CISM Vs CISSP : quelle certification choisir ?
L’avènement du digital avec le développement d’internet, l’interconnexion des appareils et des réseaux, les risques informatiques dans les entreprises se multiplient de plus en plus. Qu’il s’agisse des facteurs internes ou externes, la sécurité du système d’information est aujourd’hui un enjeu de taille dans la gouvernance de toute organisation. Le système informatique se trouve au centre de toutes les actions et prises de décisions de l’entreprise, raison pour laquelle il est important de veiller à ce que toutes les informations de l’entreprise soient bien verrouillées.
Les cyberattaques sont désormais très récurrentes et les principales cibles des génies de l’informatique mal intentionnés demeurent les grandes entreprises même si aucune entreprise n’est aujourd’hui épargnée. Une étude menée sur les habitudes et sécurité des entreprises à travers le monde a révélé que plus d’un tiers d’entre-elles ne disposent pas de système d’information sécurisé ni de moyens nécessaires pour lutter contre les cyberattaques. En effet, c'est ainsi que le géant du e-commerce eBay et le géant français de la télécommunication Orange ont été victimes de cyberattaques.
Mettre en œuvre un système de sécurité fiable et efficace permet aux entreprises d’assurer une progression dans le temps et de diffuser une image positive vis-à-vis des clients et des fournisseurs, notamment pour les entreprises faisant du commerce via internet et/ou qui privilégient un extranet avec leurs collaborateurs.
Dans ce contexte, les professionnels qualifiés en sécurité informatique et des données sont très recherchés et le demeureront dans l’avenir, ce qui fait que le domaine est très convoité par les professionnels et les enjeux financiers sont énormes. 41% des employeurs aux états unis affirment que trouver des professionnels qualifiés en cyber sécurité est l’un des plus grands défis des recruteurs et les certifiés gagnent environ 22% de plus que leurs collaborateurs non certifiés selon le rapport 2018 sur les compétences en informatique.
Il existe de nombreuses certifications dans le domaine de la sécurité de systèmes d’information. La certification majeure car elle constitue le tronc des connaissances en sécurité des systèmes d’information est sans nul doute le CISSP (Certified Information System Security Professional) de (ISC)². Mais d’autres certifications relatives à l’audit des systèmes d’information comme le CISA (Certified Information Systems Auditor), le CISM (Certified Information Security Manager) au Risk Management comme la formation Risk Manager ISO 27005, aux Systèmes de Management de la Sécurité de l’Information (SMSI ISO 27001) et à la Continuité d’Activité (SMCA ISO 22301) sont tout aussi importantes. En fait elles constituent le prolongement logique de la certification CISSP.
Dans ce qui suit nous ferons une présentation des certifications CISM et CISSP.
La certification CISM (Certified Information Security Manager)
Tout comme le CISSP, le CISM (Certified Information Security Manager) est une certification qui s’adresse aux professionnels de la sécurité informatique. Délivrée par l’ISACA et détenue par plus de 42000 professionnels à travers le monde dont 7500 occupant des postes de CISO, RSSI, DSI, le CISM fait partie des certifications les plus reconnues dans le domaine de la gouvernance des systèmes d’information.
A l’inverse du CISSP qui se focalise essentiellement sur les aspects techniques des opérations de sécurité, le CISM se concentre plutôt sur le management et la stratégie et couvre superficiellement les aspects techniques. Raison pour laquelle elle cible principalement les responsables en sécurité informatique. Cette certification valide l’expertise et les connaissances du manager en gestion des équipes de sécurité des informations et montre qu’il possède une connaissance aguerrie des compétences techniques des systèmes d’information.
Le CISM couvre quatre domaines de compétence : la gouvernance de la sécurité de l’information, la gestion des risques de l’information, la gestion des incidents de sécurité de l’information et le développement et la gestion d’un programme de sécurité de l’information.
L’examen de CISM a changé de format. Désormais électronique, il se compose de 200 questions à choix multiples. Pour réussir l’examen, il faut valider un score minimum de 450 points correspondant entre 60 et 70% de réponses correctes. Il faut noter également que l’examen comporte 25 questions non notées pour évaluer le candidat.
La certification CISSP (Certified Information System Security Professional)
Délivré par la fondation (ISC)2, le CISSP est l’une des certifications les plus reconnues et les plus prestigieuses dans le domaine de la sécurité des systèmes informatiques. Lancé en 1994, le premier titre de compétence offert par la fondation (ISC)2 est devenu incontournable et représente le titre de compétence par excellence de son éditeur et se positionne à la 4ème place des certifications les mieux rémunérées.
La rareté de cette certification fait son prestige. Le CISSP, réputé être l’une des certifications les plus difficiles, est détenu environ que par 140.000 professionnels de la sécurité informatique dans le monde. L’Afrique de l’Ouest compte aujourd’hui que moins de 200 certifiés CISSP. Les détenteurs de cette certification occupent la plupart des postes de CISO, RSSI, responsable réseau, chefs de projets, consultants, Information Security Manager, Architect IT etc.
Le CISSP couvre huit domaines de compétences à savoir : la gestion des risques et de la sécurité, la sécurité des actifs, l’ingénierie de la sécurité, la sécurité des télécommunications et des réseaux, l’évaluation et test de sécurité, la sécurité des opérations et enfin la sécurité des développements logiciels. Les candidats à la certification doivent justifier d’une expérience professionnelle d’au moins 5 ans dans deux des huit domaines du tronc commun de connaissance (CBK) validée par le (ISC)2.
L’examen de certification CISSP se présente sous deux formes :
- Une forme linéaire : 250 questions sur une durée de 6 heures avec une majorité de questions à choix multiples et quelques questions de type « drag and drop » et « Hot Spot » si l’examen se passe dans une langue autre que l’anglais;
- Une forme dite « CISSP Computerized Adaptive Testing » ou test adaptatif informatisé si l’examen est en anglais. Il est constitué d’un nombre de questions variant en temps réel en fonction de l’historique des réponses aux questions par le candidat. Le nombre de questions est donc au minimum de 100 et de 150 au maximum. L’examen de certification est prévu sur une durée réduite de 3 heures.
Dans les deux cas, l’examen de certification se passe en ligne via un centre d’examen Pearson Vue agréé par (ISC)². Pour réussir à l’examen de certification CISSP, le score minimum est de 700 points sur un total de 1000.
La certification CISSP est valide 3 ans et doit être entretenue soit en repassant l’examen, ou en validant 120 crédits de formation professionnelle durant les 3 ans.