Accueil · Guides de révision · CISM

Guide complet CISM — ISACA

Certified Information Security Manager · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

CISM (Certified Information Security Manager) d'ISACA s'adresse aux managers securite, RSSI et consultants GRC souhaitant valider leur expertise en gouvernance et gestion du risque informationnel. L'examen comporte 150 questions QCM en 4 heures, score minimum 450/800. Prerequis : 5 ans d'experience en securite de l'information dont 3 en management. Debouches : RSSI, Risk Manager, Auditeur securite, Consultant GRC avec salaires de 75k a 130k EUR en France en 2026.

Pourquoi passer la certification CISM ?

En 2026, la certification CISM s'impose comme le standard de reference pour acceder aux postes de management en cybersecurite. Avec la generalisation de NIS2, DORA et l'AI Act europeen, les entreprises europeennes recherchent activement des profils capables de piloter strategiquement la securite, pas seulement de la mettre en oeuvre techniquement. Selon les etudes ISACA 2025, CISM figure dans le top 3 des certifications les mieux remunerees au monde, avec une prime salariale moyenne de 25% par rapport aux profils non certifies. Contrairement a CISSP qui reste technique, CISM cible explicitement la dimension managériale : gouvernance, alignement business, gestion du risque et reponse aux incidents. Cette specificite la rend incontournable pour les candidats RSSI et directeurs cybersecurite. La demande explose particulierement dans les secteurs bancaire (obligation DORA), sante (HDS) et industriel (NIS2 elargi). Sur LinkedIn France, plus de 4500 offres mentionnent CISM comme prerequis ou atout majeur en 2026. Le ROI moyen se situe entre 12 et 18 mois apres certification, considerant le cout total (examen, formation, adhesion ISACA) face a l'augmentation salariale typique de 8000 a 15000 EUR annuels.

Caractéristiques de l'examen

Format QCM 150 questions
Duree 240 minutes (4 heures)
Score requis 450/800 (environ 56%)
Prix officiel 575 USD membres ISACA, 760 USD non-membres
Langues Anglais, Francais, Espagnol, Chinois, Japonais, Coreen
Validite 3 ans avec 120 CPE requis
Prerequis 5 ans d'experience securite information dont 3 en management dans 3 des 4 domaines

Programme détaillé par domaine

Domain 1 : Information Security Governance 17%

Objectifs
Etablir et maintenir un cadre de gouvernance de la securite de l'information aligne sur les objectifs strategiques de l'organisation. Le candidat doit demontrer sa capacite a developper une strategie securite, definir les roles et responsabilites, obtenir l'engagement de la direction et integrer la securite dans la gouvernance d'entreprise. Comprehension approfondie de la relation entre securite, risque metier et creation de valeur. Maitrise des cadres normatifs internationaux et de leur articulation avec les obligations reglementaires europeennes 2026.
Concepts clés
Strategie securite, charte securite, comite de pilotage, RACI, KPI/KRI, alignement business-IT, culture securite. Frameworks : COBIT 2019, ISO 27001/27014, NIST CSF 2.0. Concepts de Business Case, Total Cost of Ownership, Return on Security Investment (ROSI). Modeles de gouvernance centralise vs decentralise, federe. Reporting au COMEX et au conseil d'administration. Obligations DORA pour la gouvernance ICT, exigences NIS2 sur la responsabilite des dirigeants.
Services / outils
Outils GRC : ServiceNow GRC, Archer RSA, MetricStream, OneTrust. Frameworks de reference : ISO 27001:2022, COBIT 2019, NIST CSF 2.0, ITIL 4. Reglementations cles : RGPD, NIS2, DORA, AI Act, eIDAS2.
Temps estimé
20-25h

Domain 2 : Information Security Risk Management 20%

Objectifs
Identifier, analyser, evaluer et traiter les risques pesant sur les actifs informationnels. Le candidat doit maitriser le cycle complet de gestion du risque : identification des menaces, evaluation des vulnerabilites, calcul d'impact, options de traitement et acceptation residuelle. Capacite a communiquer le risque en langage metier, prioriser selon l'appetence au risque et integrer les exigences supply chain. Connaissance des methodologies quantitatives et qualitatives d'analyse de risque applicables au contexte europeen reglementaire 2026.
Concepts clés
Risk appetite, risk tolerance, risk capacity, inherent vs residual risk. Methodologies : EBIOS RM, ISO 27005, NIST 800-30, FAIR (quantitatif), OCTAVE. Threat modeling : STRIDE, PASTA, attack trees. Concepts BIA (Business Impact Analysis), RTO, RPO, MTPD. Risk register, heat maps, KRI. Traitement : mitigation, transfert (assurance cyber), evitement, acceptation. Risques tiers et supply chain (obligation DORA art. 28-30).
Services / outils
Outils : EBIOS RM (ANSSI), FAIR-U, RiskLens, ServiceNow IRM. CVE/CVSS 4.0, MITRE ATT&CK v15, CAPEC. Threat intelligence : MISP, OpenCTI. Bases de connaissance : NVD, ENISA Threat Landscape 2025.
Temps estimé
25-30h

Domain 3 : Information Security Program 33%

Objectifs
Developper, mettre en oeuvre et gerer un programme de securite de l'information alignant ressources, processus et technologies sur la strategie definie. Domaine le plus volumineux de l'examen, il couvre la conception architecturale, le deploiement operationnel des controles, la gestion des ressources humaines securite, la sensibilisation et la mesure de performance. Capacite a piloter un PSSI complet, gerer le budget securite et coordonner les equipes operationnelles (SOC, CERT, GRC). Integration des principes Zero Trust et Security by Design.
Concepts clés
Defense in depth, Zero Trust Architecture (NIST SP 800-207), Security by Design. Controles : ISO 27002:2022 (93 controles, 4 themes), CIS Controls v8. IAM, PAM, MFA adaptatif, FIDO2. Cryptographie post-quantique (CRYSTALS-Kyber, Dilithium). DLP, CASB, SASE, SSE. SDLC securise : OWASP SAMM, BSIMM, DevSecOps. Awareness programs, phishing simulation. Metriques : MTTD, MTTR, security posture scoring.
Services / outils
SIEM : Splunk, Microsoft Sentinel, QRadar, Elastic Security. EDR/XDR : CrowdStrike Falcon, SentinelOne, Microsoft Defender XDR. IAM : Okta, Entra ID, CyberArk, Sailpoint. Cloud security : Wiz, Prisma Cloud, Defender for Cloud.
Temps estimé
40-50h

Domain 4 : Incident Management 30%

Objectifs
Planifier, etablir et gerer la capacite de detection, reponse et recuperation face aux incidents de securite. Le candidat doit maitriser le cycle complet incident : preparation, detection, analyse, containment, eradication, recuperation et retour d'experience. Capacite a piloter un CERT/CSIRT, coordonner la communication de crise et respecter les obligations de notification reglementaires (RGPD 72h, NIS2, DORA). Integration de la continuite d'activite (BCM) et de la reprise apres sinistre (DRP) dans une approche cyber-resilience globale.
Concepts clés
Cycle incident NIST SP 800-61r2, SANS PICERL. Classification d'incidents, escalade, war room. Forensics : chaine de custodie, ordre de volatilite, imaging. Threat hunting proactif, Purple Teaming. Communication de crise interne/externe, gestion mediatique. BCP/DRP : strategies hot/warm/cold site, tests d'exercice. Playbooks SOAR. Obligations notification : CNIL 72h, ANSSI NIS2, ACPR DORA 4h pour incidents majeurs.
Services / outils
SOAR : Splunk SOAR, Palo Alto XSOAR, Tines. Forensics : Volatility 3, Autopsy, FTK, X-Ways, Velociraptor. Frameworks : MITRE D3FEND, NIST SP 800-61r2, ENISA CSIRT Maturity. Plateformes : TheHive, MISP, RTIR.
Temps estimé
35-40h

Domain 5 : Supporting Tasks et integration transverse Transverse

Objectifs
Bien que l'examen 2026 ne presente que 4 domaines officiels notes, les Supporting Tasks transversales doivent etre maitrisees. Elles couvrent les competences soft skills indispensables au manager securite : communication strategique, negociation budgetaire, gestion d'equipe, conduite du changement et veille reglementaire continue. Capacite a influencer sans autorite hierarchique directe, a vulgariser les enjeux techniques pour un public dirigeant et a porter une culture securite positive dans l'organisation.
Concepts clés
Leadership transformationnel, intelligence emotionnelle, communication executive (pyramide de Minto). Negociation budgetaire, business case ROSI. Gestion projet : Agile, PRINCE2, PMI. Conduite du changement : Kotter, ADKAR. Veille : CERT-FR, ANSSI, ENISA, ISACA Journal. Ethique professionnelle ISACA Code of Ethics. Mentoring, recrutement talents cyber.
Services / outils
Communautes : ISACA Paris Chapter, CLUSIF, CESIN, ANSSI. Publications : ISACA Journal, ENISA reports, ANSSI guides. Plateformes veille : Feedly Pro, Tines, threat intelligence feeds. Outils gestion : Jira, Confluence, Monday, MS Project.
Temps estimé
10-15h

Plan de révision hebdomadaire

Plan de revision intensif sur 12 semaines (environ 150h totales). Semaine 1-2 : Lecture complete du CISM Review Manual 16th Edition (ISACA officiel). Cartographier les 4 domaines, identifier les zones de confort et faiblesses via auto-evaluation. Creer un planning personnalise avec 10-12h hebdomadaires. Semaine 3-4 : Approfondissement Domain 1 Governance. Lire COBIT 2019, ISO 27001:2022, NIST CSF 2.0. Realiser 50 questions QAE (Question Answer Explanation) du portail ISACA. Resumer chaque chapitre en mind maps. Semaine 5-6 : Domain 2 Risk Management. Pratiquer methodologies EBIOS RM et FAIR sur cas concrets. Construire un risk register fictif. 100 questions QAE ciblees. Etudier obligations DORA et NIS2 en detail. Semaine 7-9 : Domain 3 Program (33% de l'examen, priorite maximale). Approfondir ISO 27002:2022, Zero Trust, IAM, cryptographie. Suivre un cours video (Cybrary, Kelly Handerhan, Hemang Doshi). 200 questions QAE. Realiser un projet personnel d'architecture securite. Semaine 10 : Domain 4 Incident Management. Etudier NIST SP 800-61r2 en profondeur. Simuler tabletop exercises. Reviser obligations notification reglementaires. 150 questions QAE. Semaine 11 : Examens blancs complets en conditions reelles (4h chronometre). Viser minimum 75% sur 3 mocks consecutifs. Analyser chaque erreur. Reviser les zones faibles identifiees. Semaine 12 : Revision finale, fiches synthetiques, repos cognitif J-2 et J-1. Strategie examen : adopter le mindset 'manager securite' et non 'technicien', toujours choisir la reponse alignee sur la gouvernance et le risque metier.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

ISACA Official CISM Review Manual 16th Edition

Manuel officiel de reference, indispensable. Inclut QAE database avec 1000+ questions commentees.

Hemang Doshi CISM Course (Udemy)

Cours video le mieux note (4.7/5), aligne sur le nouveau syllabus 2024-2026. Environ 25h de contenu structure.

CISM Practice Quiz - Pocket Prep

Application mobile avec 1500+ questions, statistiques de progression et mode examen blanc chronometre.

ISACA Engage Community et CLUSIF France

Communaute officielle ISACA pour echanger avec certifies. CLUSIF organise des meetups RSSI mensuels a Paris.

5 erreurs classiques à éviter

  • Erreur 1 : Adopter une approche technicienne au lieu manageriale. CISM teste la pensee strategique du RSSI, pas les competences techniques. Toujours choisir la reponse alignee sur la gouvernance, le risque metier et l'alignement business, meme si une option technique semble plus precise.
  • Erreur 2 : Negliger Domain 3 Program qui represente 33% de l'examen. Beaucoup de candidats sur-investissent Governance par interet personnel. Allouer minimum 40h a Domain 3 et 35h a Domain 4 qui totalisent 63% des questions.
  • Erreur 3 : Ignorer la dimension reglementaire europeenne 2026 (NIS2, DORA, AI Act). L'examen integre desormais des scenarios bases sur ces frameworks. Etudier specifiquement les obligations dirigeants et notification incidents.
  • Erreur 4 : Confondre risk appetite (declare par direction) et risk tolerance (variation acceptable autour). Cette nuance revient sur 5 a 8 questions. Memoriser les definitions ISACA exactes, pas les variantes academiques.
  • Erreur 5 : Sous-estimer la phase de qualification d'experience post-examen. Reussir l'examen ne donne pas la certification. Preparer en parallele les attestations de 5 ans d'experience verifiees par employeurs, indispensables dans les 5 ans suivant la reussite.

5 questions types corrigées

Q1. Quel est l'objectif PRIMAIRE de l'etablissement d'une politique de securite de l'information ?
Réponse : B
La politique de securite est avant tout un instrument de gouvernance exprimant la volonte de la direction. Elle communique l'engagement et la direction strategique, pas les controles techniques (qui relevent des standards et procedures). L'audit et les couts sont des consequences, pas l'objectif primaire. CISM teste systematiquement la comprehension hierarchique : politique (direction) > standards (obligatoires) > procedures (operationnelles) > guidelines (recommandees). Cette distinction conceptuelle est fondamentale dans le Domain 1 Governance.
Q2. Lors de l'evaluation d'un risque residuel juge inacceptable malgre les controles existants, quelle est la MEILLEURE action du manager securite ?
Réponse : C
La decision d'acceptation ou de traitement appartient au business owner, pas au manager securite. Ce dernier conseille, evalue et presente les options (mitigation, transfert, evitement, acceptation) avec leurs couts et benefices. Implementer sans validation viole le principe d'alignement business. Le transfert par assurance n'est qu'une option parmi d'autres. Cette question illustre le mindset manager attendu : facilitateur de decision, pas decideur unilateral. Principe central du Domain 2.
Q3. Apres detection d'un ransomware sur 50 postes, quelle est la PREMIERE action du gestionnaire d'incident ?
Réponse : B
Le containment est la premiere priorite operationnelle pour arreter la propagation et limiter l'impact. Le cycle NIST SP 800-61r2 ordonne : Preparation, Detection/Analyse, Containment, Eradication, Recuperation, Post-incident. La notification CNIL intervient apres qualification du risque sur droits et libertes (jusqu'a 72h). La forensique suit le containment pour preserver les preuves. Le PCA s'active si l'impact metier le justifie apres evaluation initiale. Domain 4 Incident Management teste cette sequence systematiquement.

Voir plus de questions gratuites →

Carrière & salaire après CISM

En France 2026, un CISM certifie accede a des postes strategiques avec remunerations attractives. Salaires constates : RSSI junior (3-5 ans) 75-95k EUR, RSSI confirme 95-130k EUR, RSSI groupe/CISO 130-180k EUR plus bonus 15-30%. Consultant senior GRC : 700-1200 EUR/jour en freelance. Les secteurs bancaire, assurance et industriel offrent les meilleures conditions, dopes par DORA et NIS2. Evolution typique : Analyste securite -> Manager securite -> RSSI BU -> RSSI Groupe -> CISO/Directeur cybersecurite -> Chief Trust Officer. Certifications complementaires recommandees : CRISC (risk), CISA (audit), CCSP (cloud), CGEIT (IT gouvernance), Lead Auditor ISO 27001. Pour profils techniques visant le management, combiner CISM + CISSP maximise l'employabilite et la remuneration sur le marche europeen 2026.

Détail des salaires CISM en 2026 →

FAQ — CISM

Combien de temps faut-il pour preparer CISM ?

Comptez 120 a 180 heures de revision sur 10 a 14 semaines pour un professionnel deja experimente. Sans experience securite prealable, prevoyez 200h+ et envisagez d'abord CISA ou Security+ comme tremplin.

Cette certification est-elle reconnue en France ?

Oui, CISM est largement reconnue en France et en Europe. Elle est explicitement mentionnee dans plus de 4500 offres d'emploi LinkedIn France en 2026, particulierement pour les postes RSSI, manager GRC et consultant senior cybersecurite.

Quel est le taux de reussite a CISM ?

Le taux de reussite officiel n'est pas publie par ISACA mais estime entre 50 et 60% au premier passage. Avec preparation serieuse incluant 200+ questions QAE et 3 examens blancs, les taux montent a 75-85%.

Quel est le salaire apres CISM ?

En France 2026, salaire median post-CISM : 95k EUR pour RSSI confirme, 130k+ EUR pour RSSI groupe. Prime salariale moyenne de 25% vs profils equivalents non certifies selon ISACA Salary Survey 2025.

Faut-il une experience prealable ?

Oui, 5 ans d'experience securite information dont 3 en management dans au moins 3 des 4 domaines. Des waivers existent : -1 an pour CISA/CISSP, -2 ans pour Master en securite. Validation post-examen sous 5 ans.

CISM ou cert concurrente : laquelle choisir ?

CISM vs CISSP : CISM si visee management/RSSI, CISSP si profil technique senior. CISM vs CRISC : CISM couvre la gouvernance globale, CRISC se concentre sur le risque IT. Combinaison CISM+CISSP ideale pour evolution executive.

Combien coute l'examen CISM ?

Cout examen : 575 USD pour membres ISACA, 760 USD pour non-membres. Adhesion ISACA : 135 USD/an + 30 USD chapitre local. Maintenance annuelle : 45 USD membre, 85 USD non-membre. Budget total premiere annee : environ 900 EUR.

Combien de fois peut-on repasser CISM ?

Vous pouvez repasser jusqu'a 4 fois par periode de 12 mois consecutifs en respectant les delais : 30 jours apres premier echec, 90 jours entre les tentatives 2-3 et 3-4. Chaque tentative necessite paiement complet des frais.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc CISM → Test d'orientation