CISM®, l'incontournable certification des experts en Management des Systèmes d’Information.
Le système d’information d’une entreprise constitue un outil formidable pour développer et créer de la valeur, facilitant aux employés d’échanger plus facilement des informations et de travailler en réseau sur des projets communs, tout en réalisant d’importants gains de productivité. Ces échanges génèrent un accroissement des vulnérabilités pour les systèmes d’information de l’entreprise, autant de potentielles attaques contre lesquelles elle doit se protéger.
Avec le développement de l’internet, le cloud et le digital, nombreuses sont les entreprises qui ouvrent leur système d’information à leurs clients, partenaires ou fournisseurs. Il est cependant primordial de connaître les ressources de l’entreprise à protéger, de maîtriser le contrôle d’accès et la gestion des droits utilisateurs du système d’information. Les incidents dus à une défaillance de la sécurité du système d’information peuvent affecter l’ensemble du patrimoine et des activités de l’entreprise avec des répercutions sur les procédures clés de production de l’entreprise, des pertes de parts de marché et des pertes financières directes, sans parler du risque de réputation.
Pour maintenir leur compétitivité dans un contexte de transformation numérique, les entreprises doivent apprendre à adopter des solutions de sécurité qui sont intégrées dès la phase de conception. La sécurité du système d’information protège les processus et informations métiers des entreprises contre les dommages, les accès non autorisés et les attaques aux actifs informationnels comme les réseaux, les systèmes, les applications, les données, les personnels, les locaux. D’après une enquête menée en 2019 par Cegedim Outsourcing, cabinet spécialisé dans les métiers de l’infrastructure IT et en Business Process Outsourcing, 80% de responsables informatiques affirment avoir déjà été confrontés à des problématiques de sécurité, la moitié reconnaît avoir une mauvaise visibilité de leur niveau de sécurité de leur Système d’Information.
Mettre en œuvre un système de sécurité fiable et efficace permet aux entreprises d’assurer une progression dans le temps et de diffuser une image positive vis-à-vis des clients et des fournisseurs, notamment pour les entreprises faisant du commerce via internet et/ou qui privilégient un extranet avec leurs collaborateurs.
Dans ce contexte, les professionnels qualifiés en sécurité des systèmes d’information sont très recherchés et le demeureront dans l’avenir, ce qui fait que le domaine est très convoité par les professionnels et les enjeux financiers sont énormes. 41% des employeurs aux Etats Unis d’Amérique affirment que trouver des professionnels qualifiés en cyber sécurité est l’un des plus grands défis des recruteurs et les certifiés gagnent environ 22% de plus que leurs collaborateurs non certifiés selon le rapport 2018 sur les compétences en informatique.
Il existe de nombreuses certifications dans le domaine de la sécurité de systèmes d’information. On peut notamment citer le CISA (Certified Information Systems Auditor) relatif à l’audit des systèmes d’information, le CISM (Certified Information Security Manager) relatif au management de la sécurité de l’information, le CISSP (Certified Information Systems Security Professional) certification destinée aux futurs RSSI et un certain nombre d’autres certifications relatives aux normes ISO (ISO 27005 Risk Manager, ISO 27001 Lead Implementer, ISO 22301 Lead Auditor , ISO 27032 Lead Cybersecurity Manager, …).
Le CISM (Certified Information Security Manager) est une certification qui s’adresse aux professionnels de la sécurité des systèmes d’information. Délivrée par l’ISACA et détenue par 42 000 professionnels à travers le monde dont 7500 occupent des postes de RSSI, DSI ou de Risk Managers ; le CISM fait partie des certifications les plus reconnues dans le domaine de la gouvernance des systèmes d’information.
A l’inverse des autres certifications en système d’information, le CISM se concentre plutôt sur le management et la stratégie de la sécurité de l’information et couvre superficiellement les aspects techniques. C’est la raison pour laquelle elle cible principalement les responsables de la sécurité des systèmes d’information. Cette certification valide l’expertise et les connaissances du manager en gestion des équipes de sécurité de l’informations .
Le CISM couvre quatre domaines de compétence : la gouvernance de la sécurité de l’information, la gestion des risques de l’information et la conformité, le développement et la gestion du programme de sécurité de l’information, la gestion des incidents de sécurité de l’information.
L’examen CISM dure 4 heures et utilise un questionnaire constitué de 150 questions portant sur l’ensemble des domaines relevant du management de la sécurité du système d’information. Pour réussir l’examen, il faut obtenir un score minimum de 450 points sur un total de 800.
La réussite à l’examen ne garantit toujours pas l’obtention de la certification. Pour obtenir le certificat, il faut prouver à l’ISACA que vous avez au moins cinq années d’expérience dans le domaine de la gestion de la sécurité de l’information au cours des dix années précédant la certification. Après vérification auprès des références fournies à l’ISACA et validation des expériences, le candidat pourra obtenir son certificat.
La certification CISM est valable trois ans. Pour la conserver, il faut fournir à l’ISACA des preuves d'un engagement dans un processus d’amélioration continue de ses connaissances et compétences en management de la sécurité de l’information.