Le moment est idéal pour passer la certification CISM ou CISSP ou pour obtenir n’importe quelle certification de cyber sécurité : d’après Gartner, le taux de chômage des professionnels du secteur de la cyber sécurité est nul. Autrement dit, pas de chômage. En réalité, le nombre d’offres d’emploi est supérieur à celui des candidats et les postes restent vacants pendant longtemps.
CISM et CISSP sont deux des certifications préférées des leaders et professionnels de ce secteur, mais leurs exigences ne sont pas négligeables. Toutes deux impliquent un investissement important, aussi bien en temps qu’en argent. Il est donc important de déterminer laquelle est la mieux adaptée à vos besoins. Nous vous invitons à lire notre comparatif pour vous aider à prendre votre décision.
CISM (Certified Information Security Manager)
CISM (à prononcer « siz-zem ») est une certification proposée par ISACA qui valide vos connaissances et votre expertise en gestion des équipes de sécurité des informations. Si vous obtenez la certification CISM, les employeurs du monde entier s’arracheront vos services, conscients des accomplissements et capacités dont elle est le gage. CISM montre que vous possédez une connaissance exhaustive des compétences techniques et que vous comprenez les objectifs métier inhérents à la sécurité des données.
L’obtention de la certification CISM s’effectue en plusieurs étapes : Vous devez obtenir la moyenne à l’examen CISM composé de 200 questions de QCM couvrant les thèmes suivants :
- Gestion de la sécurité des informations
- Gestion du risque associé aux informations et conformité
- Développement et gestion d’un programme de sécurité des informations
- Gestion des incidents de sécurité des informations
Vous devez également disposer d’au moins 5 ans d’expérience dans la sécurité des informations au cours des 10 années précédant votre certification, dont 3 années d’expérience en gestion. Certaines équivalences sont autorisées : une certification CISSP peut, par exemple, remplacer 2 années d’expérience.
Pour terminer, la certification contient une clause de formation continue. Pour conserver votre certification, vous devez cumuler 20 crédits de formation continue (CPE) par an, 120 CPE sur 3 ans, et vous engager à respecter un Code d’éthique professionnelle.
ISACA propose des supports de préparation à l’examen CISM ainsi que des exemples de questions dans sa boutique en ligne. Des formations et sessions d’entraînement aux examens peuvent également être organisées partout dans le monde.
CISSP (Certified Information Systems Security Professional)
CISSP (à prononcer « ci-aï-S-S-pi ») est une autre certification de sécurité très réputée, proposée par (ISC)2. La certification CISSP prouve que vous possédez l’expertise nécessaire pour concevoir, mettre en œuvre et gérer un programme de cyber sécurité.
Tout comme CISM, CISSP s’adresse de manière générale aux professionnels chevronnés du secteur de la sécurité, qui occupent des postes de responsables ou de direction, ainsi qu’aux analystes et techniciens de sécurité expérimentés. Les analystes qui disposent d’une certification CISSP sont très recherchés et très bien rémunérés par rapport aux professionnels titulaires d’autres certifications informatiques.
L’obtention de la certification CISSP exige de satisfaire plusieurs critères : pour commencer, les candidats doivent se soumettre à un contrôle d’antécédents. Ils doivent disposer de 5 ans d’expérience en tant que professionnels de la sécurité dans 2 des 8 domaines du corpus de connaissances exigées (Critical Body of Knowledge ou CBK) de l'(ISC)2 . Les domaines concernés sont les suivants :
- Gestion de la sécurité et des risques
- Sécurité des actifs
- Ingénierie de la sécurité
- Sécurité des communications et du réseau
- Gestion des identités et des accès
- Évaluation et test de la sécurité
- Activités de sécurité
- Sécurité du développement de logiciels
Si vous ne disposez pas de l’expérience professionnelle requise, vous pouvez vous inscrire en tant qu’associé (Associate) d'(ISC)2. Vous devrez alors passer un court test qui, en cas de réussite, vous autorisera à suivre une formation continue en qualité de membre de l'(ISC)2. Ce programme constitue une bonne étape intermédiaire vers l’obtention de la certification CISSP complète.
Si vous avez l’expérience demandée, vous devez passer un test constitué de 250 questions en moins de 6 heures. (ISC)2 a revu son examen en avril 2018, mais pas suffisamment pour que ses anciens supports de préparation soient obsolètes. Le test comprend des questions dans les 8 domaines du CBK.
Une fois le test réussi, vous devez obtenir de la part d’un membre actuel d'(ISC)2 une attestation de bonne réputation. Par chance, vous en connaissez un.
Pour conserver votre certification, vous devez rester adhérent de l'(ISC)2. Les membres doivent s’acquitter des frais d’adhésion annuels et cumuler 120 crédits de formation continue (CPE) tous les 3 ans.
CISM ou CISSP ? Qu’est-ce qui est le mieux pour moi ?
Si vous travaillez dans le secteur de la sécurité des informations ou si vous en avez l’intention, il est pertinent de passer une certification. Le choix de celle que vous devez passer en premier dépend de plusieurs facteurs. Certaines personnes passent les deux certifications. La plupart des gens commencent par passer la certification CISSP, mais l’ordre dans lequel vous les obtenez n’a pas d’importance. Voici quelques facteurs qui vous aideront peut-être dans votre décision :
- Les salaires sont comparables que vous obteniez une certification ou l’autre
- LinkedIn répertorie quelque 8 906 postes de CISM
- LinkedIn répertorie quelque 21 714 postes de CISSP
Pour CISM comme pour CISSP, vous devez obtenir un certain nombre de crédits de formation continue (CPE) pour rester certifié. Il existe plusieurs moyens de cumuler des crédits CPE – vous pouvez participer à des webinaires sur la cyber sécurité, assister à des conférences ou prendre part à des réunions CISSP ou CISM organisées dans votre région. Vous pouvez aussi gagner des crédits en participant en tant que bénévole à l’organisation d’événements de cyber sécurité et en jouant le rôle de tuteur auprès d’autres membres. Les certifications CISM et CISSP possèdent leurs propres directives et, pour choisir entre les deux, vous devez vous familiariser avec elles et accepter le fait que vous devrez respecter leurs exigences pour conserver votre certification.
Varonis propose une formation de sécurité gratuite comprenant plusieurs vidéos de cours sur différents thèmes et permettant d’obtenir des CPE – de la formation PowerShell and Active Directory Essentials donnée par Adam Bertram à la formation Web Security Fundamentals donnée par Troy Hunt. Nous organisons également des webinaires donnant droit à des CPE tout au long de l’année, sur différents thèmes : Menaces internes, Conformité au GDPR, Conformité HIPAA, Meilleures pratiques de sécurité des données dans Office 365, Sécurisation d’Active Directory, etc.
La question la plus importante que vous devez probablement vous poser est : « quels sont mes objectifs professionnels à long terme ? » Votre objectif est-il de devenir directeur de la sécurité des informations (CISO) ou d’occuper un poste de cadre dans le domaine de la sécurité des informations ? Vous devez alors privilégier la certification CISM. Prévoyez-vous de faire une longue carrière en tant qu’ingénieur de sécurité ? La certification CISSP est peut-être alors plus pertinente. Il peut arriver qu’une personne passe une certification et l’autre plus tard.
Quel que soit votre choix, vous vous rendez un immense service, et vous faites un excellent choix pour votre carrière. Dans les deux cas, vous verrez votre salaire augmenter, vous accéderez à de nouveaux postes et vous serez armé pour relever de nouveaux défis professionnels. Que vous commenciez par la certification CISM ou CISSP, vous pouvez avoir l’assurance que vous prenez une bonne décision pour votre carrière.
CISM ou CISSP
CISM ou CISSP
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Michael Buckbee
Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.