Choisir les bonnes certifications de sécurité : CISSP vs CISM, CISA et CRISC

Si vous souhaitez poursuivre une carrière dans la cybersécurité, alors vous avez fait un excellent choix ! Les professionnels qualifiés de la sécurité de l’information sont très demandés et devraient le rester à l’avenir, de sorte que le domaine offre de solides avantages financiers. Selon le rapport 2018 sur les compétences et les salaires en informatique de Global Knowledge, 41 % des employeurs américains déclarent que trouver des professionnels qualifiés en cybersécurité est l’un de leurs principaux défis, et les personnes certifiées gagnent en moyenne 22 % de plus que leurs homologues non certifiés.

Il existe deux leaders clairs et mondialement reconnus en matière de certification en cybersécurité : ISACA et (ISC)2. La certification phare de (ISC)2 est le Certified Information Systems Security Professional (CISSP), tandis que l’ISACA propose trois certifications liées à la sécurité : Auditeur certifié des systèmes d’information (CISA), Gestionnaire certifié de la sécurité de l’information (CISM) et Certifié en risque et contrôle des systèmes d’information (CRISC).

Toutes ces certifications ciblent les professionnels ayant au moins cinq ans d’expérience professionnelle, toutes nécessitent une formation continue pour maintenir le titre, et toutes commandent un respect et des salaires similaires. Alors, lesquelles auront le plus de valeur pour vous ? Pour vous aider à décider, examinons de près chacun d’entre eux.

(ISC)2 : Professionnel certifié en sécurité des systèmes d’information (CISSP)

Faits rapides

Fondée en 1989, (ISC)2 est l’une des plus grandes organisations de membres en sécurité informatique et en cybersécurité au monde. Elle fournit à ses membres et à l’industrie des normalisations, des formations et des certifications en matière de sécurité. Lancé en 1994, le CISSP a été le premier titre proposé par (ISC)2. Aujourd’hui, il s’agit du titre le plus important du programme de certification (ISC)2. On compte plus de 140 000 professionnels de la sécurité certifiés CISSP dans le monde. Le titre est constamment recherché par les employeurs ; une recherche d’emploi informelle sur SimplyHired a révélé près de 9 700 offres d’emploi qui demandaient CISSP, contre 4 511 pour CISA et 3 004 pour CISM.

Le titre CISSP vise les professionnels de la sécurité dans un large éventail de rôles, y compris les gestionnaires, les praticiens et les cadres. Les CISSP possèdent les compétences nécessaires pour concevoir, architecturer, mettre en œuvre, contrôler et maintenir des programmes de cybersécurité pour leur organisation. Les rôles typiques sont les suivants : DSI, CISO, directeur de la sécurité, architecte de sécurité, architecte réseau, directeur informatique, responsable informatique, analyste de sécurité, auditeur, consultant et ingénieur système.

En plus du titre de base CISSP, le CISSP est disponible dans trois concentrations supplémentaires :

  • Professionnel de l’architecture de la sécurité des systèmes d’information (CISSP-ISSAP)
  • Professionnel de l’ingénierie de la sécurité des systèmes d’information (CISSP-ISSEP)
  • Professionnel de la gestion de la sécurité des systèmes d’information (CISSP-ISSMP)

Avoir le titre

Avoir le CISSP n’est pas facile. Les candidats qualifiés doivent :

  • Avoir au moins cinq ans d’expérience professionnelle rémunérée dans au moins deux des huit domaines du corps commun de connaissances (CBK) du CISSP (énumérés ci-dessous)
  • Réussir l’examen CISSP. (699 $)
  • Adhérer au code de déontologie (ISC)2
  • Etre avalisé par un professionnel (ISC)2 dans les neuf mois suivant la réussite de l’examen

Les domaines actuels du CBK CISSP sont :

  • Sécurité et gestion des risques
  • Sécurité des biens
  • Architecture et ingénierie de la sécurité
  • Sécurité des communications et des réseaux
  • Identité. et gestion des accès (IAM)
  • Évaluation et test de sécurité
  • Opérations de sécurité
  • Sécurité du développement logiciel

Déterminé à passer l’examen CISSP ? Le blog de Netwrix a quelque chose de spécial pour vous. Voici sept excellents conseils d’un pro certifié CISSP pour réussir l’examen CISSP dès votre première tentative. Consultez également ces guides d’étude et supports de formation pratiques pour la certification CISSP. Et enfin, évaluez votre niveau de préparation à l’aide de notre examen pratique CISSP.

Maintien du titre

Le CISSP est valide pendant trois ans. Une cotisation annuelle de 85 $ est exigée. Pour renouveler leur certification, les CISSP doivent soit passer l’examen actuel, soit obtenir 120 crédits de formation professionnelle continue (FPC) (un minimum de 40 crédits doit être obtenu chaque année). En savoir plus sur les changements apportés à l’examen CISSP à compter d’avril 2018.

Avantages

Dans l’étude 2017 (ISC)2 Global Information Security Workforce Study, les répondants titulaires de la certification CISSP ont déclaré un salaire annuel moyen de 120 000 $. SimplyHired rapporte que le salaire moyen est de 66 078 $, avec des salaires culminant à 127 071 $. Le rapport 2018 de Global Knowledge évalue le salaire moyen aux États-Unis à 109 965 $, ce qui place le CISSP au premier rang des titres de compétences en cybersécurité.

Certifications ISACA

Faits en bref

Fondée en 1969, l’Association d’audit et de contrôle des systèmes d’information (ISACA) est une organisation mondialement reconnue et très respectée qui compte plus de 140 000 membres dans 180 pays. L’ISACA propose quatre titres de compétences destinés à différents professionnels de l’informatique :

  • Certified Information Systems Auditor (CISA) – Auditeurs
  • Certified Information Security Manager (CISM) – Responsables de la sécurité
  • Certified in Risk and Information Systems Control (CRISC) – Professionnels de la gestion des risques
  • Certified in the Governance of Enterprise IT (CGEIT) – Professionnels de la gouvernance

Nous nous concentrerons ici sur les trois premiers de ces titres ; la gouvernance d’entreprise dépasse notre champ d’action.

Avoir le titre

Tous les candidats doivent

  • Répondre aux exigences rigoureuses en matière d’expérience détaillées ci-dessous
  • Réussir l’examen associé (575 $ pour les membres de l’ISACA ; 760 $ pour les non-membres) ; les examens ne sont proposés que trois fois par an, les candidats doivent donc s’inscrire bien à l’avance
  • Agrément au code d’éthique professionnelle et au programme de formation professionnelle continue
  • Répondre aux exigences supplémentaires détaillées ci-dessous

Maintien du titre

Les titres de compétences de l’ISACA sont valables trois ans. Des frais de maintien annuels (45 $ pour les membres de l’ISACA, 85 $ pour les non-membres) sont également requis. Pour renouveler, les détenteurs de titres de compétences doivent obtenir 120 crédits FPC, avec au moins 20 FPC obtenus chaque année.

  • CISM

Une bonne façon de comprendre le CISM est de le comparer au CISSP. Bien que les deux certifications couvrent la cybersécurité et les concepts de gestion, CISSP se concentre sur le côté opérationnel de la sécurité et ses aspects techniques, tandis que CISM est conçu autour du côté stratégique de la sécurité et de ses relations avec les objectifs commerciaux.

Spécifiquement, CISM est conçu pour les gestionnaires de la sécurité de l’information, ciblant les personnes qui évaluent, conçoivent, gèrent et supervisent les environnements de sécurité de l’information au niveau de l’entreprise. Les candidats doivent également posséder une compréhension approfondie des technologies disponibles et de la manière de les mettre en œuvre dans leur organisation. La certification CISM valide les compétences et les connaissances d’un candidat dans quatre domaines :

  • Domaine 1 : Gouvernance de la sécurité de l’information
  • Domaine 2 : Gestion des risques liés à l’information
  • Domaine 3 : Développement et gestion des programmes de sécurité de l’information
  • Domaine 4 : Gestion des incidents de sécurité de l’information

Selon l’ISACA, il y a plus de 32 000 titulaires du titre CISM dans le monde, dont plus de 7 500 travaillent comme directeurs ou responsables de la sécurité et 3 500 autres comme directeurs ou responsables informatiques. Parmi les autres rôles courants du CISM, citons les consultants en SI/TI, les DSI, les professionnels de la gestion des risques et les rôles de direction d’entreprise.

Pour passer l’examen CISM, les candidats doivent posséder un minimum de cinq années d’expérience dans la sécurité de l’information, dont trois dans au moins trois des domaines énumérés. Pour être admissible, toute l’expérience doit avoir été acquise au cours des dix années précédentes. Les résultats de l’examen sont annulés si l’exigence d’expérience n’est pas satisfaite dans les cinq ans suivant la réussite de l’examen. Certaines substitutions sont autorisées pour répondre à l’exigence d’expérience en fonction des autres certifications détenues et de l’éducation.

Global Knowledge a rapporté que les professionnels certifiés CISM aux États-Unis gagnent en moyenne 105 926 $ par an, ce qui le place au sixième rang mondial en termes de potentiel de gain de certification.

  • CISA

Le titre CISA cible les professionnels de l’informatique travaillant dans des rôles liés à la gouvernance et à l’audit. Généralement, les professionnels CISA occupent des rôles tels qu’auditeur ou responsable d’audit SI ou informatique, auditeur non informatique et consultant. Vous trouverez également de nombreux professionnels CISA engagés dans des rôles de gouvernance, d’assurance, de sécurité, de contrôle d’audit et de direction d’entreprise.

La certification CISA valide les connaissances et la capacité d’un candidat à évaluer, contrôler, auditer et effectuer une surveillance continue des systèmes d’affaires informatiques d’une entreprise. Les compétences requises se reflètent dans les cinq domaines de pratique professionnelle CISA :

  • Domaine 1 : Le processus d’audit des systèmes d’information
  • Domaine 2 : Gouvernance et gestion des TI
  • Domaine 3 : Acquisition, développement et mise en œuvre des systèmes d’information
  • Domaine 4 : Opérations, maintenance et gestion des services des systèmes d’information
  • Domaine 5 : Protection et actifs informationnels

Pour obtenir le titre, les candidats doivent posséder un minimum de cinq ans d’expérience professionnelle en audit, contrôle ou sécurisation des systèmes d’information (certaines substitutions peuvent être autorisées pour l’éducation) et passer l’examen CISA. Le processus d’étude du CISA peut inclure la participation à des cours de révision du CISA, l’inscription à un cours en ligne ou l’utilisation de logiciels, de manuels de révision et de guides d’étude. Après avoir passé l’examen, les candidats doivent également se conformer aux normes d’audit des systèmes d’information.

Selon le rapport Global Knowledge, les salaires CISA se classent au 13e rang, avec un salaire moyen de 97 117 $ aux États-Unis.

  • CRISC

Le titre CRISC vise spécifiquement les professionnels qui travaillent avec la gestion des risques informatiques au niveau de l’entreprise. Les candidats typiques au CRISC comprennent les DSI/CISO, les analystes d’affaires, les chefs de projet, ainsi que les professionnels de l’informatique engagés dans la gestion des risques, les activités de contrôle et d’assurance, et la conformité.

Les domaines d’emploi du CRISC sont :

  • Domaine 1 : Identification des risques informatiques
  • Domaine 2 : Évaluation des risques informatiques
  • Domaine 3 : Réponse et atténuation des risques
  • Domaine 4 : Surveillance et rapports sur les risques et les contrôles

Les exigences du CRISC comprennent un minimum de trois années d’expérience professionnelle en gestion de programmes de sécurité de l’information dans deux ou plusieurs des domaines d’emploi du CRISC, y compris le domaine 1 ou 2. Cette expérience doit être obtenue dans les 10 années précédant la demande ou dans les cinq années suivant la réussite de l’examen.

Dans le rapport de Global Knowledge, la certification CRISC était la deuxième après le CISSP en termes de revenus déclarés, avec des revenus américains moyens déclarés à 107 968 $.

CISSP, CISM, CISA et CRISC en bref

.

.

.

CISSP CISM CISA CRISC
Focus Sécurité informatique et cybersécurité Sécurité de l’information Audit Gestion des risques
Rôles typiques CIO
CISO
Sécurité. Directeur
Architecte de sécurité
Architecte réseau
Gestionnaire de la sécurité
Auditeur
Analyste
Ingénieur système
Consultant
Directeur informatique
Chef de l’InfoSec
CIO
Direction d’entreprise
Gestionnaire de risques
Auditeur informatique
Consultant
Professionnel de la sécurité
Gestionnaire d’audit
Non.IT Auditor
CIO
CISO
Directeur de la sécurité
Chef de la sécurité
Ingénieur système
Analyste de la sécurité
Chef de la sécurité
Auditeur de la sécurité
Architecte réseau
La direction de l’entreprise
Professionnel du contrôle Professionnel
Professionnel du risque
Analyste commercial
Professionnel de la conformité
Professionnel du contrôle et de l’assurance
Domaines Sécurité et gestion des risques
Sécurité des biens
Sécurité. Architecture et ingénierie
Sécurité des communications et des réseaux
Gestion des identités et des accès (IAM)
Évaluation et tests de sécurité
Opérations de sécurité
Sécurité du développement logiciel
InfoSec. Gouvernance
Gestion des risques
Développement et gestion des programmes de sécurité
Gestion des incidents de sécurité
Processus d’audit des systèmes d’information
Gouvernance et gestion de l’informatique
Acquisition InfoSec, Développement et mise en œuvre
Gestion des opérations, de la maintenance et des services en matière d’infosécurité
Opérations, maintenance, et gestion des services
Protection des actifs informationnels
Identification des risques informatiques
Évaluation des risques
Réaction et atténuation des risques
Suivi et rapport des risques et des contrôles
Expérience 5 ans 5 ans 5 ans 3 ans
Nombre d’examens 1 1 1 1
Frais d’examen 699$ 575$/membre
760$/non-.membre
$575/Membre
$760/Non-membre
$575/Membre
$760/Non-membre
Cotisation annuelle $85 $45 membres ;
$85 non-membres
$45 membres ;
$85 non-membres
$45 membres ;
$85 non-membres
Valide pour 3 ans 3 ans 3 ans 3 ans
CPE pour la recertification 120 au total ; au moins 40 par an 120 au total ; au moins 20 par an 120 total ; au moins 20 par an 120 total ; au moins 20 par an
Salaire moyen * 109 965$ 105 926$ 97 117$ 107 968$

*Toutes les informations salariales ont été obtenues à partir du rapport 2018 sur les compétences et les salaires en informatique de Global Knowledge.

The Bottom Line

Lorsque vous choisissez entre la poursuite d’un titre ISACA comme CISA et une certification CISSP, gardez les éléments suivants à l’esprit :

  • CISSP est un bon choix pour les pros de l’informatique de nombreuses disciplines et rôles différents qui souhaitent poursuivre une carrière dans la sécurité informatique ou la cybersécurité. Elle offre le salaire moyen le plus élevé de toutes les certifications dans le rapport 2018 de Global Knowledge.
  • CISM n’est pas loin derrière CISSP en termes de salaire moyen. Alors que le CISSP se concentre sur le côté opérationnel de la sécurité, le CISM cible le côté stratégique de la sécurité et ses relations avec les objectifs commerciaux.
  • La certification CRISC est la deuxième après le CISSP en termes de revenus déclarés. Elle valide votre capacité à travailler avec la gestion des risques informatiques au niveau de l’entreprise.
  • Si vos objectifs de carrière se concentrent uniquement sur les rôles liés à l’audit, alors le CISA peut être le bon titre de compétence pour vous.
Mary est une rédactrice indépendante, une développeuse de contenu et une gestionnaire de projet. Elle écrit des articles liés aux certifications informatiques, à la santé, et développe du contenu pour des cours.

Laisser un commentaire