Qu’est-ce qui distingue le CISM ?
Les violations de données, les attaques par rançongiciel et autres menaces de sécurité en constante évolution sont la préoccupation majeure des professionnels de l’informatique d’aujourd’hui. Grâce à la certification Certified Information Security Manager® (CISM®), vous apprendrez à évaluer les risques, mettre en place une gouvernance efficace et réagir de manière proactive aux incidents.
Qu’allez-vous apprendre avec la certification CISM ?
17 % DOMAINE 1 – GOUVERNANCE DE LA SÉCURITÉ DE L'INFORMATION
A – GOUVERNANCE D’ENTREPRISE
Ce domaine vous offrira une compréhension approfondie de la culture, des réglementations et des structures impliquées dans la gouvernance d’entreprise. Vous serez également en mesure d’analyser, planifier et élaborer des stratégies de sécurité de l’information. Ensemble, ces compétences affirmeront votre crédibilité auprès des parties prenantes dans la gouvernance de la sécurité à haut niveau.
- Culture organisationnelle
- Exigences légales, réglementaires et contractuelles
- Structures organisationnelles, rôles et responsabilités
B – STRATÉGIE DE SÉCURITÉ DE L’INFORMATION
- Élaboration de la stratégie de sécurité de l’information
- Cadres et normes de gouvernance de l’information
- Planification stratégique (ex. : budgets, ressources, business case)
20 % DOMAINE 2 – GESTION DES RISQUES LIÉS À LA SÉCURITÉ DE L'INFORMATION
Ce domaine vous donne les moyens d’analyser et d’identifier les risques, menaces et vulnérabilités potentielles en sécurité de l’information. Il vous fournit toutes les compétences nécessaires pour identifier et contrer les risques à un niveau managérial.
A – ÉVALUATION DES RISQUES DE SÉCURITÉ DE L’INFORMATION
-
Paysage des risques et menaces émergents
-
Analyse des vulnérabilités et lacunes des contrôles
-
Évaluation et analyse des risques
B – RÉPONSE AUX RISQUES DE SÉCURITÉ DE L’INFORMATION
-
Options de traitement des risques (stratégies d’atténuation)
-
Propriété des risques et contrôles (responsabilités)
-
Suivi et reporting des risques
33 % DOMAINE 3 – PROGRAMME DE SÉCURITÉ DE L'INFORMATION
Ce domaine couvre les ressources, la classification des actifs et les cadres de sécurité de l’information. Il vous donne également les moyens de gérer les programmes de sécurité, incluant les contrôles, les tests, la communication, le reporting et l’implémentation.
A – DÉVELOPPEMENT DU PROGRAMME DE SÉCURITÉ DE L’INFORMATION
-
Ressources du programme (ex. : personnel, outils, technologies)
-
Identification et classification des actifs informationnels
-
Normes et cadres sectoriels (référentiels de sécurité)
-
Politiques, procédures et lignes directrices
-
Indicateurs de performance du programme
B – GESTION DU PROGRAMME DE SÉCURITÉ DE L’INFORMATION
-
Conception et sélection des contrôles
-
Implémentation et intégration des contrôles
-
Tests et évaluation des contrôles de sécurité
-
Sensibilisation et formation à la sécurité
-
Gestion des services externes (prestataires, tiers, parties quadruples)
-
Communication et reporting du programme
30 % DOMAINE 4 – GESTION DES INCIDENTS
Ce domaine vous forme en profondeur à la gestion des risques et à la préparation aux incidents, incluant la préparation des organisations aux crises et le pilotage de la reprise d’activité. Le second module couvre les outils, l’évaluation et les méthodes de confinement pour la gestion d’incidents.
A – PRÉPARATION OPÉRATIONNELLE À LA GESTION D’INCIDENTS
-
Plan de réponse aux incidents (PRI)
-
Analyse d’impact métier (Business Impact Analysis – BIA)
-
Plan de continuité d’activité (Business Continuity Plan – BCP)
-
Plan de reprise après sinistre (Disaster Recovery Plan – DRP)
-
Classification et catégorisation des incidents
-
Formation, tests et évaluation des procédures
B – OPÉRATIONS DE GESTION D’INCIDENTS
-
Outils et techniques de gestion d’incidents
-
Investigation et évaluation des incidents
-
Méthodes de confinement
-
Communication de crise (reporting, notification, escalade)
-
Éradication et reprise d’activité
-
Analyse post-incident (Post-Incident Review)