THEMATIQUE 

: CISM (Certified Information Security Manager)

PLAN

Introduction
I- CISM, condition d’admissibilité et prérequis
II- Les quatre grands chapitres du CISM
1- Gouvernance de la sécurité informatique
2- Gestion des risques
3- Gestion d’un programme de sécurité de l’information
4- Gestion des incidents de la sécurité de l’information
Conclusion
INTRODUCTION

Le système d’information d’une entreprise est un outil formidable pour

développer et créer de la valeur, facilitant aux employés l’échange des
informations et le travail en réseau sur des projets communs. Ces échanges
génèrent un accroissement de la vulnérabilité des systèmes d’information. Pour
maintenir leur compétitivité dans un contexte de transformation numérique, les
entreprises doivent apprendre à adopter des solutions de sécurité qui sont
intégrées dès la phase de la conception. Mettre en œuvre un système de sécurité
fiable et efficace permet aux entreprises d’assurer une progression dans le temps
et de diffuser une image positive vis-à-vis des clients et des fournisseurs.

Dans ce contexte, les professionnels qualifiés en sécurité des systèmes

d’information sont très recherchés et le demeureront dans l’avenir, rendant ainsi
le domaine très convoité par les professionnels et les enjeux financiers sont
énormes. Il existe de nombreuses certifications dans le domaine de la sécurité
des systèmes d’information. On peut citer : le CISA (Certified Information
Systems Auditor) relatif à l’audit des systèmes d’information, le CISSP
(Certified Information Systems Security Professional), le CISM qui constituera
le sujet principal de notre présentation et bien d’autres.

Notre présentation s’articulera donc autour des axes suivants : une clarification
conceptuelle ainsi que l’énumération des conditions d’admissibilité et des
prérequis nécessaires à la validation du CISM. Enfin nous aborderons les quatre
grands chapitres du CISM.
CLARIFICATIONS CONCEPTUELLES

La certification CISM (Certified Information Security Manager) est une

certification professionnelle qui offre la possibilité aux gestionnaires de la
sécurité IT de prouver leurs connaissances et de démontrer leur expertise par un
certificat unique défini par l'ISACA (Information Systems Audit and Control
Association).
Cette certification concerne les responsables de la sécurité des systèmes
d'information et les consultants en sécurité désireux de démontrer leurs
expériences et compétences dans le domaine de la sécurité. Elle se différencie
des autres certifications de sécurité existantes par le fait qu'il s'agit d'une
certification sur le management de la sécurité des systèmes d'information et non
sur des compétences strictement techniques. Ce programme, accrédité par
l’ANSI (American National Standard Institute) selon la norme ISO/IEC
17024 :2003, compte quatre Chapitres de la sécurité de l’information :
• Gouvernance de la sécurité informatique ;
• Gestion des risques ;
• Gestion d’un programme de sécurité de l’information ;
• Gestion des incidents de sécurité de l’information ;
II-CISM : CONDITIONS D’ADMISSIBILITE ETPREREQUIS

1-Objectif de la certification CISM

La certification CISM notamment appelée Certified Information Security
Manager est une certification qui vise plusieurs objectifs. En tout premier lieu,
elle a pour but de savoir aligner la stratégie de sécurité des informations aux
objectifs métiers de l’entreprise et s’assurer qu’elle répond aux exigences des
lois et réglementations. Ensuite, s’ensuit :

• Savoir concevoir, mettre en place et maintenir un système pour assurer la

sécurité des informations ;
• Savoir identifier et gérer les risques liés à la sécurité des informations
pour assurer les objectifs métiers ;
• Savoir créer et gérer un programme pour mettre en place une stratégie de
sécurité des informations ;
• Savoir superviser et diriger les activités liées à la sécurité dans
l’application du programme de sécurité des informations ;

2- Prérequis 
Pour se qualifier à l’examen du CISM, les candidats doivent avoir cinq ans
d’expérience vérifiée dans le domaine de l’infosec (Programme de Sécurité de
l’information en entreprise), avec un minimum de trois ans d’expérience dans
trois domaines de contenu CISM ou plus. L’expérience doit avoir été acquise
dans les dix ans précédant la date de la demande.
La participation à la certification nécessite certains prérequis.

• Connaissances poussées de l'informatique (processus, technologie,

organisation) ;
• Connaissances des processus de gouvernance d'entreprise ;
• Bonnes connaissances de l'anglais technique écrit, une partie des
documents de cours et les questions d'examen étant en anglais

III -LES QUATRE GRANDS CHAPITRES DU CISM

1- Gouvernance de la sécurité informatique

Cette première rubrique de la formation occupe 24% de l’examen de
certification CISM et vise à :
 Établir et maintenir une stratégie de sécurité de l'information alignée sur
les buts et objectifs de l'organisation pour guider l'établissement et la
gestion continue du programme de sécurité de l'information.
 Établir et maintenir un cadre de gouvernance de la sécurité de
l'information pour guider les activités qui soutiennent la stratégie de
sécurité de l'information.
 Intégrer la gouvernance de la sécurité de l'information dans la
gouvernance de l'entreprise afin de s'assurer que les buts et objectifs de
l'organisation sont soutenus par le programme de sécurité de
l'information.
 Établir et maintenir des politiques de sécurité de l'information pour
communiquer les directives de la direction et guider l'élaboration de
normes, de procédures et de lignes directrices.
 Développer des analyses de rentabilité pour soutenir les investissements
dans la sécurité de l'information.
 Identifier les influences internes et externes de l'organisation (par exemple
la technologie, l'environnement commercial, la tolérance au risque,
 l'emplacement géographique, les exigences légales et réglementaires)
pour s'assurer que ces facteurs sont pris en compte dans la stratégie de
sécurité de l'information.
 Obtenir l'engagement de la haute direction et le soutien des autres parties
prenantes pour maximiser la probabilité de réussite de la mise en œuvre
de la stratégie de sécurité de l'information.
 Définir et communiquer les rôles et responsabilités en matière de sécurité
de l'information dans l'ensemble de l'organisation afin d'établir clairement
les responsabilités et les lignes d'autorité.
 Établir, surveiller, évaluer et rendre compte des mesures (par exemple, les
indicateurs clés des objectifs [KGI], les indicateurs clés de performance
[KPI], les indicateurs clés de risque [KRI]) pour fournir à la direction des
informations précises sur l'efficacité de la stratégie de sécurité de
l'information.

2- Gestion des risques

Cette rubrique occupe 30% de l’examen et met en exergue la stratégie de

gestion des risques de l’organisation et son lien avec les technologies de
l’information. Pour ce faire, la compréhension des priorités de l’organisation en
matière de risque est indispensable. Des rôles et des responsabilités claires
doivent donc être définis et inclus dans différentes descriptions de poste au sein
de l’organisation.

Divers concepts sont importants à mémoriser pour les candidats au CISM,

d’autant plus qu’elle occupe 30% de l’examen. Ces concepts comprennent les
menaces, les vulnérabilités, l’exposition, l’impact, l’objectif de temps de
récupération (RTO), l’objectif de point de récupération (RPO), les objectifs de
prestation de services (SDO) et la fenêtre d’interruption acceptable (AIW).

Quelques étapes de base doivent être observées lors de la mise en œuvre

de l’IRM (Integrity Risk Management). Normalement, la portée et les limites
doivent être déterminées, suivies d’une évaluation des risques. Une fois que cela
est fait, un plan de traitement des risques est conçu pour réduire le risque à un
niveau acceptable. Le risque résiduel est alors accepté et communiqué, tout en
observant si les contrôles en place fonctionnent réellement.

Les candidats doivent garder à l’esprit qu’il n’existe en fait aucune manière
qualitativement correcte ou erronée de sélectionner une méthodologie et de
mener une évaluation des risques. Il s’agit principalement d’un exercice
progressif qui commence par l’évaluation des actifs, puis passe à l’évaluation de
la vulnérabilité et des menaces. Le risque est ensuite évalué et les bons contrôles
à appliquer déterminés. Le risque résiduel est discuté et communiqué à la
direction.

Une fois l’évaluation des risques terminée, les CISMs ont la possibilité d’éviter,
d’atténuer, de transférer ou d’accepter le risque. La valeur attribuée aux
ressources informationnelles détermine combien vous pourrez dépenser pour
protéger cette ressource.

Les CISMs peuvent définir des bases de référence qui leur permettent de
mesurer l’efficacité de leurs programmes de gestion du risque informationnel.

Ainsi, un CISM doit effectuer deux grandes taches dans une entreprise :
Il s’agit de l’appréciation des risques liées à la sécurité de l’information qui
prends en compte :
• Paysage des menaces et risques émergents
• Analyse des vulnérabilités et déficience des mesures de sécurité
• Appréciation et analyse des risques
Ensuite suivra la réponse aux risques liées à la sécurité de l’information qui
prends en compte :
• Traitement des risques /option de réponse aux risques
• Propriété des risques et des mesures de sécurité
• Surveillance des risques et rapport

3- Gestion d’un programme de sécurité de l’information

Ici, les candidats doivent noter que, pour qu’un programme de sécurité de
l’information soit efficace, il doit à tout prix atténuer les risques liés aux
technologie et de l’information, en tenant compte de l’ampleur et de la
fréquence de la perte potentielle. Les candidats doivent être conscients que les
défis les plus souvent rencontrés par les CISM dans les organisations sont les
personnes, les processus et les questions de politique qui entrent en conflit avec
les objectifs du programme.

Le manuel CISM décrit les contraintes liées à l’élaboration d’une feuille de

route InfoSec. Les plus importants d’entre eux sont les exigences légales et
réglementaires, l’éthique et le personnel. Par exemple, certains problèmes pour
le personnel peuvent être que les RH procèdent à des vérifications sporadiques
des antécédents alors même que ce sont des membres du personnel non formé
qui effectuent ces vérifications.

ISACA accorde beaucoup d’attention à la méthodologie SABSA, les candidats

doivent donc s’y préparer. Les candidats doivent également noter que l’objectif
du développement et du management d’un programme de sécurité est de mettre
en œuvre la stratégie de la manière la plus rentable, tout en minimisant l’impact
sur les fonctions commerciales. Les candidats devront savoir comment définir le
but ou le résultat souhaité, définir les objectifs à atteindre, définir le risque
résiduel et définir l’état souhaité.

Deux points importants sont mis en exergue dans ce chapitre. Il s’agit en

premier lieu du développement du programme de sécurité de l’information qui
met en exergue :

• Les ressources du programme de sécurité de l’information (par exemple,

personnes, outils, technologies).
• L’Identification et classification des actifs informationnels.
• Normes et cadres de l’industrie pour la sécurité de l’information.
• Les Politiques, procédures et lignes directrices de sécurité de
l’information.
• Les Métriques du programme de sécurité de l’information
Ensuite, vient la gestion de programme de sécurité de l’information. En effet,
elle prend en compte la :
• Conception et sélection des mesures de sécurité de l’information.
• Mise en œuvre et intégration des mesures de sécurité de l’information.
• Test et évaluation des mesures de sécurité de l’information.
• Sensibilisation et formation à la sécurité de l’information.
• Gestion des services externes (par exemple, prestataires, fournisseurs, tiers,
quatrièmes parties).
• Communications et rapports du programme de sécurité de l’information.

4- Gestion des incidents de la sécurité de l’information

La gestion des incidents de la sécurité de l’information occupe 19% de l’examen

et est considéré par beaucoup comme le plus important dans la mesure où la
reprise après un incident garantit la continuité des activités. L’importance de la
gestion des incidents est que son objectif est de gérer et de répondre aux
événements perturbateurs imprévus dans le but de contrôler les impacts à des
niveaux acceptables. ISIM fait partie de la planification de la continuité des
activités, tout comme la reprise après sinistre fait partie de la planification de la
continuité des activités.

L’un des résultats de gestion des incidents de sécurité de l’information est

qu’avec une formation, une planification et des tests adéquats, les candidats
s’assureront que les incidents sont identifiés et contenus, et que la cause
fondamentale est traitée. Cela permettra la récupération dans une fenêtre
d’interruption acceptable (AIW).

Il existe trois technologies que les candidats doivent associer à la gestion des
incidents de sécurité de l’information. Il s’agit de systèmes de détection
d’incident réseau (NIDS), de systèmes de détection d’intrusion hôte (HIDS) et
de journaux (ceux-ci peuvent concerner un système, une base de données, un
système d’exploitation ou une application.) Notons qu’il est important de savoir
qu’un SIEM (informations système et gestion des événements) constitue un
moyen de gérer les HIDS, les NIDS et les journaux.

Les candidats doivent connaître les avantages et les inconvénients ainsi que le
contenu des six types de sites de secours (installations de traitement
d’informations chaudes, froides, chaudes, mobiles, en miroir et en double). La
familiarité avec les concepts de récupération de réseau, tels que la redondance,
le routage alternatif, le routage diversifié, la diversité du réseau longue distance
et la récupération de la voix, est également encouragée

Ainsi ce domaine met en exergue deux grandes chapitres : La préparation à la

gestion des incidents et Les Opérations relatives à la gestion des incidents.
Dans la préparation à la gestion des incidents, on y trouve :
• Le Plan de réponse aux incidents.
• L’Analyse d'impact business (BIA).
• Le Plan de Continuité d’Activité (PCA/BCP).
• Le Plan de Reprise après sinistre (DRP).
• La Classification/catégorisation des incidents.
• La Formation à la gestion des incidents, test et évaluation
•
Quant au deuxième chapitre : Opérations relatives à la gestion des incidents, elle
met en exergue :

• Les Outils et techniques de gestion des incidents.

• L’Investigation et évaluation des incidents.
• Les Méthodes de confinement des incidents.
 • Communications de la réponse aux incidents (par exemple, signalement, notification,
escalade).
• Éradication des incidents et rétablissement.
• Pratiques de revue post-incident.

IV- Conclusion
Bibliographie :

https://www.2abassociates.fr/cism-domain-overview.php
https://actualiteinformatique.fr/cybersecurite/certified-information-security-
manager-cism#:~:text=Certified%20Information%20Security%20Manager
%20%28CISM%29%20est%20une%20certification,programme%20de
https://actualiteinformatique.fr/cybersecurite/certified-information-security-
manager-cism#:~:text=Certified%20Information%20Security%20Manager
%20%28CISM%29%20est%20une%20certification,programme%20de