CISM : les 12 astuces pour passer l’examen

Ca y est! Il y a longtemps que vous y pensiez mais cette fois-ci vous avez pris votre décision. Vous allez essayer d’obtenir le CISM. Les arguments qui vous ont convaincus : c’est la deuxième certification la plus recherchée par les entreprises en sécurité de l’information. C’est la certification standard pour les CISO ou RSSI. De plus le nombre de certifiés est relativement faible et par conséquent, loi de l’offre et de la demande oblige, les salaires sont plutôt élevés. Par contre il y a encore deux points qui vous chagrinent. Le taux de réussite à l’examen est plutôt faible (de l’ordre de 60%) et le coût de l’examen est relativement élevé (plus de 600 €). Vous avez raison! dans cet article je vais donc essayer de vous donner 12 astuces pour réussir à l’examen à votre premier essai et donc de réduire votre investissement initial.

Pourquoi tenter le CISM?

Il est assez facile de comprendre pourquoi les entreprises ont cruellement besoin de Manager de la Sécurité des Informations: on découvre presque chaque jour de nouvelles menaces ou vulnérabilités et le risque d’incidents de sécurité majeurs ne fait que croître.

À l’heure actuelle, les efforts de sécurité passent de la protection à la prévision. Cependant, l’un des principaux problèmes ne provient pas des cybercriminels, mais de la pénurie de compétences. Cette pénurie comprend non seulement des compétences techniques mais aussi capacité de comprendre les besoins de l’entreprise et de les communiquer correctement.

Alors que le niveau d’expertise exigé des experts en sécurité évolue et augmente continuellement, les entreprises ont du mal à trouver des professionnels qualifiés. L’une des meilleures stratégies pour se préparer à de telles opportunités de carrière consiste à utiliser des certifications de haut niveau, telles que le CISM (Certified Information Security Manager) d’ISACA, afin de prouver son niveau de connaissance et d’expérience.

Dans un précédent article, CISM vs CISSP – Quelle certification choisir? vous trouverez une comparution détaillée entre les deux certifications. En résumé, le CISM se distingue principalement du CISSP par son orientation management. Il a été conçu par ISACA pour promouvoir l’utilisation des pratiques de sécurité internationales et développer les compétences nécessaires pour gérer, concevoir, superviser et évaluer le programme de sécurité des informations d’une entreprise. L’examen contient 150 questions sur quatre domaines auxquelles les candidats doivent répondre en moins de quatre heures. Une fois que l’examen est réussi, les candidats doivent toujours justifier d’une expérience professionnelle d’au moins cinq ans dans le domaine management de la sécurité de l’information.

Le CISM est une certification difficile à réussir

La question revient souvent : qu’est-ce qui rend l’examen du CISM aussi coriace? Voici quelques éléments de réponse:

1. Le CISM est désormais un examen au format électronique. Il comporte 150 questions sur une durée de quatre heures. Contrairement à la plupart des examens de certification spécifiques d’autres fournisseurs (ITIL, PRINCE2, DEVOPS, ISO 27001, etc.) la nature même du CISM fait que les candidats avec peu ou pas d’expérience sont rapidement en difficulté. En effet, une des particularités de l’examen est qu’il ne teste pas seulement des connaissances. Les questions sont relatives à un contexte opérationnel. Ce que l’on veut tester c’est votre aptitude à mener à bien une tâche.
2. L’ISACA ne réclame aucun pré-requis explicite pour passer l’examen. Cela signifie que de nombreux candidats « occasionnels » issus d’une grande variété de milieux (informaticiens, auditeurs, professionnels de la sécurité et bien d’autres encore) s’inscrivent à l’examen, créant de ce fait une concurrence artificielle. Cela contribue à faire baisser le taux de réussite.
3. La formulation des questions est souvent ambiguë et subjective. De nombreux candidats se plaignent des exemples de questions proposés par ISACA. Ils les trouvent trop vagues et pas toujours pertinentes. C’est là une caractéristique de l’ISACA. Il faut se mettre dans le mode de raisonnement des auteurs de l’examen.
4. L’accent est souvent mis sur l’apprentissage et la mémorisation du vocabulaire. Une remarque récurrente des candidats porte sur ce point. Les questions d’examen CISM requièrent la connaissance parfaite du vocabulaire spécifique en matière de sécurité du SI. C’est une des difficultés de cette épreuve

Pourquoi un taux d’échec aussi important?

L’examen est bien moins difficile que cela n’est habituellement perçu. Pourtant des milliers de candidats échouent à leur première tentative. Les experts identifient tout un ensemble de raisons.

• Les candidats ayant une formation technique ou technologique se heurtent souvent aux concepts de gouvernance et de gestion des risques. Le savoir-faire technique est évidemment important. Toutefois, la capacité à gérer les risques et les processus est absolument fondamentale pour le CISM.
• A l’opposé, les candidats issus du monde de la gestion des risques ou de l’audit auront beaucoup de mal avec les aspects techniques de l’examen. En effet, les questions sont assez pointues sur certains sujets. Les étudiants issus de ces domaines devraient mieux comprendre les concepts et les objectifs de base du programme d’étude.
• Beaucoup de candidats expérimentés s’obstinent à utiliser leur propre approche pour aborder les questions et les scénarios difficiles de l’examen, refusant l’approche standard préconisée par l’ISACA. Alors, rappelez vous : on ne veut pas savoir comment vous travaillez dans votre organisation. Ce qu’on veut tester c’est votre aptitude à gérer des problématiques de sécurité selon une approche standard.

Comment bien vous préparer pour passer l’examen du CISM?

L’obtention d’une certification CISM démontre que vous avez les compétences suffisantes pour comprendre la relation entre un programme de sécurité de l’information et des objectifs business plus vastes. Comme indiqué précédemment, ces compétences spécifiques sont extrêmement demandées et constituent un excellent choix pour la progression de carrière. Voici donc quelques conseils pratiques pour vous aider à réussir votre examen CISM.

1 – Bien lire le guide d’information des candidats aux examens de l’ISACA

Chaque année, l’ISACA publie une version mise à jour de son guide du candidat. Il fournit de nombreuses informations pratiques pour l’examen du CISM. La dernière version peut être téléchargée gratuitement ici et peut être utilisée pour passer en revue des sujets importants tels que l’inscription à l’examen, les délais et les détails essentiels pour l’administration du jour de l’examen. Il contient même d’autres informations précieuses. On y trouve ainsi les domaines d’examen, le nombre de questions d’examen, la durée de l’examen et les langues.

Aucun candidat ne devrait passer l’examen du CISM sans avoir lu ce guide. Vous y trouverez tous les renseignements pratiques nécessaires. Et cela vous évitera probablement de faire quelques erreurs qui risquent de grever votre budget.

2 – Etudiez religieusement le CISM Review Manual publié par l’ISACA

ISACA propose le CISM Review Manual (15ème édition – 2017) qui sert de guide unique et complet pour l’examen. C’est l’ouvrage de référence conçu pour guider les candidats au CISA, Republié tous les trois ans, il fournit tous les détails relatifs à l’examen ainsi que la définition des rôles et des responsabilités d’un Manager de la Sécurité de l’Information. Globalement, ce manuel est le meilleur guide d’auto-apprentissage pour les aspirants à la certification CISM. Il est souhaitable de le lire de façon exhaustive au moins deux fois avant de se présenter à l’examen. A noter toutefois sa taille (près de 300 pages) et sa présentation pour le moins austère. Si vous êtes un amateur de bandes dessinées, vous vous êtes clairement trompé de rayon!

Ce manuel existe dans plusieurs langues dont l’Anglais mais malheureusement pas le Français. Vous pouvez l’acquérir au format imprimé ou électronique. Attention il est assez onéreux (105$ pour les membres ISACA et 135$ pour les non-membres). Si vous envisagez de suivre un atelier de préparation à l’examen dans un organisme possédant l’accréditation par ISACA, vous le recevrez dans le package de formation.

3 – Apprenez à penser comme un manager

Contrairement aux autres certifications en sécurité, le CISM est axé sur le management. S’il est important que les candidats comprennent bien les concepts techniques couverts par l’examen, il est essentiel de penser comme un manager. Par exemple, lors de l’examen, ce qui semble être la solution technique parfaite peut souvent ne pas être la bonne réponse. Il est nécessaire de prendre en compte des facteurs tels que la stratégie de l’entreprise, les coûts induits et l’impact négatif d’un contrôle de sécurité sur les processus de l’entreprise. Développer un état d’esprit de manager et utiliser une approche globale, orientée métier, est la meilleure approche pour résoudre les problèmes du CISM. Cette certification est essentiellement requise pour des rôles de CISO (voire de RSSI) dont la principale composante est le management et non la technique.

4 – Pratiquer intensivement les question de la base de données de préparation

Pratiquer les questions de révision est absolument obligatoire si vous voulez réussir l’examen. La base de données des questions d’examen proposée par ISACA est une ressource en ligne interactive et complète de 1000 questions pratiques avec les réponses et les explications. L’accès pendant 12 mois à la base de données est disponible au prix de 299 $ (pour les membres) et 399 $ (pour les non-membres). Attention cependant, il n’existe pas de version en Français. Notez également que si vous suivez une formation de préparation au CISM dans un organisme de formation accrédité par ISACA, cette souscription d’un an vous sera offerte dans le cadre de la session.

Les futurs candidats peuvent utiliser les questions et les réponses de l’échantillon pour mieux comprendre les concepts et les sujets difficiles afin d’améliorer le niveau de leur préparation. Ces questions et réponses d’examen sont conçus pour offrir une vue d’ensemble de l’examen CISM. La base de données  de questions et réponses est actualisée en alignement avec l’évolution du monde de la sécurité de l’information.

5 – Utilisez au mieux les ressources disponibles pour vous préparer

Comme pour toutes les autres certifications ISACA, il est prioritaire de vérifier les ressources officielles disponibles pour l’examen du CISM.

Le manuel de préparation au CISM, disponible en version papier ou sous forme de livre électronique, est complet et facile à parcourir, car il est divisé en quatre domaines de travail du CISM: Gouvernance de la sécurité de l’information, Gestion des risques de l’information, Développement de programmes de sécurité de l’information Gestion des incidents et gestion de la sécurité de l’information.

Le manuel de préparation CISM contient des éléments importants tels que des énoncés de tâches et de connaissances, des questions d’auto-évaluation, des ressources suggérées pour des lectures supplémentaires et un glossaire complet couvrant tous les concepts de l’examen. Sa dernière version a été mise à jour pour inclure également de nouveaux éléments tels que des «questions pratiques», des vérifications de connaissances conçues pour renforcer et améliorer le processus d’apprentissage, ainsi que des études de cas facilitant l’acquisition d’une perspective pratique du contenu de l’examen.

Si vous décidez d’utiliser le manuel de préparation au CISM, vous avez la certitude que la réponse à chaque question de l’examen est expliquée quelque part dans ses pages.

6 – Mettez les blogs et articles relatifs au CISA sur votre liste de lecture

Les candidats peuvent également tirer profit d’autres blogs et d’un grand nombre d’articles disponibles en ligne. Ils peuvent aider les candidats à mieux aborder les questions des domaines de connaissances récemment mises à jour. Certains blogs tenus par des contributeurs réguliers constituent également un ensemble de ressources à ne pas négliger. Et, parmi ceux-ci citons les blogs de l’ISACA et celui de Risk3sixty.

Si vous trouvez un site particulièrement intéressant pour les candidats, vous pouvez le partager en nous adressant un commentaire que nous publierons avec grand plaisir.

7 – Une expérience pratique de la sécurité du SI est importante

Pour réussir votre certification CISM, une expérience pratique dans le domaine de la Sécurité du SI est un plus extrêmement utile. Un candidat au CISM doit avoir une idée précise des processus business. Il doit, de plus, être familier avec la définition du périmètre, la planification de la vérification et les programmes de sécurité. Il doit de plus connaître parfaitement tous les aspects relatifs à la gestion des risques.

Une simple expérience des processus de Sécurité de l’Information sera une aide importante. Dans la mesure du possible, rapprochez-vous des professionnels du département sécurité de l’information dans votre organisation actuelle. Profitez-en pour vous familiariser avec les rôles, les responsabilités et les activités quotidiennes concernées par le CISM. N’oubliez pas également de vous informer sur les autres activités de management au sein de l’entreprise.

8 – Entraînez-vous avec des examens blancs et des quiz en ligne

Comme mentionné précédemment, le manuel de préparation au CISM couvre de manière adéquate chaque partie du contenu de l’examen. Cependant, rien ne peut remplacer les questions pratiques lors de la préparation au GSIC.

Nous vous proposons notre quiz d’évaluation de 10 questions accessible gratuitement en ligne. C’est un bon départ pour votre préparation et cela vous permettra rapidement et sans frais d’évaluer votre niveau.

Vous pourrez ensuite commencer à vous entraîner en prenant l‘auto-évaluation gratuite de 50 questions d’ISACA. Enfin, vous pourrez passer à la base de questions, réponses et explications officielles du CISM. Il est disponible en version imprimée ou en tant que service d’abonnement Web. Dans les deux cas, le contenu est le même: un pool de 1 000 questions, les réponses étant expliquées en détail. Gardez à l’esprit que les questions ne sont pas des questions d’examen réelles. Cependant, le type, la structure et le niveau de difficulté représentent pleinement ce que l’on attend des candidats lors du test réel.

La version en ligne peut être utilisée n’importe où avec une connexion Internet et permet de créer des échantillons d’examens personnalisés, allant de séries de 20 questions rapides à des simulations complètes de 150 questions. Sa fonction de suivi des enregistrements facilite l’identification des forces et des faiblesses en fonction de domaines ou de sujets spécifiques, aidant ainsi les candidats à concentrer leurs efforts sur les études.

9 – Planifiez soigneusement votre préparation

La gestion de votre temps d’apprentissage et une bonne répartition du temps par domaine sont essentielles pour réussir l’examen. Vous êtes un professionnel du domaine? Alors prévoyez de démarrer votre préparation 3 à 5 mois avant l’examen. Prévoyez de consacrer au moins 1 à 2 heures d’étude sur une base régulière (quotidiennement ou 3 fois par semaine).

Lors de la création de votre plan d’étude, soyez réaliste quant à vos obligations professionnelles et personnelles. Essayez de programmer le temps d’étude pendant votre temps libre ou en même temps que vous utilisez peut-être une partie du matériel que vous apprenez.

Parmi les autres facteurs à prendre en compte lors de la création de votre plan d’étude, notons:

La gestion de votre temps d’apprentissage et une bonne répartition du temps par domaine sont essentielles pour réussir l’examen. Vous êtes un professionnel du domaine? Alors prévoyez de démarrer votre préparation 3 à 5 mois avant l’examen. Prévoyez de consacrer au moins 1 à 2 heures d’étude sur une base régulière (quotidiennement ou 3 fois par semaine).

Pensez à adapter votre préparation à votre cas spécifique

En outre, nous vous recommandons d’adapter votre préparation en fonction de votre parcours professionnel et de votre niveau d’expérience:

• Quand comptez-vous passer l’examen? Consultez le site Web PSI pour trouver un site près de chez vous une heure qui vous convient.
• Combien pouvez-vous dépenser en matériel de préparation et en cours de formation? Recherchez des supports d’études et une formation officielle et accréditée pour vous assurer de bien comprendre chaque sujet traité dans l’examen.
• Quelle méthode d’entraînement vous convient le mieux? Certaines personnes préfèrent l’autoapprentissage, tandis que d’autres pensent qu’il n’y a pas de substitut à la salle de classe. Utilisez vos expériences d’apprentissage antérieures pour vous aider à choisir la méthode qui vous aidera à mieux vous préparer.
• Dans quelle mesure connaissez-vous déjà les sujets de l’examen? Votre expérience personnelle peut vous faire gagner du temps d’étude, mais vous devez tenir compte de facteurs tels que la durée de l’examen et la logique de la question. S’appuyer trop sur l’expérience seule est une stratégie médiocre qui conduira probablement à de mauvais résultats.

10 – Suivez un atelier de préparation à la certification CISM

Décider de n’utiliser qu’une méthode d’étude personnelle peut sembler une décision audacieuse, et ce n’est peut-être pas la meilleure stratégie.

Un certain nombre d’organismes de formation accrédités proposent des ateliers de préparation au CISM sous forme de sessions en présentiel ou de cours en ligne. L’inscription et la participation à un cours de formation bien structuré et complet est fortement souhaitable. Une session de formation se compose de présentations par des experts et de discussions en classe. L’interaction avec des professionnels de la sécurité expérimentés, venant de diverses parties du monde, constitue un atout exceptionnel pour vous mener à la réussite. C’est une excellente occasion d’obtenir des réponses à toutes vos questions, de partager des expériences et des stratégies et même de réseauter s’il s’agit d’une formation sous forme de classe. Cela se traduit par un taux de réussite plus élevé pour tout examen de certification.

Leader de la formation professionnelle certifiante dans les domaines de la Gouvernance, du Management et de la  Sécurité en Afrique de l’Ouest, France, Belgique et canada, 2AB & Associates vous propose des sessions de préparation au CISM accréditées par l’ISACA, en présentiel et alignées avec les exigences de l’examen. Elles sont toujours animées par des professionnels internationalement reconnus. Pour en savoir plus, visitez la page C ISM Atelier de préparation sur notre site.

11 – Connectez-vous à la communauté de préparation au CISM

La communauté d’études des candidats au CISM est parrainée par ISACA et est disponible gratuitement pour tous les candidats. Elle a été créée pour permettre le partage de questions, de méthodes d’étude et de conseils pour l’examen. elle est coordonné par les leaders de la communauté: d’anciens candidats principaux responsables de la modération des forums de discussion, de l’animation et même de la conduite des discussions.

Ne sous-estimez pas la communauté des candidats au CISM : c’est un endroit formidable pour apprendre à quoi s’attendre le jour de l’examen, cela ne coûte rien et permet aux candidats de poser et de répondre à des questions, de lire des astuces d’étude, de partager des expériences et de trouver des ressources de préparation à l’examen. En outre cela permet d’être en contact direct avec d’autres professionnels aux objectifs similaires qui font face (ou ont réussi à faire face) au même défi.

12 – Préparez vous pour le jour de l’examen

Planifiez votre journée – Aspects logistiques

Abordez ces trois éléments de base au moins une semaine avant votre examen:

• Votre package d’examen est-il prêt? Consultez le Guide du candidat à l’examen pour vous assurer que vous avez tout ce dont vous avez besoin pour la journée de votre examen CISM.
• Êtes-vous calme et bien reposé? Beaucoup de candidats échouent à cause de leur épuisement physique et mental. Rester éveillé tard pour une dernière série d’études peut sembler tentant, mais une lecture de dernière minute n’est généralement pas une bonne chose et peut même vous laisser anxieux. Si vous pensez qu’il est important de faire une dernière révision, faites plutôt une lecture sélective. En outre, ne vous concentrez pas uniquement sur les faiblesses. Si vous n’avez pas maîtrisé un sujet spécifique jusqu’à présent, vous préférerez peut-être vous concentrer sur l’amélioration des domaines dans lesquels vous êtes bon. L’utilisation de résumés ou de glossaires est un excellent outil de lecture sélective.
• Avez-vous pris les dispositions nécessaires pour être à l’heure sur le site de test? Les candidats ne peuvent pas être admis sur le site s’ils sont en retard. Si vous utilisez les transports en commun, vérifiez les meilleurs itinéraires; si vous vous rendez sur le site de l’examen, assurez-vous de savoir où vous garer au préalable.

Gardez un esprit ouvert – L’état d’esprit

Suivez ces conseils pour vider votre esprit et rester concentré pendant l’examen:

• Soyez conscient du temps. Pendant l’examen, vous pouvez atteindre un niveau de concentration élevé. Cela signifie une plus grande concentration, ce qui est utile pour la résolution de problèmes, mais peut vous faire perdre du temps. Ce qui peut sembler être des secondes peut être de précieuses minutes. les heures ont tendance à passer très vite, alors assurez-vous d’avoir le temps de lire toutes les questions de l’examen.
• Prenez votre temps pour lire les questions. Même avec peu de temps, il est important de ne pas se précipiter. Prenez votre temps, faites attention à chaque question et à chaque option de réponse. Et surtout, assurez-vous de bien comprendre ce qu’on vous demande. Surveillez les distracteurs (options qui sont évidemment fausses) dans les questions à choix multiples. Ils sont faciles à éliminer. Il est également important de porter une attention particulière aux termes tels que PLUS, MOINS, NON, TOUS, JAMAIS et TOUJOURS, car ils peuvent entièrement changer une phrase.
• Essayez d’être calme. N’oubliez pas d’étirer et de détendre vos muscles pendant l’examen. Un esprit détendu peut vous aider à résoudre des questions difficiles.
• Rappelez-vous, il n’y a aucune raison de paniquer. Rester calme améliorera votre concentration. Si vous avez suivi votre plan d’étude correctement, vos résultats seront probablement excellents. Sinon, vous aurez beaucoup plus d’expérience lors du prochain examen!

Conclusion

En résumé, l’obtention de la certification CISM est un excellent moyen de démontrer un niveau élevé d’engagement et de compétences en management de la sécurité de l’information. Cela montrera que vous avez une expertise avancée en matière de sécurité de l’information ainsi que les connaissances et l’expérience requises pour développer et gérer un programme complet de sécurité de l’information. Planifiez à l’avance et utilisez ces douze conseils comme base pour votre stratégie d’étude. Mais envisagez également de vous inscrire à une formation officielle.

Et vous, comment avez-vous préparé votre examen? Avez-vous éprouvé des difficultés? Quels conseils donneriez-vous aux nouveaux candidats? Comment jugez-vous cette certification? Merci de nous donner votre avis en commentaire. Cela aidera sûrement beaucoup de candidats à mieux se préparer.

Vous avez réussi votre certification CISM? N’hésitez pas à partager la bonne nouvelle sur ce blog. Vous recevrez peut-être alors des sollicitations pour partager votre expérience avec les autres candidats…

Vous aimez cet article? Alors laissez nous un « j’aime », cela nous encouragera à poursuivre. Vous pouvez également vous abonner gratuitement à notre blog pour recevoir en temps réels les notifications des nouveaux articles. Bien sûr vous pouvez aussi partager cet article sur les réseaux sociaux si vous pensez que cela peut aider quelqu’un.