. Elle doit être renouvelée tous les trois ans principalement en répondant à des questionnaires sur les travaux accomplis validés par un référent professionnel.
Cela en fait une certification extrêmement prisée par les auditeurs et les managers de systèmes d'information et c'est souvent un prérequis pour occuper des postes à haut responsabilité.
Pourquoi se certifier CISA ?
Il y a plusieurs intérêts à être certifié CISA selon les postes que l'on veut occuper.
D'abord, un intérêt pédagogique, c'est à dire de bien comprendre les principes d'audit, de gouvernance et de contrôle et leur application dans les différents domaines liés aux systèmes d'information, la méthodologie d'audit, la gouvernance, l'acquisition et le développement des systèmes, l'exploitation des services informatiques, les plans de continuité d'activité et bien sûr, la protection des actifs informationnels et la sécurité qui constituent une véritable ossature pour la gestion des risques, l'efficacité et l'efficience des systèmes et leur alignement permanent sur les besoins stratégiques et opérationnels d'une entreprise.
Sur le plan d'une organisation, c'est aussi une garantie d'appliquer des standards de contrôle reconnus dans le monde entier, car la certification CISA est reconnue et développée dans plus de 160 pays dans le monde et compte aujourd'hui plus de 120.000 certifiés. Les conditions de certification sont les mêmes dans tous ces pays, et il est possible de passer l'examen selon un choix de langues important parmi lesquelles l'Anglais, le Français, l'Espagnol, le Japonais, etc.
Cela favorise bien évidemment les échanges entre les entreprises et entre les professionnels et leur permet d'avoir des références et des repères communs.
Sur un plan personnel, il est intéressant pour un professionnel des Systèmes d'Information de posséder cette certification pour accéder à des fonctions d'audit et de contrôle où elle est souvent requise et aussi approcher des domaines des systèmes d'information auxquels sa formation et son expérience ne leur ont pas toujours permis d'accéder car, le CISA couvre l'ensemble des activités liées aux systèmes d'information, de la mise en place, du développement à l'exploitation, au support et à la surveillance des systèmes d'information. Cette exhaustivité en fait un référentiel particulièrement riche et auquel on peut avoir recours dans toutes les activités liées.
Le CISA est une certification réputée difficile. Qu'est-ce qui fait sa particularité?
Il est vrai que cette certification est réputée difficile comparée à d'autres, toutefois il faut relativiser car elle dépend beaucoup de l'expérience professionnelle et de la technicité des candidats. En outre, selon leur origine professionnelle, il n'est pas toujours facile pour eux de se confronter à l'audit et au contrôle parce que cela demande d'avoir une vision du système d'information orientée principalement sur les risques et sur l'adéquation du système d'information aux besoins de l'entreprise. Moi-même, ingénieur de formation et venant d'un monde très technique de recherche et développement, j'ai eu parfois du mal à acquérir cette vision sur les risques et cela demande d'avoir une adhérence très forte aux différents métiers d'une entreprise et de bien en considérer les enjeux économiques et stratégiques.
Le taux moyen de réussite à l'examen est d'environ 60% mais il faut dire que certains candidats n'ont pas forcément les prérequis et l'expérience souhaitée et la formation CISA elle-même, n'est pas obligatoire pour passer l'examen mais fortement recommandée pour avoir de réelles chances de réussite.
Par expérience, je dirai que généralement, avec un travail intensif pendant la formation et par un travail personnel régulier, elle est à la portée de professionnels avec une bonne formation de base et quelques années d'expérience dans le domaine des systèmes d'information. Dans les formations que j'anime, il n'est pas rare de voir 100% des candidats réussir leur examen mais généralement, cela leur demande de bien se préparer et de bien s'imprégner de l' «esprit» CISA assez caractéristique, ce qui est un des objectifs principaux de la formation.
Quelle sont les avantages de cette certification ?
Le principal avantage de la certification CISA est d'abord la reconnaissance d'une bonne acquisition des standards d'audit et de contrôle. La plupart des entreprises font appel soit en interne soit en externe, à des auditeurs certifiés pour leurs audits de systèmes d'information, et dans certains pays, c'est carrément un prérequis incontournable.
Il y a aussi l'avantage en tant que membre de l'ISACA à avoir accès à une base de connaissances et à une base documentaire très conséquentes ainsi que des retours d'expérience qui peuvent avantageusement être mis à profit dans différents domaines. Il y a également, tout un écosystème autour du CISA qui permet d'échanger avec d'autres professionnels.
Il est également possible de créer une association locale quand elle n'existe pas dans certains pays, affiliée à l'ISACA, permettant des échanges encore plus denses et d'organiser des évènements locaux autour des thèmes concernés.
Comment passer l’examen de certification CISA ?
Pour passer l'examen, il suffit de s'inscrire en ligne (en payant les droits associés en ligne également), de choisir la langue et le centre d'examen et la date selon celles proposées et selon l'endroit où l'on se trouve. Seulement il n'existe pas encore beaucoup de centres d'examen en Afrique de l'Ouest, à part à Accra au Ghana et à Abidjan en Côte d'Ivoire, mais cela correspond aussi à la demande qui ne fait que croître en Afrique de l'Ouest et de l'intérêt qu'y verront les centres d'examen pour obtenir un agrément de l'ISACA.
L'examen se déroule sur un poste de travail pendant 4 heures maximum et le candidat doit répondre à 150 questions à choix multiples. A l'issue du questionnaire, il connaît son résultat instantanément, et qui lui sera confirmé et détaillé par domaines par mail deux ou trois semaines plus tard.
S'il a réussi, il doit répondre en ligne à un questionnaire sur son expérience professionnelle devant être validé par un référent et s'il satisfait les conditions requises, il obtient la certification et peut s'en prévaloir dans ses activités. Dans le cas contraire, son examen reste valable 4 ans pendant lesquels, il pourra compléter son expérience afin de valider la certification.
A qui est destinée la certification CISA ?
L'originalité de cette certification est qu'elle s'adresse aux professionnels de l'audit mais aussi aux responsables des systèmes d'information et du contrôle interne. Et principalement aux auditeurs de systèmes d'information dans différents métiers, notamment dans le secteur banque et assurance qui historiquement est le plus impliqué dans les démarches d'audit et la certification CISA, mais aussi tous les secteurs d'activité où le système d'information est un enjeu important, c'est à dire, aujourd'hui, pratiquement tous.
Mais elle peut être mise avantageusement à profit dans toutes les fonctions de management et de contrôle comme les directeurs informatiques, les gestionnaires de risques et les responsables du contrôle Interne. Elle peut être également un bon vecteur d'évolution pour des responsables de développement, d'exploitation ou de support. Bref, elle peut intéresser beaucoup de professionnels dont les préoccupations sont le management et le contrôle des systèmes d'information.
Existe-il des prérequis pour passer la certification CISA ? Si oui. Quelles sont-ils ?
L'ISACA n'exige aucun prérequis formel pour pouvoir passer la certification CISA.
Cependant, elle suppose que le candidat a une bonne culture en système d'information ainsi qu'une formation professionnelle conséquente dans ce domaine. Bien sûr, la réussite ou l'échec à l'examen en dépendra, et pour suivre la formation CISA elle-même, qui se déroule sur une seule semaine intensive, ces prérequis seront nécessaires.
Il est important de bien posséder le vocabulaire informatique et de connaître les différents organes d'un système d'information.
Il est aussi nécessaire à mon avis, d'avoir une bonne vision globale du fonctionnement et de l'organisation d'un système d'information ainsi que des différents processus qui permettent de le gérer efficacement.
Les conditions d'éligibilité pour être certifié CISA
- Réussir l'examen CISA au cours des 5 dernières années
- Avoir une expérience professionnelle pertinente à temps plein dans le cadre du contenu de l'examen CISA
- Soumettre la demande de certification CISA, y compris les frais de traitement de la demande auprès de
- l’ISACA
Comment conserver votre titre CISA® ?
- Gagner un minimum de 20 heures CPE par an
- Gagner et rapporter un minimum de 120 heures CPE pour une période de cycle de rapport de trois ans
- Payer les frais de maintenance annuels CISA de 45 $ pour les membres et 85 $ pour les non-membres de
- l’ISACA
- Se conformer au code d'éthique professionnelle de l'ISACA
- Respecter les normes d'audit informatique établies par l'ISACA
Quelle (s) autre (s) certification peut-on comparer au CISA ?
Il est difficile de comparer le CISA à d'autres certifications comme par exemple ITIL (Management des services informatiques) ou CISSP (expertise en sécurité) ou les certifications ISO 27001 (Sécurité des SI). D'ailleurs par son positionnement, le CISA n'est pas en concurrence directe avec ces certifications mais agit plutôt en complémentarité en ayant pour principaux axes d'analyse, l'alignement des Systèmes d'Information sur les objectifs stratégiques de l'entreprise, la pertinence des contrôles mis en place et l'optimisation des coûts et des services rendus. C'est peut être une des certifications qui prend le mieux en compte le lien entre les processus métiers d'entreprise et les processus informatiques.
Quels conseils donnez-vous aux futurs candidats à cette certification?
Le premier conseil que je donne en général, c'est de bien s'informer sur le périmètre de la certification pour voir si elle correspond à leurs attentes professionnelles et à leurs objectifs d'évolution.
Une auto-évaluation sera peut être nécessaire pour voir où on se situe dans l'optique de l'examen. Le site de l'lSACA met à disposition quelques exemples de questions.
L'idéal est de se procurer le manuel de révision CISA avant la formation afin de le parcourir et de s'y préparer.
Il faudra prévoir un à deux mois après la formation avant de passer l'examen pour le faire dans de bonnes conditions et réviser régulièrement les points du manuel sur lesquels on a buté pendant la formation, ainsi que de refaire au moins une fois toutes les questions d'entraînement. Enfin d'aborder l'examen avec une certaine confiance.
Recommanderiez-vous Oo2 Formations & Consulting aux futurs candidats à la préparation de la certification CISA?
La formation CISA organisée par Oo2 Formations & Consulting suit exactement le même format que les formations organisées par l'AFAI et d'autres instituts de formation en France. De ce point de vue, elle est d'un même niveau de qualité. L'expérience que j'ai eue avec Oo2 m'a permis d'apprécier ses très bonnes conditions d'accueil et d'organisation et son écoute permanente dans l'intérêt des stagiaires. Je recommanderai Oo2 Formations pour l'excellence de son organisation et pour les bonnes conditions de travail qu'elle offre à la fois aux stagiaires et aux formateurs. Les retours de ses formations sont généralement très positifs.
Votre mot de la fin !
La certification CISA est sans conteste une des certifications les plus importantes dans le domaine des systèmes d'information à la fois par son contenu et par sa couverture dans de nombreux pays. Elle permet aussi une bonne anticipation sur les risques et sur leurs conséquences...Elle est une illustration pertinente pour les systèmes d'information de la fameuse phrase de Winston CHURCHILL «Gouverner, c'est prévoir.»