Choisir la certification en sécurité informatique : CISSP vs CISM, CISA et CRISC

Si vous voulez réellement poursuivre une carrière dans la cybersécurité, alors vous avez fait un excellent choix ! Les professionnels qualifiés en sécurité de l’information sont très demandés et le demeureront probablement à l’avenir, de sorte que le domaine offre de solides avantages financiers. Selon le rapport de 2018 sur les compétences en informatique et les salaires de Global Knowledge, 41 % des employeurs aux États-Unis déclarent que trouver des professionnels qualifiés en cybersécurité est l’un de leurs principaux défis, et les personnes certifiées gagnent en moyenne 22 % de plus que leurs homologues non certifiées.

Il existe deux chefs de file reconnus à l’échelle mondiale dans le domaine de la certification en matière de cybersécurité : ISACA et (ISC)². (ISC)² est le Certificat de Professionnel en Sécurité des Systèmes d’Information (CISSP), tandis que l’ISACA offre trois certifications liées à la sécurité : le Certificat d’Auditeur des Systèmes d’Information (CISA), le Certificat de Directeur de la Sécurité de l’Information (CISM) et le Certificat de Contrôleur de Risques et des Systèmes d’Information (CRISC).

Toutes ces certifications s’adressent à des professionnels ayant au moins cinq ans d’expérience professionnelle, qui ont tous besoin d’une formation continue pour conserver leur titre de compétence, et qui ont tous le même respect et le même salaire. Alors, lesquelles auront le plus de valeur pour vous ? Pour vous aider à prendre une décision, examinons-les de plus près.

(ISC)² : Certificat de Professionnel en Sécurité des Systèmes d’Information (CISSP)

En bref

Fondée en 1989, (ISC)² est l’une des plus grandes organisations de sécurité informatique et de cybersécurité au monde. Elle fournit à ses membres et à l’industrie des normes de sécurité, de la formation et des certifications. Lancé en 1994, le CISSP a été le premier titre de compétence offert par (ISC)², aujourd’hui, c’est le titre de compétence par excellence du programme de certification (ISC)². Il y a plus de 140 000 professionnels de la sécurité certifiés CISSP dans le monde. Le titre de compétence est constamment recherché par les employeurs ; une recherche d’emploi informelle sur SimplyHired a donné lieu à près de 9 700 offres d’emploi qui ont demandé le CISSP, comparativement à 4 511 pour le CISA et 3 004 pour le CISM.

Le titre de CISSP s’adresse aux professionnels de la sécurité dans un large éventail de fonctions, y compris les gestionnaires, les praticiens, et les cadres. Les titulaires du CISSP ont les compétences nécessaires pour concevoir, architecturer, mettre en œuvre, contrôler et maintenir des programmes de cybersécurité pour leur entreprise. Les rôles typiques incluent DSI, CISO, directeur de la sécurité, architecte sécurité, architecte réseau, responsable informatique, directeur informatique, analyste de la sécurité, auditeur, consultant et ingénieur système.

En plus du titre de CISSP de base, le CISSP est disponible en trois concentrations supplémentaires :

  • Professionnel de l’Architecture de Sécurité des Systèmes d’Information (CISSP-ISSAP)
  • Ingénieur en Sécurité des Systèmes d’Information (CISSP-ISSEP)
  • Professionnel de la Gestion de la Sécurité des Systèmes d’Information (CISSP-ISSMP)

Obtenir le titre de compétence

Obtenir la certification CISSP n’est pas facile. Les candidats qualifiés doivent :

  • Avoir au moins cinq ans d’expérience de travail rémunéré dans au moins deux des huit domaines de l’ensemble commun de connaissances (CBK) du CISSP (énumérés ci-dessous)
  • Réussir l’examen CISSP (699 $)
  • Accepter le Code d’éthique de l’ISC (ISC)²
  • Être approuvé par un professionnel (ISC)² dans les neuf mois suivant la réussite de l’examen

Les domaines CISSP CBK actuels sont :

  • Sécurité et gestion des risques
  • Sécurité des actifs
  • Architecture et Ingénierie de Sécurité
  • Sécurité des Communications et des Réseaux
  • Gestion des Identités et des Accès (IAM)
  • Évaluation et mise à l’Essai de la Sécurité
  • Opérations de Sécurité
  • Sécurité du Développement Logiciel

Maintien du titre de compétences

Le CISSP est valable trois ans. Une redevance annuelle de 85 $ est exigée. Pour obtenir une nouvelle accréditation, les titulaires du CISSP doivent passer l’examen dans la mise en vigueur ou obtenir 120 crédits de formation professionnelle continue (FPC) (un minimum de 40 crédits doit être obtenu chaque année). Découvrez les modifications à l’examen du CISSP en vigueur à compter d’avril 2018.

Avantages

Dans l’Étude Mondiale de 2017 sur les effectifs dans la Sécurité de l’Information (ISC)², les personnes interrogées détenant la certification CISSP ont déclaré avoir un salaire annuel moyen de 120 000 $. SimplyHired déclare des gains moyens de 66 078 $, pouvant atteindre 127 071 $. Le rapport de 2018 sur la Connaissance Mondiale établit le salaire moyen aux États-Unis à 109 965 $, ce qui place le CISSP au premier rang des organismes de certification en matière de cybersécurité.

Certifications ISACA

En bref

Fondée en 1969, l’Association pour l’Audit et le Contrôle des Systèmes d’Information (ISACA) est une organisation mondialement reconnue et hautement respectée avec plus de 140.000 membres dans 180 pays. L’ISACA offre quatre titres de compétences destinés à différents professionnels de l’Informatique :

  • Certificat d’Auditeur des Systèmes d’Information (CISA)  – Auditeurs
  • Certificat de Directeur de la Sécurité de l’Information (CISM) – Responsables de la sécurité
  • Certificat de contrôleur des risques et des systèmes d’information (CRISC) – Professionnels de la gestion des risques
  • Certificat de Gouvernance des Systèmes d’Information d’Entreprise (CGEIT) – Professionnels de la gouvernance

Nous nous concentrerons ici sur les trois premières de ces qualifications ; la gouvernance d’entreprise dépasse notre champ d’application.

Obtenir les certifications

Tous les candidats doivent :

  • Répondre aux exigences rigoureuses en matière d’expérience décrites ci-dessous
  • Réussir l’examen correspondant (575 $ pour les membres de l’ISACA ; 760 $ pour les non-membres) ; il n’y a que trois sessions par an, alors les candidats doivent s’inscrire bien à l’avance.
  • Accepter le Code d’Éthique Professionnelle et le Programme de Formation Professionnelle Continue.
  • Répondre aux exigences supplémentaires décrites ci-dessous

Maintenir le titre de compétence

Les titres de compétences de l’ISACA sont valables trois ans. Une redevance annuelle de maintien (45 $ pour les membres de l’ISACA et 85 $ pour les non-membres) est également exigée. Pour renouveler leur titre de compétence, les titulaires doivent obtenir 120 crédits de FPC, dont au moins 20 FPC par an.

  • CISM

Une bonne façon de comprendre le CISM est de le comparer au CISSP. Bien que les deux certifications couvrent les concepts de cybersécurité et de gestion, le CISSP se concentre sur l’aspect opérationnel de la sécurité et ses aspects techniques, tandis que le CISM est conçu autour de l’aspect stratégique de la sécurité et ses relations avec les objectifs commerciaux.

Plus précisément, le CISM s’adresse aux gestionnaires de la sécurité de l’information et cible les personnes qui évaluent, conçoivent, gèrent, et supervisent les environnements de sécurité de l’information à l’échelle de l’entreprise. Les candidats doivent également posséder une connaissance approfondie des technologies disponibles, et de la façon de les mettre en œuvre dans leur entreprise. La certification CISM valide les compétences et les connaissances d’un candidat dans quatre domaines :

  • Domaine 1 : Gouvernance de la Sécurité de l’Information
  • Domaine 2 : Gestion des Risques liés à l’Information
  • Domaine 3 : Élaboration et Gestion du Programme de Sécurité de l’Information
  • Domaine 4 : Gestion des Incidents concernant la Sécurité de l’Information

Selon l’ISACA, il y a plus de 32 000 détenteurs de titres de compétences CISM dans le monde, dont plus de   7500 travaillent comme directeurs ou gestionnaires de la sécurité, et 3 500 autres comme directeurs ou gestionnaires de systèmes informatiques. Parmi les autres fonctions courantes des titulaires du CISM, mentionnons celles de consultants en Services d’Information/Systèmes Informatiques, d’Inspection des Paquets en Profondeur, de professionnels de la gestion des risques, et de dirigeants d’entreprise.

Pour passer l’examen du CISM, les candidats doivent posséder un minimum de cinq années d’expérience en sécurité de l’information, dont trois dans au moins trois des domaines énumérés. Toute expérience doit avoir été acquise au cours des 10 années précédentes pour être admissible. Les résultats à l’examen sont annulés si l’exigence relative à l’expérience n’est pas satisfaite dans les cinq ans suivant la réussite de l’examen. Certaines substitutions sont permises pour satisfaire à l’exigence relative à l’expérience, en fonction des autres certifications détenues, et de la formation reçue.

Selon Global Knowledge, les professionnels certifiés CISM gagnent, aux États-Unis, en moyenne 105 926 $ par an, ce qui les place au sixième rang mondial pour ce qui est du potentiel de gains grâce à la certification.

  • CISA

La certification CISA s’adresse aux professionnels des technologies informatiques travaillant dans des fonctions liées à la gouvernance et à l’audit. En règle générale, les professionnels certifiés CISA ont des fonctions telles que celles d’auditeur, ou de responsable d’audit informatique ou de Systèmes d’Information, d’auditeur non informatique ou de consultant. Vous trouverez également de nombreux professionnels certifiés CISA engagés dans des fonctions de gouvernance, de certification, de sécurité, de contrôle d’audit, et de direction d’entreprise.

La certification CISA valide les connaissances et la capacité d’un candidat à évaluer, contrôler, auditer, et effectuer une surveillance continue des systèmes informatiques de l’entreprise. Les compétences requises sont reflétées dans les cinq domaines de pratique du CISA :

  • Domaine 1 : Le Processus d’Audit des Systèmes d’Information
  • Domaine 2 : Gouvernance et Gestion de l`Informatique
  • Domaine 3 : Acquisition, Développement et Mise en Œuvre de Systèmes d’Information
  • Domaine 4 : Exploitation, Maintenance et Gestion de Services des Systèmes d’Information
  • Domaine 5 : Protection des Actifs de l’Information

Pour obtenir le titre de compétence, les candidats doivent avoir acquis au moins cinq ans d’expérience professionnelle en audit, contrôle, ou sécurisation des systèmes d’information, (certaines substitutions peuvent être autorisées pour la formation) et réussir l’examen CISA. Le processus d’étude CISA peut inclure la participation à des cours de révision CISA, l’inscription à un cours en ligne ou l’utilisation de logiciels, de manuels de révision, et de guides d’étude. Après avoir réussi l’examen, les candidats doivent également se conformer aux Normes d’Audit des Systèmes d’Information.

Selon le rapport Global Knowledge, les salaires de titulaires du CISA se classent au 13e rang, avec un salaire moyen de 97 117 $ aux États-Unis.

  • CSRIC

Le certificat CRISC s’adresse spécifiquement aux professionnels qui travaillent dans le domaine de la gestion des risques informatiques au niveau de l’entreprise. Les candidats typiques au CRISC sont les Responsables de l’Information/Responsables de la sécurité des systèmes d’information., les analystes commerciaux, les gestionnaires de projets, ainsi que les professionnels de l’informatique engagés dans la gestion des risques, le contrôle, et les activités de certification et la conformité.

Les domaines d’activité du CRISC sont :

  • Domaine 1 : Identification des Risques Informatiques
  • Domaine 2 : Évaluation des Risques Informatiques
  • Domaine 3 : Intervention et Atténuation des Risques
  • Domaine 4 : Contrôle de la Surveillance et Établissement de Rapports sur les Risques

Les exigences du CRISC comprennent un minimum de trois ans d’expérience de travail en gestion de programmes de sécurité de l’information dans au moins deux des domaines d’activité du CRISC, dont le domaine 1 ou 2. Cette expérience doit avoir été acquise au cours des 10 années précédant la demande ou dans les cinq années suivant la réussite de l’examen.

Dans le rapport Global Knowledge, la certification CRISC se classait au deuxième rang, après le CISSP, pour ce qui est des gains déclarés, la moyenne des gains aux États-Unis s’établissant à 107 968 $.

 CISSPCISMCISACRISC
ObjectifSécurité informatique et cybersécuritéSécurité de l'informationAuditGestion des risques
Fonctions typiquesCIO
CISO
Directeur de la Sécurité
Architecte Sécurité
Architecte Réseau
Responsable Sécurité
Auditeur
Analyste
Ingénieur Systèmes
Consultant
Directeur Informatique
InfoSec Directeur
CIO
Direction de l'Enterprise
Directeur des Risques
Auditeur Informatique
Consultant
Professionnel de Sécurité
Directeur d'Audit
Auditeur non informatique
CIO
CISO
Responsable Sécurité
Directeur Sécurité
Ingénieur Systèmes
Analyste Sécurité
Directeur Sécurité
Auditeur Sécurité
Architecte Réseau
Direction d'Entreprise
Professionnel du Contrôle
Professionnel du Risque
Analyste Opérationnel
Professionnel de la conformité
Professionnel du Contrôle et de la Certification
DomainesSécurité et gestion des risques
Sécurité des actifs
Architecture et Ingénierie de la Sécurité
Sécurité des Communications et des Réseaux
Gestion des Identités et des Accès (IAM)
Évaluation et mise à l'Essai de la Sécurité
Opérations de Sécurité
Sécurité du Développement Logiciel
InfoSec Gestion de la gouvernance des risques
Développement et Gestion du Programme de Sécurité
Gestion des Incidents de Sécurité
Le Processus d'Audit des Systèmes d'Information
Gouvernance et Gestion de l`Informatique
Acquisition, Développement et Mise en Œuvre de Systèmes d'Information
InfoSec Exploitation, Maintenance et Gestion des Services des Systèmes d'Information
InfoSec Protection des Actifs de l'Information
Identification des Risques Informatiques
Évaluation des Risques Informatiques
Intervention et Atténuation des Risques
Contrôle de la Surveillance et Établissement de Rapports sur les Risques
Experience5 ans5 ans5 ans3 ans
Nombre d'examens1111
Redevance d'examen$85$45 membre ;
$85 non-membre
$45 membre ;
$85 non-membre
$45 membre ;
$85 non-membre
Validité3 ans3 ans3 ans3 ans
Formations continue pour re-certification120 FPC total ; au moins 40 par an120 FPC total ; au moins 20 par an120 FPC total ; au moins 20 par an120 FPC total ; au moins 20 par an
Salaire moyen *$109,965$105,926$97,117$107,968

* Toute l’information concernant les salaires provient du Rapport de 2018 de Global Knowledge sur les compétences en informatique et les salaires.

Résumé

Au moment de choisir entre un titre de compétence de l’ISACA comme CISA et une certification CISSP, gardez à l’esprit ce qui suit :

  • Le CISSP est un bon choix pour les professionnels de l’informatique de différentes disciplines et fonctions qui sont intéressés à poursuivre une carrière en sécurité informatique ou en cybersécurité. Il offre le salaire moyen le plus élevé de toutes les certifications du rapport Global Knowledge 2018.
  • Le CISM n’est pas loin derrière le CISSP en terme de salaire moyen. Alors que le CISSP se concentre sur l’aspect opérationnel de la sécurité, le CISM cible l’aspect stratégique de la sécurité et ses relations avec les objectifs opérationnels.
  • La certification CRISC se classe au deuxième rang, après le CISSP, pour ce qui est des gains déclarés. Il valide votre capacité à travailler avec la gestion des risques informatiques au niveau de l’entreprise.
  • Si vos objectifs de carrière se concentrent uniquement sur des rôles liés à l’audit, alors le CISA peut être le bon titre de compétence pour vous.
Guide gratuit : cherchez un guide pour vous préparer pour le CISSP ?