Site icon Blog de la Transformation Digitale

Certifications à la loupe – Certified in Risk and Information Systems Control (CRISC)

Alain Bonneaud

Pour débuter notre nouvelle série d’articles sur les principales certifications de personnes, nous vous proposons aujourd’hui de passer à la loupe la certification CRISC : Certified in Risk and Information Systems Control. Classée mondialement parmi les certifications les plus recherchées par les entreprises dans le monde, elle fait désormais partie des incontournables pour toute personne impliquée dans la gestion des risques informatiques. La crise liée au COVID-19 et son cortège de cyber-attaques a encore renforcé sa position dans le classement annuel des meilleures certifications en 2021. Alors que l’ISACA vient de publier la nouvelle version du corpus de connaissances du CRISC, nous vous disons tout sur cette 7ème et toute nouvelle édition.

Copyright 2021 – © 2AB & Associates

Si vous êtes un professionnel de l’informatique, vous savez parfaitement qu’il est essentiel de faire évoluer continuellement vos compétences. De nombreuses certifications vous permettent de vous perfectionner en vue d’une promotion ou d’une mobilité vers un poste plus intéressant. 2AB & Associates vous accompagne dans la préparation et la réussite des certifications les plus recherchées sur le marché.

Aujourd’hui, nous braquons les projecteurs sur la certification CRISC pour les gestionnaires des risques informatiques. Nous allons voir en quoi consiste cette certification, pourquoi elle est essentielle et quels sont les rôles associés. Nous explorerons également l’examen de certification et le type d’opportunités d’emploi qu’une certification CRISC peut offrir.

CRISC – De quoi s’agit-il?

CRISC est l’acronyme de Certified in Risk and Information Systems Control. Littéralement cela signifie Certification dans le domaine des risques et du contrôle des systèmes d’information. CRISC a été lancé par l’ISACA (Information System Audit and Control Association) en 2010. Cette certification professionnelle compte à ce jour plus de 30.000 titulaires dans le monde. Le CRISC se situe en 4ème position dans le classement des certifications les mieux rémunérées en 2021 (Global Knowledge).

Le site Web de l’ISACA définit le CRISC comme « l’approche la plus récente et la plus rigoureuse disponible pour évaluer les compétences en gestion des risques des professionnels de l’informatique et des autres employés d’une entreprise ou d’un organisme financier ».

Concrètement, CRISC est une certification professionnelle qui valide à la fois vos connaissances et vos compétences en gestion des risques. Les CRISC permettent aux entreprises de mieux comprendre les risques métiers. Ils/elles possèdent en outre des compétences techniques leur permettant de mettre en œuvre les procédures et les contrôles de sécurité de l’information indispensables.

Les professionnels suivants tireront le plus grand profit de la certification CRISC :

Toute personne qui gère les risques et les contrôles informatiques d’une entreprise devrait absolument ajouter cette certification à son CV.

Pourquoi la certification CRISC est-elle si importante?

Aujourd’hui, compte tenu de l’explosion de la cybercriminalité, la gestion des risques est devenue essentielle à la survie des entreprises. Les principaux risques concernent notamment le vol de données et la fraude. Alors que nos vies personnelles et professionnelles évoluent de plus en plus vers un monde entièrement numérique, la cybersécurité est devenue une priorité absolue. C’est encore plus vrai dans un contexte sanitaire qui, avec le télé-travail a vu une croissance exponentielle des cyber-attaques. De plus, avec des réglementations de plus en plus contraignantes (le RGPD par exemple), une violation de données importante est susceptible d’entraîner des pertes financières substantielles. Elle peut même conduire une entreprise à la faillite. Une organisation qui n’est pas en mesure de sécuriser ses transactions acquiert la réputation d’être peu fiable et risquée. Cette perte de confiance peut lui causer des dommages irréversibles.

Les professionnels certifiés CRISC apportent à l’organisation une meilleure compréhension des risques liés aux technologies de l’information et à leur impact sur ses objectifs. En outre, ils élaborent des plans et des stratégies pour atténuer ces risques. Enfin, le CRISC établit un langage commun facilitant la communication et la compréhension entre les équipes informatiques et les parties prenantes.

La certification CRISC :

Comment obtenir la certification CRISC?

Compte tenu de tous ces avantages, vous vous demandez peut-être comment faire pour être éligible à la certification CRISC. Voici donc ce que vous devez faire pour obtenir une certification en contrôle des risques et des systèmes d’information :

  1. Réussir l’examen CRISC. C’est la toute première étape de votre parcours.
  2. Acquérir ou démontrer votre expérience dans la gestion des risques informatiques et le contrôle des systèmes d’information. Un minimum de trois ans d’expérience cumulée dans au moins deux des quatre domaines CRISC. L’un des deux domaines requis doit être le domaine 1 ou 2. Notez qu’il n’y a pas d’exemption ou de substitution d’expérience. Il faut vous mettre au travail ! Toute expérience doit être certifiée de façon indépendante par vos employeurs. Vous devrez donc fournir des références susceptible d’être interrogées par l’ISACA.
  3. Remplir et soumettre une demande de certification CRISC. L’expérience professionnelle requise doit être acquise dans les dix années précédant la date de demande de certification. Pour les débutants l’expérience peut être acquise dans les cinq ans suivant la date de réussite de l’examen.
  4. Adhérer au Code d’éthique professionnelle de l’ISACA, conçu pour maintenir des normes de conduite professionnelle et personnelle. Cela inclut notamment la non-divulgation des informations obtenues dans l’exercice de ses fonctions, à moins que la loi ne l’y oblige. Le/la CRISC doit exercer ses fonctions avec professionnalisme. Il/elle devra également faire preuve de diligence et objectivité dans le respect des meilleures pratiques et normes professionnelles. Enfin, il/elle doit maintenir un niveau élevé de conduite, de comportement et de normes à tout moment.
  5. Adhérer à la politique de formation professionnelle continue (CPE). Celle-ci impose un minimum annuel de 20 heures de contact CPE, plus les frais de maintenance. Les certifiés CRISC doivent enregistrer un minimum de 120 heures de CPE, requises au cours d’une période de trois ans.

Combien coûte la certification?

Vous avez le choix entre de nombreux lieux et horaires pour passer l’examen CRISC. Il est également disponible en ligne, surveillé par PSI. Vous pouvez donc effectuer votre choix en fonction de votre lieu de résidence et de vos contraintes de temps. Vérifiez ici pour l’heure et le lieu les plus pratiques. Le coût de l’examen CRISC est de 575 USD pour les membres de l’ISACA. Il est de 760 USD pour les non-membres. Les frais d’examen ne sont ni transférables ni remboursables.

Quels sont les domaines CRISC dans le contexte de l’examen ? L’examen CRISC est-il difficile ?

CRISC est la seule certification axée sur la gestion des risques informatiques d’entreprise. Elle offre aux employeurs un moyen de former et/ou d’identifier et d’embaucher des professionnels en gestion des risques IT qualifiés ayant la capacité d’adopter une approche holistique et stratégique de la Gestion des Risques d’Entreprise.


Cette nouvelle version, la 7ème Edition, reflète les dernières pratiques de travail et connaissances utilisées par les praticiens du CRISC. Elle intègre les changements récents dans le paysage business. L’accent mis sur la gouvernance d’entreprise et l’amélioration de la résilience des entreprises est renforcé. Les employeurs peuvent être assurés qu’armés de CRISC, leur équipe informatique suit les meilleures pratiques de gouvernance et adopte une approche proactive et agile de Gestion des Risques Informatiques qui atténue les risques et les menaces et optimise les ressources et le retour sur investissement.

Pour réussir l’examen CRISC il faut d’abord comprendre comment il est structuré et ce qui est couvert dans le syllabus. L’examen élaboré par le groupe de travail CRISC comprend quatre domaines de pratique professionnelle.

Domaine 1 :Gouvernance (26 %)

Le terme « gouvernance » est passé au premier plan de la préoccupation des entreprises. Nous voyons de multiples exemples de bonne gouvernance d’un côté. Et nous constatons également des échecs business mondiaux résultant d’une mauvaise gouvernance de l’autre. Une entreprise ne sera pas en mesure de planifier et d’optimiser correctement les ressources, ni de réaliser des avantages, sans une bonne gouvernance et une gestion des risques allant de pair.

Dans ce domaine, les candidats au CRISC devront démontrer leur connaissance de la relation entre les résultats d’une gouvernance efficace des risques et les responsabilités du management. Ils devront également examiner le modèle business en matière de risques informationnels et comprendre les interrelations entre la conception et la stratégie de l’organisation, les personnes, les processus et les éléments technologiques. Les candidats doivent bien comprendre les interconnexions entre gouvernance, culture, facilitation et soutien, émergence, facteurs humains et architecture.

Domaine 2 : Evaluation des risques informatiques (20 %)


Ce domaine couvre la création d’un programme d’évaluation de la sécurité efficace qui permet d’identifier tout problème pouvant constituer une menace pour l’organisation. Les questions testent vos connaissances sur les états actuels et souhaités d’un environnement de risque informatique donné pour garantir des contrôles raisonnables et appropriés. Ce domaine se concentre également sur le test des contrôles actuels et la communication des résultats de l’évaluation à la direction et aux autres parties prenantes.

Domaine 3 : Réponse aux risques et reporting (32 %)

Le contenu mis à jour met l’accent sur la surveillance continue des risques et l’établissement de rapports. L’efficacité de la surveillance dépend de son intégration réussie avec le reporting. Les rapports aident également la direction à faire preuve de diligence dans la protection des actifs de l’organisation et le respect des exigences réglementaires.

Cette section se concentre sur l’élaboration et la mise en œuvre de réponses efficaces aux risques, suivies de l’application de contrôles appropriés pour atténuer l’exposition. Il couvre également l’évaluation de l’efficacité de la réponse aux menaces et la restauration des processus de l’organisation à la normale, y compris qui est responsable de quels rôles dans la reprise. Enfin, ce domaine couvre la documentation des contrôles et des procédures, la mise à jour des registres des risques et la garantie du respect de toutes les politiques de contrôle des risques établies.

Domaine 4 : Technologies et sécurité de l’information (22 %)

Pour être efficace dans la gestion des risques informatiques, le praticien des risques doit avoir une compréhension pratique des principes et concepts clés des technologies de l’information et de la sécurité, tels que la familiarité avec le matériel informatique, les logiciels et les concepts de réseautage ; résilience de l’entreprise; développement de systèmes sécurisés; confidentialité des données, etc. Le contenu a été élargi pour tester les candidats dans ce domaine clé.

Le sujet important de la protection des données personnelles : ce sujet important fait désormais partie de Domaine 4. En effet, la confidentialité et la protection des données personnelles sont de plus en plus importantes pour les entreprises. Ceci est dû en partie à un avantage concurrentiel, les clients s’attendant à une protection rigoureuse de leurs données, et en partie en raison de nombreuses lois et réglementations strictes qui concernent le traitement et la protection de classes spécifiques de données.

Cette répartition par domaine devrait vous donner une idée de la meilleure façon de vous préparer à l’examen CRISC. Pour un peu d’aide supplémentaire, voici un ensemble de ressources d’examen pour faciliter l’ensemble du processus.

Tous les examens de certification ISACA sont composés de 150 questions à choix multiples couvrant les domaines de pratique professionnelle appropriés, dérivés de l’analyse la plus récente des pratiques professionnelles. Vous disposez de quatre heures pour passer l’examen.

Offres d’emploi et salaire CRISC

Le salaire annuel moyen CRISC aux États-Unis est de 107 399 $, selon ZipRecruiter. Grâce au CRISC, vous pouvez trouver des offres d’emploi dans des rôles tels que stratège des risques de sécurité, analyste de la sécurité informatique, analyste de la sécurité de l’information, superviseur des risques d’audit informatique et analyste des risques technologiques.

Quelques certifications complémentaires utiles pour passer CRISC

Certaines certifications vous aident à compléter vos compétences et peuvent être utiles lorsque vous passez l’examen CRISC. 2AB & Associates vous propose un certain nombre de cours précieux pour vous aider à démarrer.

CEH (V10) : Certified Ethical Hacking

Le cours CEH (v10) Certified Ethical Hacking vous forme aux méthodologies avancées, étape par étape, utilisées par les pirates. Parmi celles-ci, mentionnons l’écriture de codes de virus et la rétro-ingénierie. Cette formation vous aide à maîtriser l’analyse avancée des paquets réseau et les techniques de test de pénétration du système. Vous pourrez ainsi développer vos compétences en matière de sécurité réseau et contrer les pirates potentiels et autres cybercriminels.

CISSP : Certified Information Systems Security Professionnal

La certification Certified Information Systems Security Professional (CISSP) est considérée comme l’étalon-or dans le domaine de la sécurité de l’information. Cette formation s’aligne sur les exigences (ISC)² CBK 2018 et vous forme à devenir un professionnel de l’assurance de l’information compétent dans tous les aspects de la sécurité informatique, tels que l’architecture, la conception, la gestion et les contrôles. De nombreux postes de sécurité informatique nécessitent ou préfèrent une certification CISSP, elle doit donc être considérée comme une ressource vitale pour la certification CRISC.

CISM : Certified Information Security Manager

Enfin, le cours Certified Information Security Manager (CISM) est une certification essentielle pour les professionnels de la sécurité de l’information qui gèrent, conçoivent, supervisent et évaluent la sécurité de l’information d’entreprise. Ce cours est étroitement aligné sur les meilleures pratiques de l’ISACA. Il vous permettra de définir et de concevoir une architecture de sécurité d’entreprise, d’atteindre la conformité et la gouvernance informatiques, de fournir un service fiable aux clients et de comprendre comment les systèmes de sécurité informatique peuvent contribuer à des buts et objectifs commerciaux plus larges.

Tenté(e) par une carrière en gestion des risques?

Le cours Certified in Risk and Information Systems Control (CRISC) est une ressource essentielle qui s’aligne sur la dernière édition 2021 de l’examen CRISC (7th Edition). Il vous donnera les compétences nécessaires pour gouverner et contrôler les risques informationnels de n’importe quelle entreprise. Vous obtiendrez également une expertise l’évaluation des risques liés à l’acquisition, le développement, les tests et la mise en œuvre de systèmes d’information tout en apprenant les directives, les normes et les meilleures pratiques de protection de ces systèmes.

Ce cours est la meilleure façon de vous préparer à l’un des nombreux emplois dans les domaines liés au CRISC. Les nombreuses offres de cours de 2AB & Associates peuvent vous aider à faire les premiers pas vers une carrière plus motivante et plus enrichissante. Vérifiez-le dès maintenant!

Quitter la version mobile