CISSP ou CISM ? Quelle certification est faite pour vous ?

Si vous vous demandez si vous devriez vous former dans la sécurité informatique et viser une certification prestigieuse comme la CISSP ou la CISM, la réponse est très simple : oui, absolument. Selon Gartner, le taux de chômage chez les spécialistes en cybersécurité confirmés est de zéro. Et les salaires ne connaissent qu’une tendance. Vers le haut.

Et si vous désirez connaître laquelle de ces deux certifications bien connues vous conviendra, cet article permettra d’y voir plus clair. En effet, si ces deux certifications sont certes reconnues dans le monde entier et vous qualifient sans aucun doute pour assumer des rôles de premier plan en cybersécurité, elles possèdent chacune leurs spécificités.

Et comme une certification n’est malheureusement pas gratuite et demande beaucoup de temps, nous voudrions vous fournir dans cet article toutes les informations importantes pour vous aider à choisir la certification qui convient à vos objectifs professionnels.

Ce guide répond aux questions suivantes :

1. Quels rôles jouent les certifications CISSP et CISM sur le marché du travail ?
2. À quels salaires les certifications CISSP et CISM permettent-elles de prétendre ?
3. À qui s’adresse le CISSP ?
4. À qui s’adresse le CISM ?
5. Qu’est-ce qui est mieux ? CISSP ou CISM ?

Mais pour commencer, clarifions les raisons pour lesquelles décrocher une certification en cybersécurité pourrait être nécessaire.

1. Quels rôles jouent les certifications CISSP et CISM sur le marché du travail ?

La bonne nouvelle : la demande en personnel qualifié dans la cybersécurité est et reste élevée. La raison en est cependant regrettable : la cybersécurité a tout simplement été laissée de côté ces deux dernières décennies. Aujourd’hui, la cybercriminalité organisée en profite et n’est pas prêtre à disparaître. Pour le moment, nous en voyons probablement que la pointe de l’iceberg.

C’est pourquoi il est particulièrement important de s’armer contre cette menace. Car tout le monde en a besoin. Les banques, les services et les entreprises recherchent désespérément des expertes et experts en cybersécurité. Aucun autre profil n’est autant convoité. Et si on peut faire un peu de cynisme : c’est votre chance dans votre malchance.

Dans ce cas de figure, vous pourriez vous épargner l’effort d’obtenir un certificat avec l’expérience pratique correspondante, non ?

Que ce soit CISSP ou CISM, les professionnels certifiés en cybersécurité gagnent en moyenne 20% de plus que leurs collègues non certifiés.

Et même s’il n’existe aucun parcours de formation obligatoire en cybersécurité et qu’on ne peut pas simplement dire qu’avoir une certification est un must (c’est souvent une question de croyance), ces derniers aident naturellement beaucoup à ouvrir des portes et à augmenter sa valeur sur le marché du travail.

Outre l’expérience professionnelle et les références, les certifications indiquent de manière objectivement vérifiable que vous possédez certaines connaissances et capacités. Il est même plutôt courant que des entreprises exigent un certificat CISSP ou CISM. Parce qu’il est autrement plus difficile pour les recruteurs, employeurs et ressources humaines d’identifier les talents et de reconnaître les compétences.

2. À quels salaires les certifications CISSP et CISM permettent-elles de prétendre ?

En ce qui concerne le salaire, les deux certifications permettent de prétendre à des revenus équivalents et comptent parmi le top 10 des certifications en IT les mieux rémunérées.

D’après l’IT Skills and Salary Report 2021 de Global Knowledge, dans lequel 3’700 professionnels de l’informatique aux USA ont été interrogés, les certifiés CISSP et CISM ont pu compter sur un salaire annuel moyen de 150’000 US Dollar et gagnent 20 % de plus que leurs collègues sans certification.

Sur le marché suisse du travail, le salaire d’embauche se situe à un niveau similaire, entre 120’000 et 130’000 francs. Tout ça semble bien alléchant, mais comment y parvenir ?

Regardons de plus près chacune de ces deux certifications.

3. À qui s’adresse le CISSP (Certified Information Systems Security Professional) ?

Le « Certified Information Systems Security Professional », ou CISSP, d’ (ISC)² est la certification la plus réputée et une des plus qualitatives dans le domaine de la cybersécurité. Elle est également bien connue en dehors de ce domaine, par exemple parmi le personnel des ressources humaines. C’est pourquoi elle est considérée par les employeurs comme un standard de qualité parmi les certifications en sécurité informatique. Aucun autre certificat en sécurité n’est autant demandé sur LinkedIn que le CISSP.

Avec un certificat CISSP, vous prouvez que vous possédez les connaissances avancées et les compétences techniques nécessaires pour concevoir, mettre en œuvre et gérer des programmes de cybersécurité efficaces.

La certification CISSP s’adresse avant tout aux praticiennes et praticiens de la sécurité expérimentés, aux managers et cadres supérieurs. Il est en général plutôt conseillé pour les personnes ayant un background technique qui accompagnent ou visent un rôle opérationnel et technique de premier plan en matière de sécurité.

4. À qui s’adresse le CISM (Certified Information Security Manager) ?

La deuxième certification la plus connue et reconnue du marché est le « Certified Information Security Manager », ou CISM, de l’ISACA et souvent la certification de premier choix pour toutes les personnes qui exercent en tant que CISO (RSSI), ISO ou BISO ou visent ces rôles et qui désirent endosser le rôle de responsable de la sécurité informatique et gérer la sécurité d’une organisation ou d’une entreprise au niveau stratégique.

La certification CISM atteste que vous disposez des connaissances et des compétences nécessaires pour diriger une équipe de sécurité, que vous avez des connaissances complètes en sécurité des données et que vous êtes capables de concilier objectifs commerciaux et concepts en sécurité. Vous évaluez, concevez, gérez et surveillez les environnements de sécurité au sein d’une entreprise et êtes le premier partenaire de la direction et de toutes les parties prenantes pour des questions de cybersécurité.

Contrairement au CISSP, le CISM est bien plus orienté sur des questions de stratégie de sécurité. Avec la certification CISM, vous acquérez avant tout des connaissances de haut niveau en sécurité commerciale et apprenez à communiquer des questions de sécurité informatique de telle manière à ce qu’elles soient également compréhensibles pour des personnes sans connaissance technique.

5. Qu’est-ce qui est mieux ? CISSP ou CISM ?

Afin de décider laquelle de ces deux certifications est plus appropriée à votre parcours professionnel, vous devriez vous poser deux questions. D’où venez-vous ? Où voulez-vous aller ?

Ces deux certifications traitent toutes deux certes des thèmes de la gestion et de la sécurité de l’information d’un point de vue indépendant de tout fabricant, mais pas dans la même mesure. Pour faire court, la certification CISSP s’adresse plutôt aux techniciens en sécurité expérimentés et le CISM aux responsables de la sécurité expérimentés.

Alors que le CISSP met un point d’orgue sur l’application opérative et technique d’aspects sécuritaires, le CISM se concentre sur des questions de gestion.

Aucun autre certificat en sécurité n’est plus demandé sur LinkedIn que le CISSP.

Si jusqu’à maintenant votre travail a été plutôt orienté sur des tâches techniques et que vous désirez valider cette expérience avec une certification, on conseille alors plutôt le CISSP. Mais aussi parce qu’environ 80 % à 90 % des postes en cybersécurité sont de nature technique. Le CISSP est aussi conseillé si vous désirez vous détacher d’un travail ou d’un rôle purement technique et vous orienter vers une position de management, comme celle d’un Chief Security Officer, puisque cette certification, malgré un fond technique très important, ratisse assez large et fourni et certifie également des connaissances fondamentales en management.

Si votre objectif est clairement de devenir CIO (Chief Information Officer (directeur des systèmes d’information)), on ne peut que chaudement conseiller le CISM. Ce dernier vous permet d’acquérir le bagage en communication nécessaire dont vous aurez besoin dans le cadre d’une activité de responsable de la sécurité. De la même manière, si vous n’avez pas un bagage technique très développé et que vous vous lancez dans la cybersécurité par le biais de fonctions de gestion, le CISM est souvent la meilleure option.

Une autre raison importante est que l’expérience pratique requise pour le CISM est un peu plus stricte. La condition d’admission à la certification CISM est de cumuler 5 ans d’expérience en sécurité de l’information, dont 3 à un rôle de gestion. Cependant, si vous avez déjà décroché une certification CISSP, cette dernière remplace 2 ans d’expérience pratique.