CISA—Certified Information Systems Auditor

Processus d’audit des systèmes d’information

Ce domaine atteste votre crédibilité à émettre des conclusions sur la sécurité, les risques et les solutions de contrôle des SI d’une organisation. Il vous permet de fournir des audits conformes aux standards sectoriels pour protéger et maîtriser les systèmes d’information.

A – PLANIFICATION

• Normes, lignes directrices et déontologie de l’audit SI

• Processus métier (Business Processes)

• Typologie des contrôles (préventifs, détectifs, correctifs)

• Planification d’audit fondée sur les risques

• Types d’audits et d’évaluations (interne, externe, certificatif)

B – EXÉCUTION

• Gestion de projet d’audit

• Méthodologie d’échantillonnage (statistique/non-statistique)

• Techniques de collecte de preuves (interview, observation, revue documentaire)

• Analyse de données (Data Analytics)

• Techniques de reporting et communication

• Assurance qualité et amélioration du processus d’audit

Gouvernance et Management du SI

Ce domaine atteste auprès des parties prenantes votre capacité à identifier les enjeux critiques et à recommander des pratiques adaptées à l’entreprise pour soutenir et sécuriser la gouvernance des informations et technologies associées.

A – GOUVERNANCE DES SYSTÈMES D’INFORMATION

• Gouvernance et stratégie SI

• Cadres de référence liés aux SI (COBIT, ITIL, ISO 27000)

• Normes, politiques et procédures IT

• Structure organisationnelle (rôles, responsabilités)

• Architecture d’entreprise (Enterprise Architecture)

• Gestion des risques d’entreprise (Enterprise Risk Management)

• Modèles de maturité (Maturity Models)

• Conformité réglementaire (lois, standards sectoriels)

B – MANAGEMENT OPÉRATIONNEL DU SI

• Gestion des ressources IT (humaines, financières, technologiques)

• Acquisition et gestion des fournisseurs (Service Provider Management)

• Pilotage de la performance IT (suivi, reporting, tableaux de bord)

• Assurance qualité et gestion de la qualité (normes ISO 9001/20000)

Acquisition, Développement & Implémentation des Systèmes d’Information

Les domaines 3 et 4 démontrent votre maîtrise des contrôles IT et votre compréhension stratégique de la synergie entre technologies et métier.

A – ACQUISITION ET DÉVELOPPEMENT DES SI

• Gouvernance et gestion de projet (méthodologies agiles, cycle en V)

• Étude de faisabilité et business case

• Méthodologies de développement (DevOps, Waterfall)

• Identification et conception des contrôles (intégrés dès la conception)

B – IMPLÉMENTATION DES SYSTÈMES D’INFORMATION

• Stratégies de tests (unitaires, d’intégration, de non-régression)

• Gestion des configurations et mises en production (Release Management)

• Migration système, déploiement d’infrastructure et conversion des données

• Revue post-implémentation (Post-Implementation Review – PIR)

Exploitation des SI et Résilience Métier

Les domaines 3 et 4 prouvent votre expertise des contrôles IT et votre compréhension stratégique des interactions TI-métier.

A – EXPLOITATION DES SYSTÈMES D’INFORMATION

1. Composants technologiques courants (hardware, middleware, cloud)

2. Gestion du cycle de vie des actifs IT (IT Asset Management)

3. Orchestration des tâches et automatisation des processus

4. Interfaces systèmes (API, ETL, connecteurs)

5. Environnements utilisateurs finaux (End-User Computing)

6. Gouvernance des données (Data Governance)

7. Supervision des performances systèmes

8. Gestion des problèmes et incidents

9. Chaîne de valeur IT :

   • Gestion des changements (Change Management)

   • Contrôle des configurations (Configuration Management)

   • Déploiements (Release Management)

   • Correctifs de sécurité (Patch Management)

10. Contrats de niveaux de service (Service Level Agreements – SLAs)

11. Administration des bases de données

B – RÉSILIENCE OPÉRATIONNELLE

1. Analyse d’impact métier (Business Impact Analysis – BIA)

2. Résilience systémique (redundance, basculement automatique)

3. Politiques de sauvegarde, stockage et restauration

4. Plan de continuité d’activité (Business Continuity Plan – BCP)

5. Plan de reprise après sinistre (Disaster Recovery Plan – DRP)

Processus d’Audit des Systèmes d’Information

La cybersécurité impacte désormais tous les rôles SI. Le Domaine 5 se concentre sur la maîtrise de ses principes fondamentaux, bonnes pratiques et écueils.

A – SÉCURITÉ ET CONTRÔLE DES ACTIFS INFORMATIONNELS

• Cadres, normes et lignes directrices (ISO 27001, NIST, SOC 2)

• Principes de confidentialité (RGPD, CCPA)

• Contrôles physiques et environnementaux (biométrie, zones sécurisées)

• Gestion des identités et accès (Identity and Access Management – IAM)

• Sécurité réseau et des terminaux (End-Point Security)

• Classification des données (publique, interne, confidentielle)

• Cryptographie et techniques associées (AES, TLS, hachage)

• Infrastructure à clé publique (Public Key Infrastructure – PKI)

• Communications web sécurisées (HTTPS, VPN, SFTP)

• Environnements virtualisés (hyperviseurs, conteneurs)

• Périphériques mobiles, sans fil et IoT (Internet des Objets)

B – GESTION DES ÉVÉNEMENTS DE SÉCURITÉ

• Programmes de sensibilisation à la sécurité

• Techniques d’attaque (phishing, ransomware, APT)

• Outils de test de sécurité (scanners vulnérabilités, pentesting)

• Solutions de monitoring (SIEM, EDR, IDS/IPS)

• Gestion des incidents de sécurité (Incident Response)

• Collecte de preuves et analyse forensique