Accueil · Guides de révision · CISA

Guide complet CISA — ISACA

Certified Information Systems Auditor · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La certification CISA (Certified Information Systems Auditor) d'ISACA s'adresse aux auditeurs SI, consultants GRC, RSSI et controleurs internes. Examen de 150 questions QCM en 4 heures, score requis 450/800. Prerequis : 5 ans d'experience en audit/controle SI (substitutions possibles). Reference mondiale pour l'audit des systemes d'information, CISA ouvre les portes des cabinets Big 4, banques, assurances et grandes entreprises avec des salaires de 55-90k EUR en France.

Pourquoi passer la certification CISA ?

En 2026, CISA reste la certification de reference absolue pour l'audit des systemes d'information, reconnue par l'ANSSI, la Banque de France et toutes les grandes entreprises europeennes. Avec le renforcement de NIS2, DORA et du Cyber Resilience Act, la demande d'auditeurs SI qualifies a explose : LinkedIn recense plus de 12 000 offres CISA en Europe en 2026. Le ROI est exceptionnel : une augmentation salariale moyenne de 22% est observee dans les 18 mois suivant l'obtention. Les cabinets Big 4 (Deloitte, EY, KPMG, PwC) en font un prerequis pour les postes de senior manager audit IT. La cert valorise considerablement un CV : elle prouve une maitrise transverse couvrant gouvernance, gestion des risques, developpement, exploitation et protection des actifs informationnels. Contrairement aux certifications techniques pures, CISA atteste d'une vision strategique et methodologique, particulierement prisee pour les postes de direction. Elle est egalement reconnue par l'ANSI/ISO 17024, garantissant sa portabilite internationale. Avec la montee des reglementations financieres (DORA applicable depuis janvier 2025), les profils CISA sont rares et tres recherches dans le secteur bancaire et assurantiel europeen.

Caractéristiques de l'examen

Format QCM 150 questions
Duree 240 minutes (4 heures)
Score requis 450 sur 800 (echelle ISACA)
Prix officiel 575 USD membres ISACA, 760 USD non-membres
Langues Francais, Anglais, Espagnol, Allemand, Chinois, Japonais, Coreen, Turc
Validite 3 ans (CPE 120h sur 3 ans pour maintien)
Prerequis 5 ans experience audit/controle/securite SI (substitutions diplomes jusqu'a 3 ans)

Programme détaillé par domaine

Domain 1 : Information System Auditing Process 18%

Objectifs
Maitriser le processus complet d'audit des systemes d'information selon les standards ISACA ITAF (IT Audit Framework). Comprendre la planification d'audit basee sur les risques, l'execution sur le terrain, la collecte de preuves probantes, la documentation des constats et la communication des resultats. Savoir appliquer les normes professionnelles ISACA, les principes d'independance, d'objectivite et de competence. Connaitre les techniques d'echantillonnage statistique et non-statistique, les CAATs (Computer-Assisted Audit Techniques), et la cartographie des controles. Etre capable de produire un rapport d'audit conforme avec constats, recommandations et plan d'action corrige.
Concepts clés
Risk-based audit approach, ITAF 4th Edition, ISACA Code of Professional Ethics, materialite, assertion d'audit, controles preventifs/detectifs/correctifs, controles compensatoires, sampling (attribute, variable, monetary unit), CAATs (ACL, IDEA, Python audit), continuous auditing, audit charter, audit universe, fraud risk indicators, COBIT 2019 alignement, three lines of defense model, evidence (sufficient, reliable, relevant, useful), audit working papers, follow-up audit, root cause analysis, control self-assessment (CSA), benchmarking, GRC platforms.
Services / outils
Outils CAATs : ACL Analytics, IDEA CaseWare, Python pandas pour data analytics audit, ServiceNow GRC, Archer RSA, MetricStream. Frameworks : COBIT 2019, ITAF, NIST CSF 2.0, ISO 19011. Standards : ISA 315 revised, SOC 1/2 reports.
Temps estimé
12-15h

Domain 2 : Governance and Management of IT 18%

Objectifs
Evaluer l'efficacite de la gouvernance IT en alignement avec la strategie d'entreprise. Auditer les structures organisationnelles, les comites de pilotage, les politiques et procedures. Maitriser les principes de gestion des ressources IT (humaines, financieres, technologiques), la gestion de portefeuille de projets et le pilotage de la performance via des KPI/KRI. Comprendre les enjeux de conformite reglementaire (RGPD, NIS2, DORA, SOX, LPM). Evaluer la maturite des processus selon COBIT 2019 et les modeles de capability.
Concepts clés
IT governance frameworks (COBIT 2019, ISO 38500), IT strategy alignment, balanced scorecard IT, enterprise architecture (TOGAF), IT steering committee, RACI matrix, IT investment management, value delivery, benefits realization, IT policy lifecycle, segregation of duties (SoD), HR controls (background checks, training), sourcing strategies, contract management, SLA/OLA, vendor risk management, regulatory compliance mapping, BCM/DRP governance, enterprise risk management (ERM), risk appetite/tolerance.
Services / outils
COBIT 2019 Design Toolkit, ISO/IEC 38500, TOGAF 10, ITIL 4, Balanced Scorecard, EA tools (Sparx EA, ArchiMate, LeanIX), GRC suites (RSA Archer, ServiceNow).
Temps estimé
12-15h

Domain 3 : Information Systems Acquisition, Development and Implementation 12%

Objectifs
Auditer les projets de developpement et d'acquisition de systemes. Evaluer la conformite aux methodologies projet (Waterfall, Agile, DevSecOps, SAFe). Verifier l'integration des controles dans le SDLC, la gestion des exigences, les tests (UAT, regression, securite), la gestion du changement et la mise en production. Comprendre les risques specifiques aux projets cloud, microservices, IA generative et low-code/no-code.
Concepts clés
SDLC models (Waterfall, V-Model, Agile Scrum, SAFe, DevSecOps), business case, feasibility study, requirements management (functional, non-functional), system testing (unit, integration, UAT, performance, security), CI/CD pipelines security, code review, SAST/DAST/SCA, IaC scanning (Terraform, Checkov), change advisory board (CAB), release management, post-implementation review (PIR), data migration controls, parallel/pilot/big bang go-live, project risk management (PMBOK), Agile audit techniques.
Services / outils
Jira, Azure DevOps, GitHub Actions, GitLab CI, SonarQube, Veracode, Snyk, Checkmarx, Terraform Cloud, Kubernetes admission controllers, ServiceNow Change Management.
Temps estimé
10-12h

Domain 4 : IS Operations and Business Resilience 26%

Objectifs
Domaine le plus pondere : auditer les operations IT au quotidien et la resilience business. Evaluer la gestion des incidents, problemes, capacite, performance et disponibilite. Maitriser les concepts de continuite d'activite (PCA/PRA), les strategies de reprise (RTO, RPO, MTD), les tests de PRA. Comprendre l'audit des infrastructures cloud (IaaS, PaaS, SaaS), des bases de donnees, des reseaux et des sauvegardes. Integrer les exigences DORA pour le secteur financier.
Concepts clés
ITIL 4 service management, incident/problem/change management, capacity planning, monitoring (APM, SIEM), backup strategies (3-2-1 rule), immutable backups, RTO/RPO/MTD/WRT, BIA (Business Impact Analysis), BCP/DRP, hot/warm/cold sites, cloud DR (multi-region, multi-AZ), database controls (ACID, replication, encryption), network segmentation, zero trust architecture, patch management, end-of-life management, observability (logs, metrics, traces), DORA TLPT (Threat-Led Penetration Testing).
Services / outils
AWS/Azure/GCP DR services, Veeam, Commvault, Rubrik, Splunk, Datadog, ServiceNow ITSM, PagerDuty, Cisco/Palo Alto firewalls, VMware vSphere, Kubernetes, Oracle/SQL Server, Active Directory.
Temps estimé
16-20h

Domain 5 : Protection of Information Assets 26%

Objectifs
Second domaine le plus pondere : auditer la securite de l'information sous tous ses aspects. Evaluer les controles d'acces logiques et physiques, le chiffrement, la securite reseau, la classification des donnees, la conformite RGPD/NIS2. Maitriser l'audit des SOC, EDR, IAM, PAM et des architectures Zero Trust. Comprendre les menaces emergentes : ransomware, supply chain attacks, AI-powered attacks, deepfakes.
Concepts clés
CIA triad, AAA model, IAM/PAM (CyberArk, BeyondTrust), MFA/passwordless/FIDO2, RBAC/ABAC, Zero Trust (NIST SP 800-207), data classification, DLP, encryption (AES-256, RSA, ECC, post-quantum), PKI, TLS 1.3, network security (firewalls NGFW, IDS/IPS, NAC, microsegmentation), SOC operations, SIEM/SOAR/XDR, threat intelligence, vulnerability management (CVSS 4.0), penetration testing, physical security, RGPD (DPIA, registre traitements), NIS2 mandatory reporting (24h), ISO 27001:2022 controls (Annex A).
Services / outils
CrowdStrike Falcon, Microsoft Defender XDR, Splunk Enterprise Security, Sentinel, Okta, Azure AD/Entra ID, CyberArk, HashiCorp Vault, Qualys, Tenable, Rapid7, Palo Alto Prisma, Zscaler, Cloudflare Zero Trust.
Temps estimé
16-20h

Plan de révision hebdomadaire

Planning recommande sur 12 semaines (3 mois) avec environ 10h/semaine, total ~120h de preparation. Semaine 1-2 : Lecture du CISA Review Manual 28th Edition (ISACA), focus Domaine 1 (processus d'audit). Realiser 50 questions de la QAE Database par jour. Semaine 3-4 : Domaine 2 (Gouvernance IT). Etudier COBIT 2019, faire un mapping personnel avec votre entreprise actuelle. Pratiquer 50 questions/jour ciblees Domaine 2. Semaine 5 : Domaine 3 (Acquisition/Developpement). Approfondir DevSecOps, SDLC Agile. Examen blanc partiel (75 questions). Semaine 6-8 : Domaine 4 (Operations et Resilience) - le plus pondere (26%). Travailler intensivement BCP/DRP, ITIL 4, calculs RTO/RPO. Faire des cas pratiques DORA. Semaine 9-10 : Domaine 5 (Protection des actifs) - egalement 26%. Reviser cryptographie, IAM, Zero Trust, NIS2, RGPD. Realiser 2 examens blancs complets de 150 questions chronometres. Semaine 11 : Revision transversale, analyse des erreurs des examens blancs, retour sur les domaines faibles. Memoriser les ratios de ponderation. Faire fiches synthese par domaine. Semaine 12 : Examen blanc final dans conditions reelles (4h chronos). Repos cognitif les 2 derniers jours. Conseils : ne jamais negliger la QAE Database (1000+ questions), rejoindre un groupe d'etude ISACA local (chapitre Paris-IDF actif), suivre les webinars gratuits ISACA. Programmer l'examen via PSI ou en centre Pearson VUE des le debut de la semaine 8.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle ISACA

Page officielle CISA avec CISA Review Manual 28th Edition (2026), QAE Database online (1000+ questions), syllabus detaille et inscription examen.

ISACA Online Review Course

Cours officiel en ligne (~895 USD) avec videos, exercices interactifs et 2 examens blancs. Recommande pour autodidactes.

Hands-on Audit Labs (ACL/IDEA/Python)

Labs pratiques CAATs avec Galvanize HighBond et Python pandas pour data analytics audit. Essentiel pour Domaine 1.

ISACA Engage Community

Forum officiel ISACA et chapitre Paris-IDF (meetings mensuels, study groups CISA, mentorat). Reseau professionnel inestimable.

5 erreurs classiques à éviter

  • Erreur 1 : Sous-estimer les Domaines 4 et 5 qui pesent 52% du score. Beaucoup de candidats techniques se concentrent sur le Domaine 1 (audit) et negligent operations/securite. Solution : allouer 50% du temps de revision a ces deux domaines.
  • Erreur 2 : Repondre en mode technicien plutot qu'en auditeur. CISA teste la posture d'auditeur (independance, evaluation des controles), pas l'expertise technique pure. Toujours se demander 'que ferait un auditeur ?' et non 'comment je resoudrais ce probleme ?'.
  • Erreur 3 : Ignorer la QAE Database officielle ISACA. Les questions de l'examen reel suivent exactement le style QAE. Faire moins de 500 questions QAE avant l'examen est risque. Objectif : 1000+ questions avec analyse des erreurs.
  • Erreur 4 : Negliger la demande d'experience post-examen. Reussir l'examen ne suffit pas : il faut 5 ans d'experience validee avec formulaire signe par employeur dans les 5 ans suivant l'examen, sinon la certification est perdue.
  • Erreur 5 : Mal gerer le temps lors de l'examen (150 questions en 240 minutes = 96 secondes/question). Strategie : faire un premier passage rapide (marquer les questions difficiles), revenir dessus en second passage. Ne jamais laisser de question sans reponse.

5 questions types corrigées

Q1. Lors d'un audit des controles d'acces logiques, un auditeur SI decouvre que plusieurs comptes utilisateurs disposent de privileges administrateur non documentes. Quelle est la PREMIERE action que l'auditeur doit entreprendre ?
Réponse : B
L'auditeur doit d'abord documenter le constat et evaluer le risque (impact x probabilite) avant toute action. Son role n'est pas de corriger (A, C) ni de tester immediatement sans documentation prealable (D). La methodologie ITAF impose la documentation systematique des constats avec preuves probantes. La communication au management se fait apres analyse, dans le cadre du rapport d'audit avec recommandations priorisees selon la criticite. L'auditeur preserve son independance en n'agissant pas operationnellement.
Q2. Une organisation financiere soumise a DORA doit definir son RTO pour son systeme de paiement critique. Quel facteur PRINCIPAL doit guider cette decision ?
Réponse : C
Le RTO (Recovery Time Objective) doit imperativement decouler du BIA (Business Impact Analysis) qui quantifie l'impact financier, reglementaire et reputationnel d'une interruption. DORA exige une analyse rigoureuse de la criticite des fonctions metier. Le cout (A) est une contrainte secondaire, la capacite technique (B) doit s'adapter au besoin et non l'inverse, et le benchmark concurrentiel (D) n'a pas de valeur reglementaire. Le BIA determine RTO, RPO et MTD selon une approche risk-based aligned avec la tolerance au risque definie par le board.
Q3. Lors de l'audit d'un pipeline DevSecOps, quel controle est le PLUS efficace pour prevenir le deploiement de vulnerabilites critiques en production ?
Réponse : C
L'integration SAST (Static Application Security Testing) et SCA (Software Composition Analysis) avec quality gates bloquants dans le pipeline CI/CD constitue un controle preventif automatise qui empeche le merge ou le deploiement de code vulnerable. C'est l'approche shift-left recommandee par NIST SSDF. La revue post-deploiement (A) est correctif et trop tardif, les pentests trimestriels (B) sont detectifs et ponctuels, la formation (D) est preventive mais non technique. Les quality gates avec seuils CVSS bloquants offrent une couverture continue et systematique.

Voir plus de questions gratuites →

Carrière & salaire après CISA

En France en 2026, un auditeur SI certifie CISA debutant percoit 50-60k EUR brut/an, un senior 65-80k EUR, et un manager audit IT en Big 4 atteint 90-130k EUR. A Luxembourg et Suisse, ajouter 30-40%. Les debouches sont vastes : cabinets Big 4 (Deloitte, EY, KPMG, PwC), banques (BNP Paribas, Societe Generale, Credit Agricole), assurances (AXA, Allianz), ESN specialisees GRC (Wavestone, Mazars, Grant Thornton), et fonctions internes (audit interne IT, CISO office, conformite DORA). Evolution naturelle : Senior Auditor, Audit Manager, Director Internal Audit, puis CISO ou Chief Audit Executive. Certifications complementaires recommandees pour booster le salaire : CRISC (gestion des risques IT), CISM (management securite), CGEIT (gouvernance), et ISO 27001 Lead Auditor. Le marche est tres tendu cote candidats : selon APEC 2026, 78% des recruteurs declarent des difficultes a trouver des profils CISA experimentes.

Détail des salaires CISA en 2026 →

FAQ — CISA

Combien de temps faut-il pour preparer CISA ?

Comptez 100 a 150 heures de preparation sur 3-4 mois pour un profil ayant deja une experience en audit ou securite SI. Pour un debutant, prevoir 200h sur 6 mois. La QAE Database et le CISA Review Manual sont indispensables.

Cette certification est-elle reconnue en France ?

Oui, CISA est LA reference en France pour l'audit SI. Reconnue par l'ANSSI, l'AMF, l'ACPR et tous les grands groupes du CAC 40. Elle est souvent exigee pour les postes d'auditeur SI senior et obligatoire chez les Big 4.

Quel est le taux de reussite a CISA ?

ISACA ne publie pas officiellement le taux de reussite, mais les estimations communautaires l'evaluent a 50-60% au premier passage. Les candidats bien prepares (CISA Review Manual + 1000 questions QAE) atteignent 75-80% de reussite.

Quel est le salaire apres CISA ?

En France 2026 : 50-60k EUR debutant, 65-80k EUR senior, 90-130k EUR pour un manager audit IT en Big 4 ou banque. Augmentation moyenne post-certification : +22% dans les 18 mois. Premium significatif en Suisse et Luxembourg (+30-40%).

Faut-il une experience prealable ?

Pour la certification finale : 5 ans d'experience en audit, controle ou securite SI sont requis. Substitutions possibles jusqu'a 3 ans (Master, autres certifications). On peut passer l'examen SANS experience, mais la certification ne sera delivree qu'apres validation de l'experience dans les 5 ans.

CISA ou cert concurrente : laquelle choisir ?

CISA pour l'audit SI (reference mondiale). CISM si vous visez le management de la securite. CISSP pour un profil securite technique large. CRISC pour la gestion des risques IT. Beaucoup de professionnels passent CISA puis CISM ou CRISC pour completer leur profil.

Combien coute l'examen CISA ?

L'examen coute 575 USD pour les membres ISACA (cotisation 135 USD/an) et 760 USD pour les non-membres. Ajoutez le CISA Review Manual (~125 USD), la QAE Database (~299 USD) et la maintenance annuelle (45 USD membre + CPE). Budget total : ~1200 USD.

Combien de fois peut-on repasser CISA ?

Vous pouvez tenter l'examen jusqu'a 4 fois par an (avec delais de 30, 90 puis 180 jours entre tentatives). Chaque tentative coute le prix plein. ISACA recommande une analyse approfondie des domaines faibles entre deux tentatives.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc CISA → Test d'orientation