Les certifications techniques sont très demandées de nos jours, en particulier celles qui portent sur la sécurité de l’information. Il s’agit de programmes de certification spéciaux qui sont très ciblés et ne couvrent qu’une technologie ou un logiciel particulier. Ils peuvent également exiger des candidats qu’ils fassent preuve de connaissances et de compétences pratiques en exécutant des tâches dans un environnement contrôlé. Il existe de nombreux programmes de certification bien connus qui se concentrent sur la gestion de la sécurité de l’information, mais les deux certifications qui dominent cette catégorie sont CISSP et CISM. Examinons ces deux certifications.
Qu’est-ce que le CISM ?
Le CISM (Certified Information Security Manager) est l’un des plus récents programmes de certification disponibles pour les responsables de la sécurité de l’information, les aspirants responsables ou les consultants en sécurité. Le CISM a été développé et parrainé par l’Information Systems Audit and Controls Association (ISACA). Il s’agit moins d’une certification technique que d’une certification visant à déterminer comment, en tant que professionnels de la sécurité de l’information, vous pouvez soutenir l’entreprise. Le CISM est une excellente formation pour ceux qui souhaitent gérer, concevoir, superviser ou évaluer l’infrastructure de sécurité de l’information d’une organisation. La certification est conçue spécifiquement pour les responsables de la sécurité expérimentés et ceux qui ont des responsabilités en matière de gestion de la sécurité de l’information. Elle vous aide à replacer l’ensemble de la feuille de route de la sécurité de l’information dans le contexte approprié. Elle couvre plusieurs domaines d’intérêt tels que les questions réglementaires, la gouvernance de la sécurité de l’information, la gestion des risques, la récupération des données, etc. N’oubliez pas que le CISM n’est pas un programme de certification de niveau débutant ; par conséquent, à moins d’être sûr à 100 %, ne vous présentez pas à l’examen.
Qu’est-ce que le CISSP ?
Le CISSP (Certified Information Systems Security Professional) est un programme de certification mondialement reconnu, proposé par une organisation internationale à but non lucratif, l’ISC2 (International Information System Security Certification Consortium). Il s’agit d’une certification destinée aux professionnels de la gestion de la sécurité les plus expérimentés, tels que les analystes de la sécurité. Cette certification est conçue pour affiner les compétences des professionnels de la sécurité informatique dans tous les secteurs d’activité. La certification CISP s’adresse aux professionnels de la sécurité chargés de concevoir et de maintenir l’infrastructure de sécurité de l’information au sein d’une organisation. Un professionnel certifié CISSP est bien équipé et a les connaissances nécessaires pour concevoir, mettre en œuvre et gérer un programme de cybersécurité au sein d’une organisation. Il s’agit davantage d’un programme de certification technique préféré par les professionnels, notamment les consultants en sécurité, les analystes de sécurité, les ingénieurs système, les architectes de réseau, etc. En raison de sa nature technique, il est très demandé et les professionnels certifiés CISSP sont généreusement rémunérés par rapport aux autres professionnels de la sécurité informatique.
Différence entre CISSP et CISM
Focus sur le sujet
– Le CISM (Certified Information Security Manager) est une certification beaucoup moins technique et beaucoup plus orientée vers l’entreprise. Le programme de certification CISM se concentre sur la gestion et la stratégie tout en abordant les questions de conception et de sécurité technique à un niveau conceptuel. Le CISSP (Certified Information Systems Security Professional) est beaucoup plus technique et moins axé sur la gestion, avec un accent beaucoup plus large sur la cybersécurité. Le CISSP s’adresse aux professionnels de la gestion de la sécurité plus expérimentés qui sont suffisamment bien équipés et compétents pour concevoir, mettre en œuvre et gérer un programme de cybersécurité au sein d’une organisation.
Préqualification
– La certification CISM requiert une expérience professionnelle de 5 ans dans le domaine de la sécurité de l’information, avec un minimum de 3 ans d’expérience dans la gestion de la sécurité de l’information dans au moins trois domaines. Il existe des substitutions acceptables : au lieu de 5 ans, vous pouvez obtenir 3 ans d’expérience si vous avez une certification CISSP, qui compte pour 2 ans d’expérience. Pour être un professionnel certifié CISSP, vous devez avoir au moins 5 ans d’expérience professionnelle pertinente ou 4 ans d’expérience plus un diplôme universitaire. En outre, vous devez adhérer au code de déontologie CISSP défini par l’association (ISC)2.
Format de l’examen
– L’examen CISSP se compose de 250 questions et vous disposez de 6 heures pour terminer l’examen. Il s’agit de questions à choix multiples et l’examen est toujours administré sous la forme d’un livret et d’une feuille de réponse. Vous utiliserez un crayon pour remplir les bulles de réponse. Vous devez obtenir au moins 70 % des points pour réussir l’examen. L’examen CISM se compose de 150 questions à choix multiples et vous disposez de 4 heures pour terminer l’examen. L’examen porte sur les quatre domaines fonctionnels de la sécurité de l’information. Vous devez obtenir un minimum de 450 points pour réussir l’examen CISM.
Domaines de connaissances
– La certification CISM vous aide à replacer l’ensemble de la feuille de route de la sécurité de l’information dans le contexte approprié. Elle offre un niveau de gestion de la sécurité de l’information autour de quatre domaines : la gestion de la sécurité de l’information, la gouvernance de la sécurité de l’information, le développement et la gestion des programmes de sécurité de l’information et la gestion des incidents de sécurité de l’information. La certification CISSP, quant à elle, est conçue pour affiner les compétences des professionnels de la sécurité informatique dans huit domaines de connaissances : la sécurité des actifs, la sécurité et la gestion des risques, l’ingénierie de la sécurité, la gestion des identités et des accès, la sécurité des communications et des réseaux, l’évaluation et le test de la sécurité, la sécurité du développement de logiciels et les opérations de sécurité.
Résumé de CISSP vs. CISM
Le CISM et le CISSP sont tous deux des programmes de certification de niveau professionnel conçus pour des rôles dans le domaine de la sécurité de l’information. Toutefois, le CISSP est de nature plus technique et se concentre sur la couverture des domaines de la sécurité de l’information en profondeur, tandis que le CISM est moins technique et plus orienté vers l’entreprise et se concentre sur la gestion et la stratégie tout en abordant les questions de conception et de sécurité technique à un niveau conceptuel. Les deux certifications requièrent un minimum de cinq ans d’expérience professionnelle dans leurs domaines respectifs, bien qu’il soit possible de passer l’examen et d’acquérir ensuite de l’expérience. Mais pour la certification CISSP, vous devez être approuvé par un membre existant de (ISC)2.