Episode 56 : Qui a encore besoin de la certification CISM de l'ISACA ? | Compliance Without coma

Description

Savez-vous que l'attrait pour la certification CISM de l'ISACA a chuté de manière significative ces dernières années ? Dans cet épisode captivant de Compliance Without Coma, Fabrice De Paepe nous plonge au cœur de cette problématique, partageant des statistiques alarmantes sur la baisse des ventes de cette certification prisée. Avec ses expériences de formation en France, en Belgique et au Luxembourg, il nous offre un aperçu unique sur les raisons de ce déclin et sur la manière dont cela impacte les professionnels de la sécurité de l'information.

Fabrice met en lumière l'importance cruciale d'une gouvernance solide en matière de sécurité de l'information, tout en discutant de l'évolution du marché vers des formations hybrides qui combinent coaching et apprentissage en ligne. Ces nouvelles approches permettent aux professionnels de se former de manière plus flexible et adaptée à leurs besoins spécifiques. Dans un contexte où la sécurité est plus que jamais au cœur des préoccupations des entreprises, il est essentiel de s'interroger sur la pertinence des certifications traditionnelles.

Au fil de la discussion, Fabrice identifie les profils qui pourraient encore tirer profit de la certification CISM, notamment les DSI, CISO et responsables de conformité. Cependant, il met également en garde contre la surabondance de certifications qui inonde le marché, rendant difficile le choix pour les professionnels en quête de reconnaissance. La question se pose alors : comment s'assurer que l'on investit dans une certification qui apporte une réelle valeur ajoutée ?

Fabrice insiste sur la nécessité d'aligner la sécurité de l'information avec les besoins business actuels et futurs. Il encourage les auditeurs à réfléchir à l'évolution de leurs compétences et à l'importance de l'expérience pratique dans ce domaine en constante évolution. Cet épisode de Compliance Without Coma est un incontournable pour quiconque souhaite naviguer avec succès dans le paysage complexe de la sécurité de l'information et des certifications.

Ne manquez pas cette occasion d'en apprendre davantage sur la certification CISM et ses implications, tout en découvrant des conseils pratiques pour renforcer votre expertise dans le domaine. Écoutez dès maintenant et préparez-vous à transformer votre approche de la conformité et de la sécurité de l'information !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

frenchpodcast.fr

compliancewithoutcoma.com

Et si tu es dans les bouchons, écoutes moi ;-)

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Elle n'est pas morte, mais elle n'est plus indispensable pour tout le monde. Et si tu as moins de 30 ans, peut-être même que tu n'en as jamais entendu parler. Tellement il y a du bruit sur toutes les autres certifs et l'IA autour de toi. Aujourd'hui, je te décortique pourquoi leCISM n'est plus aussi prisé qu'avant. Et ça, je ne l'invente pas. J'espère quand même qu'elle est plus utile que la brosse à dents de Gollum. Mon écosystème de formation est principalement sur la France, la Belgique et le Luxembourg. Je parle donc pour mon marché. Je vois bien que les ventes du CISM sont en chute libre depuis 4 ans. A ton avis, pourquoi ? Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cybersécurité et d'ISO 27001. Mais sans t'endormir, je suis Fabrice De Paepe et aujourd'hui, je te parle de la certification CISM de l'ISACA pour Certified Information Security Manager. N'oublie pas de liker, partager et discuter de cette certif au café avec ton CISO préféré. Bon les amis, le constat est là. Voici mes KPI. En 2023, on faisait encore une classe par trimestre. On a fait 4 sessions de 20 personnes au total. 2024, trois sessions, six personnes au total, trois classes de deux. Je n'ai donné qu'une session de deux, c'est un peu bizarre, car en remote, et pour dépanner un partenaire qui les vend à Lanzarote. Oui, là aussi je ne comprends pas, les gens préfèrent du remote à Lanzarote. Pourtant il y a un microclimat, on mange très bien, en dehors de la zone euro et de ces taxes, font que c'est un peu même moins cher que l'Espagne. Et d'un côté j'avais un hollandais, et de l'autre côté un angolais. Ensuite, 2025, 2 sessions, 5 personnes au total. Et 2026 alors ? Tu ne vois pas la tendance ? Elle n'est pas finie, je te rappelle. Mais en avril, jusqu'ici, 0 session validée pour l'instant. Donc je dirais peut-être qu'on va en faire une d'ici fin de l'année. Et donc tu vois la logique 4, 3, 2, 1. Et en 2027, la tendance serait donc 0, ce qui est positif. Alors ? Pourquoi je te partage mes chiffres ? Ça pourrait carrément me tuer, en disant que mon cours ne vaut rien, ou plus rien. Mais mesurer, c'est savoir. Et j'aime les chiffres et chiffrer. Donc, pas que dans les KPI's de SMSI d'ailleurs. Donc, on a adapté notre offre pour répondre au marché. Et ça, ça marche plutôt bien. On n'a pas entendu que ça dégringole. On l'a fait même depuis Covid. J'anticipe aussi la fin 2026, car l'ISACA va faire son alignement habituel, comme tous les deux ans. Donc si ça permet de vendre des livres Amazon, mises à jour et des CBK, tu sais, le fameux Common Body of Knowledge, et surtout me faire bosser six semaines avec mon co-auteur pour aligner tout cela, pour deux personnes qui vont peut-être le passer cette année, est-ce que c'est rentable ? Bon, j'ai bien ma petite idée de comment je vais faire évoluer les choses, tu le sens déjà. Et si t'es un coma breaker de la première heure, tu vois où je veux en venir. Mais j'ai déjà évoqué que les formations classiques de 4-5 jours disparaissaient au profit de l'hybride. C'est-à-dire, un peu d'IA de ton côté, voire beaucoup, des QCM en ligne, ça ça reste par contre, des cours en ligne, pour un gain de temps, c'est compréhensible, car oui, le marché évolue, et trop de certifs tuent la certif. Et de mon côté, ce que je vois depuis post-Covid, c'est que les formations classiques évoluent vers des sessions de coaching. Au revoir les bootcamps, quoi qu'il y en a encore, mais les cohortes sont moins fréquentes, et bienvenue dans l'univers augmenté. Les formations classiques de 4 jours disparaissent au profit de sessions de coaching, en accéléré. Donc, c'est pas une critique ou un pamphlet sur le CISM que je suis en train de te faire, mais plutôt une vision sur l'évolution du marché autour du CISM. Allez viens ! Suis-moi, je t'emmène au vent, je t'emmène au-dessus des gens. Bon, un peu de Louise Attaque. Alors quels sont encore vraiment les profils qui aujourd'hui ont besoin d'être certifiés CISM ? Ou de connaître le contenu du CISM ? Eh bien, perso je vois globalement les DSI, les managers sécurité et GRC, les CISO et futurs CISO, et encore ça dépend des structures. des responsables conformité, parce qu'il y a quand même quelque chose, ou plusieurs choses à apprendre. Et donc pour tous ces profils-là, et je ne suis pas exhaustif, mais tu verras l'ensemble, cela reste pertinent d'être certifié CISM. Car il y a une vision de gouvernance sur la sécurité de l'info, de gestion du risque de la sécurité de l'info. Et je ne te parle pas ISO 27001, ISO 31000, EBIOS Risk Manager, et tout ça. Là, je te perds dans les certifs. trop de certifs, tue la certif, tu as également une gestion de programme de la sécurité de l'info Tu sais, l'ensemble de contrôles ou de projets qui vont chapeauter un plan de transformation digitale, par exemple. Et la gestion des incidents, on ne parle que de ça aujourd'hui. Alors, tu ne le vois peut-être pas, mais je viens de te dire les 4 chapitres de la certification. Et en plein mode Dora, NIS 2, ISO 27001 en tout genre, on en a grandement besoin. Le tout premier chapitre, gouvernance, est le plus important pour moi, car c'est ce qu'il manque partout dans les entreprises. Et si tu regardes bien, il fait du sens. Tu installes une gouvernance, cela te permet de gérer tes risques. Grâce à cela, tu vas créer ton programme de sécurité de l'info, via de l'ISO 27001, du CYFUN, Cyber Fundamentals en Belgique, Merci NIS2, du RECIF en France, Merci NIS 2, du SOC 2, Type 2, du Part-IS , si tu es dans l'aviation, du TISAX dans l'automobile, etc. Et tu vas gérer les incidents in fine. Tu vois, je viens de boucler une boucle. Mais soyons clairs, il y a tellement de certifications sur le marché qu'on s'y perd. Donc si tu devais retenir qu'un chapitre, c'est le 1, gouvernance. Et quand je coache des gens encore qui veulent passer la certification, c'est là où je dois encore insister. Soyons clairs, le langage abstrait de l'ISACA est parfois compliqué pour les techniciens, peu habitués à ce langage léché. Mais je suis aussi technicien à la base. J'ai dû aussi apprendre ce langage, ce langage business. Mais tu vois, il faut parfois prendre un peu de hauteur si tu veux parler business. Et ça, tu sors de ta grotte, ça me rappelle un truc, et tu montes dans la hiérarchie. Mais qui a encore besoin du CISM ? Ben toi, consultant freelance qui m'écoute. Si tu réponds à des marchés publics via des plateformes de mise en relation, car le client final a demandé CISM, donc tu vois, là, un petite case. Et donc, si tu ne l'as pas, tu es filtré par le sourcing manager, qu'il faut avouer à la moitié de mon âge aujourd'hui. Donc t'es filtré. Et toi, CISO qui m'écoute, qui est dans une grande institution, ou ISO, Information Security Officer, tu en as besoin si tu veux gravir les échelons, ou si tu veux le poste de CISO la plupart du temps. Mais toi, le geek polytech, et qui connaît déjà tout le contenu, voire même mieux que moi. Oui, ça arrive. Et plutôt deux fois qu'une. Non, t'en as pas besoin. Tu as déjà ta place. Sauf peut-être une petite touchette de rappel sur le chapitre 1, la gouvernance. Je sais, j'insiste. Pas que je remette la tienne en doute, mais on verra comment tu peux en faire un levier pour étendre ta zone d'influence. Et là, je te parle de politique. Tiens, ça me rappelle mon épisode sur le prince de Machiavel. Pars l'écouter si tu me découvres. Et puis, si je devais résumer le CISM en une phrase, c'est aligner la sécurité de l'information sur le business. Soit à l'écoute du métier, comprends-le, et aide-le à aller plus vite en lui donnant de l'assurance là où il faut. Et c'est à la fois la partie la plus simple à comprendre, car tu penses business et tu trouves facilement les réponses aux questions de l'examen, et c'est à la fois la plus compliquée pour le technicien. Car tu n'as pas encore cette vision périphérique. Et c'est un ancien TECO qui te parle. Ça, tu sais déjà. Et oui, on parle stratégie. Si t'es CIO, pareil. Si t'as pas de masterplan pour aligner ton IT sur le business, t'es mort. Enfin, c'est encore toi qu'on appellera pour restaurer un backup. Et on verra ton architecture IT comme la Sagrada Familia à Barcelone. Et si tu n'es pas convaincu, fais ce que j'ai fait il y a 20 ans. Quand j'ai quitté ma fonction d'admin system, j'ai regardé les offres d'emploi et les certifications demandées. Et j'ai regardé ce qui revenait le plus souvent. Donc j'ai commencé par ISO 27001, 2005, oui ça file, en mode lead auditor, puis le CISSP, puis le CISA, rendement d'échelle oblige, et l'année suivante le CISM. Je te parle d'un temps que les moins de 20 ans ne peuvent pas connaître. Mais en ce temps-là... Tu ne pouvais pas aller plus vite. Car les examens ISACA étaient mondiaux et à la même date en juin et en décembre. Aujourd'hui, la donne est changée. C'est quand tu veux. Quand tu es prêt, boum, tu y vas. Mais attention, car parfois c'est théorique. Et c'est un peu trop vu comme le monde des bisounours. Ou formaté US. Et nous, ce qu'on fait de ce côté de l'Atlantique, je vais dire... je ne vais pas te l'apprendre, c'est parfois différent. Donc voilà, il y a un mindset à avoir, et il ne faut pas aller passer à la certification comme Casimir, en pensant que cela va être facile. Si t'as moins de 20 ans, voire même 30, Casimir était une sorte d'extraterrestre qui a bercé mon enfance. Une grande créature orange, bienveillante, un peu naïf, qui vit dans un univers joyeux où tout semble simple et accessible, presque sans danger. Mais donc le marché évolue. On valorise de plus en plus l'expérience réelle, les cas concrets, et la capacité à expliquer, et beaucoup moins les certifications théoriques. Et le CISM est un peu théorique. Donc on a le chapitre 1. Je te l'ai déjà en gros expliqué. J'ai quelques épisodes qui parlent de gouvernance, parmi la presque soixantaine d'épisodes. Le chapitre 2, c'est la gestion du risque. Et tu vas te retrouver donc dans le CISA, dans le CISSP, dans le 27001, dans le 27005, le 31000, j'en passe. Donc théorie des ensembles avec de belles intersections. Pratique pour ton étude si tu veux aller plus vite. Le chapitre 3, là, tu mets en place un programme de sécurité de l'info. Pas une Sagrada Familia, hein. Et là, il ne parle pas trop d'ISO 27001,à l'ISACA . Mais tu mets ce que tu veux dans ton programme. Tu peux mettre du NIS 2, du CyFun, du Récif, du Dora, du RGPD. Et le chapitre 3 sera, si tu veux, ta Maizena pour que la sauce prenne. Là, je vois souvent des programmes managers gérer cela dans des grandes institutions. Car un contrôle à part entière est un projet. Tu sais, le contrôle qui ramène ton risque à un niveau acceptable, parmi l'annexe A, les 93 contrôles. Où est-ce que j'en étais ? Et au final, en dessert, tu as l'assurance d'avoir une gestion des incidents qui tourne. Car ça va quand même planter à un moment donné. Et tu en auras besoin, de tes plans DR, de tes playbooks, de la communication dans ta gestion des incidents. Tiens, je ne t'avais pas encore parlé de l'ISO 27035. Mais voilà. 27035, c'est aussi l'ISO pour la gestion des incidents de sécurité. Il y a également un framework pour le NIST. D'ailleurs, je t'invite à aller lire ce que raconte le NIST, parce que déjà, ça a le mérite d'être gratuit. Et pour une fois, ce n'est pas toi le produit. Donc, ce que je t'encourage à faire aujourd'hui, selon ton secteur, va lire le NIST. Fais-toi ton propre... ta propre lecture, ça te servira aussi pour le CISM. Dis, je parle, mais... Tu te rends compte que ça fait déjà un an de podcast ? Le premier est sorti le 13 du 4 2025. Alors, j'ai des goodies pour toi, pour fêter notre première bougie. Et est-ce que tu imagines quel genre de goodies ? Ça ne sera pas un slip de Stark Industries. Non, je pensais plutôt à un carnet de notes A5 ou un mug. En attendant peut-être la suite... et une version 2 du site ComplianceWithOutComa avec un shop. Certains d'entre vous ont déjà reçu ce genre de goodies, mais peut-être pas les autres comma breakers qui me découvrent. Alors si t'es intéressé, DM-moi avec ce que tu veux, et je te l'envoie, tu sais où me trouver. Voilà, on arrive au bout de cet épisode, et si t'as apprécié, n'hésite pas à commenter, partager, en discuter, évidemment avec ton CISP préféré, ou me dire si tu en veux d'autres dans le style. Parce qu'il y a beaucoup de certifications dans le périmètre GRC, n'est-ce pas ? Je te dis déjà à vendredi prochain pour un nouvel épisode de Compliance Without Coma.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

frenchpodcast.fr

compliancewithoutcoma.com

Et si tu es dans les bouchons, écoutes moi ;-)

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Elle n'est pas morte, mais elle n'est plus indispensable pour tout le monde. Et si tu as moins de 30 ans, peut-être même que tu n'en as jamais entendu parler. Tellement il y a du bruit sur toutes les autres certifs et l'IA autour de toi. Aujourd'hui, je te décortique pourquoi leCISM n'est plus aussi prisé qu'avant. Et ça, je ne l'invente pas. J'espère quand même qu'elle est plus utile que la brosse à dents de Gollum. Mon écosystème de formation est principalement sur la France, la Belgique et le Luxembourg. Je parle donc pour mon marché. Je vois bien que les ventes du CISM sont en chute libre depuis 4 ans. A ton avis, pourquoi ? Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cybersécurité et d'ISO 27001. Mais sans t'endormir, je suis Fabrice De Paepe et aujourd'hui, je te parle de la certification CISM de l'ISACA pour Certified Information Security Manager. N'oublie pas de liker, partager et discuter de cette certif au café avec ton CISO préféré. Bon les amis, le constat est là. Voici mes KPI. En 2023, on faisait encore une classe par trimestre. On a fait 4 sessions de 20 personnes au total. 2024, trois sessions, six personnes au total, trois classes de deux. Je n'ai donné qu'une session de deux, c'est un peu bizarre, car en remote, et pour dépanner un partenaire qui les vend à Lanzarote. Oui, là aussi je ne comprends pas, les gens préfèrent du remote à Lanzarote. Pourtant il y a un microclimat, on mange très bien, en dehors de la zone euro et de ces taxes, font que c'est un peu même moins cher que l'Espagne. Et d'un côté j'avais un hollandais, et de l'autre côté un angolais. Ensuite, 2025, 2 sessions, 5 personnes au total. Et 2026 alors ? Tu ne vois pas la tendance ? Elle n'est pas finie, je te rappelle. Mais en avril, jusqu'ici, 0 session validée pour l'instant. Donc je dirais peut-être qu'on va en faire une d'ici fin de l'année. Et donc tu vois la logique 4, 3, 2, 1. Et en 2027, la tendance serait donc 0, ce qui est positif. Alors ? Pourquoi je te partage mes chiffres ? Ça pourrait carrément me tuer, en disant que mon cours ne vaut rien, ou plus rien. Mais mesurer, c'est savoir. Et j'aime les chiffres et chiffrer. Donc, pas que dans les KPI's de SMSI d'ailleurs. Donc, on a adapté notre offre pour répondre au marché. Et ça, ça marche plutôt bien. On n'a pas entendu que ça dégringole. On l'a fait même depuis Covid. J'anticipe aussi la fin 2026, car l'ISACA va faire son alignement habituel, comme tous les deux ans. Donc si ça permet de vendre des livres Amazon, mises à jour et des CBK, tu sais, le fameux Common Body of Knowledge, et surtout me faire bosser six semaines avec mon co-auteur pour aligner tout cela, pour deux personnes qui vont peut-être le passer cette année, est-ce que c'est rentable ? Bon, j'ai bien ma petite idée de comment je vais faire évoluer les choses, tu le sens déjà. Et si t'es un coma breaker de la première heure, tu vois où je veux en venir. Mais j'ai déjà évoqué que les formations classiques de 4-5 jours disparaissaient au profit de l'hybride. C'est-à-dire, un peu d'IA de ton côté, voire beaucoup, des QCM en ligne, ça ça reste par contre, des cours en ligne, pour un gain de temps, c'est compréhensible, car oui, le marché évolue, et trop de certifs tuent la certif. Et de mon côté, ce que je vois depuis post-Covid, c'est que les formations classiques évoluent vers des sessions de coaching. Au revoir les bootcamps, quoi qu'il y en a encore, mais les cohortes sont moins fréquentes, et bienvenue dans l'univers augmenté. Les formations classiques de 4 jours disparaissent au profit de sessions de coaching, en accéléré. Donc, c'est pas une critique ou un pamphlet sur le CISM que je suis en train de te faire, mais plutôt une vision sur l'évolution du marché autour du CISM. Allez viens ! Suis-moi, je t'emmène au vent, je t'emmène au-dessus des gens. Bon, un peu de Louise Attaque. Alors quels sont encore vraiment les profils qui aujourd'hui ont besoin d'être certifiés CISM ? Ou de connaître le contenu du CISM ? Eh bien, perso je vois globalement les DSI, les managers sécurité et GRC, les CISO et futurs CISO, et encore ça dépend des structures. des responsables conformité, parce qu'il y a quand même quelque chose, ou plusieurs choses à apprendre. Et donc pour tous ces profils-là, et je ne suis pas exhaustif, mais tu verras l'ensemble, cela reste pertinent d'être certifié CISM. Car il y a une vision de gouvernance sur la sécurité de l'info, de gestion du risque de la sécurité de l'info. Et je ne te parle pas ISO 27001, ISO 31000, EBIOS Risk Manager, et tout ça. Là, je te perds dans les certifs. trop de certifs, tue la certif, tu as également une gestion de programme de la sécurité de l'info Tu sais, l'ensemble de contrôles ou de projets qui vont chapeauter un plan de transformation digitale, par exemple. Et la gestion des incidents, on ne parle que de ça aujourd'hui. Alors, tu ne le vois peut-être pas, mais je viens de te dire les 4 chapitres de la certification. Et en plein mode Dora, NIS 2, ISO 27001 en tout genre, on en a grandement besoin. Le tout premier chapitre, gouvernance, est le plus important pour moi, car c'est ce qu'il manque partout dans les entreprises. Et si tu regardes bien, il fait du sens. Tu installes une gouvernance, cela te permet de gérer tes risques. Grâce à cela, tu vas créer ton programme de sécurité de l'info, via de l'ISO 27001, du CYFUN, Cyber Fundamentals en Belgique, Merci NIS2, du RECIF en France, Merci NIS 2, du SOC 2, Type 2, du Part-IS , si tu es dans l'aviation, du TISAX dans l'automobile, etc. Et tu vas gérer les incidents in fine. Tu vois, je viens de boucler une boucle. Mais soyons clairs, il y a tellement de certifications sur le marché qu'on s'y perd. Donc si tu devais retenir qu'un chapitre, c'est le 1, gouvernance. Et quand je coache des gens encore qui veulent passer la certification, c'est là où je dois encore insister. Soyons clairs, le langage abstrait de l'ISACA est parfois compliqué pour les techniciens, peu habitués à ce langage léché. Mais je suis aussi technicien à la base. J'ai dû aussi apprendre ce langage, ce langage business. Mais tu vois, il faut parfois prendre un peu de hauteur si tu veux parler business. Et ça, tu sors de ta grotte, ça me rappelle un truc, et tu montes dans la hiérarchie. Mais qui a encore besoin du CISM ? Ben toi, consultant freelance qui m'écoute. Si tu réponds à des marchés publics via des plateformes de mise en relation, car le client final a demandé CISM, donc tu vois, là, un petite case. Et donc, si tu ne l'as pas, tu es filtré par le sourcing manager, qu'il faut avouer à la moitié de mon âge aujourd'hui. Donc t'es filtré. Et toi, CISO qui m'écoute, qui est dans une grande institution, ou ISO, Information Security Officer, tu en as besoin si tu veux gravir les échelons, ou si tu veux le poste de CISO la plupart du temps. Mais toi, le geek polytech, et qui connaît déjà tout le contenu, voire même mieux que moi. Oui, ça arrive. Et plutôt deux fois qu'une. Non, t'en as pas besoin. Tu as déjà ta place. Sauf peut-être une petite touchette de rappel sur le chapitre 1, la gouvernance. Je sais, j'insiste. Pas que je remette la tienne en doute, mais on verra comment tu peux en faire un levier pour étendre ta zone d'influence. Et là, je te parle de politique. Tiens, ça me rappelle mon épisode sur le prince de Machiavel. Pars l'écouter si tu me découvres. Et puis, si je devais résumer le CISM en une phrase, c'est aligner la sécurité de l'information sur le business. Soit à l'écoute du métier, comprends-le, et aide-le à aller plus vite en lui donnant de l'assurance là où il faut. Et c'est à la fois la partie la plus simple à comprendre, car tu penses business et tu trouves facilement les réponses aux questions de l'examen, et c'est à la fois la plus compliquée pour le technicien. Car tu n'as pas encore cette vision périphérique. Et c'est un ancien TECO qui te parle. Ça, tu sais déjà. Et oui, on parle stratégie. Si t'es CIO, pareil. Si t'as pas de masterplan pour aligner ton IT sur le business, t'es mort. Enfin, c'est encore toi qu'on appellera pour restaurer un backup. Et on verra ton architecture IT comme la Sagrada Familia à Barcelone. Et si tu n'es pas convaincu, fais ce que j'ai fait il y a 20 ans. Quand j'ai quitté ma fonction d'admin system, j'ai regardé les offres d'emploi et les certifications demandées. Et j'ai regardé ce qui revenait le plus souvent. Donc j'ai commencé par ISO 27001, 2005, oui ça file, en mode lead auditor, puis le CISSP, puis le CISA, rendement d'échelle oblige, et l'année suivante le CISM. Je te parle d'un temps que les moins de 20 ans ne peuvent pas connaître. Mais en ce temps-là... Tu ne pouvais pas aller plus vite. Car les examens ISACA étaient mondiaux et à la même date en juin et en décembre. Aujourd'hui, la donne est changée. C'est quand tu veux. Quand tu es prêt, boum, tu y vas. Mais attention, car parfois c'est théorique. Et c'est un peu trop vu comme le monde des bisounours. Ou formaté US. Et nous, ce qu'on fait de ce côté de l'Atlantique, je vais dire... je ne vais pas te l'apprendre, c'est parfois différent. Donc voilà, il y a un mindset à avoir, et il ne faut pas aller passer à la certification comme Casimir, en pensant que cela va être facile. Si t'as moins de 20 ans, voire même 30, Casimir était une sorte d'extraterrestre qui a bercé mon enfance. Une grande créature orange, bienveillante, un peu naïf, qui vit dans un univers joyeux où tout semble simple et accessible, presque sans danger. Mais donc le marché évolue. On valorise de plus en plus l'expérience réelle, les cas concrets, et la capacité à expliquer, et beaucoup moins les certifications théoriques. Et le CISM est un peu théorique. Donc on a le chapitre 1. Je te l'ai déjà en gros expliqué. J'ai quelques épisodes qui parlent de gouvernance, parmi la presque soixantaine d'épisodes. Le chapitre 2, c'est la gestion du risque. Et tu vas te retrouver donc dans le CISA, dans le CISSP, dans le 27001, dans le 27005, le 31000, j'en passe. Donc théorie des ensembles avec de belles intersections. Pratique pour ton étude si tu veux aller plus vite. Le chapitre 3, là, tu mets en place un programme de sécurité de l'info. Pas une Sagrada Familia, hein. Et là, il ne parle pas trop d'ISO 27001,à l'ISACA . Mais tu mets ce que tu veux dans ton programme. Tu peux mettre du NIS 2, du CyFun, du Récif, du Dora, du RGPD. Et le chapitre 3 sera, si tu veux, ta Maizena pour que la sauce prenne. Là, je vois souvent des programmes managers gérer cela dans des grandes institutions. Car un contrôle à part entière est un projet. Tu sais, le contrôle qui ramène ton risque à un niveau acceptable, parmi l'annexe A, les 93 contrôles. Où est-ce que j'en étais ? Et au final, en dessert, tu as l'assurance d'avoir une gestion des incidents qui tourne. Car ça va quand même planter à un moment donné. Et tu en auras besoin, de tes plans DR, de tes playbooks, de la communication dans ta gestion des incidents. Tiens, je ne t'avais pas encore parlé de l'ISO 27035. Mais voilà. 27035, c'est aussi l'ISO pour la gestion des incidents de sécurité. Il y a également un framework pour le NIST. D'ailleurs, je t'invite à aller lire ce que raconte le NIST, parce que déjà, ça a le mérite d'être gratuit. Et pour une fois, ce n'est pas toi le produit. Donc, ce que je t'encourage à faire aujourd'hui, selon ton secteur, va lire le NIST. Fais-toi ton propre... ta propre lecture, ça te servira aussi pour le CISM. Dis, je parle, mais... Tu te rends compte que ça fait déjà un an de podcast ? Le premier est sorti le 13 du 4 2025. Alors, j'ai des goodies pour toi, pour fêter notre première bougie. Et est-ce que tu imagines quel genre de goodies ? Ça ne sera pas un slip de Stark Industries. Non, je pensais plutôt à un carnet de notes A5 ou un mug. En attendant peut-être la suite... et une version 2 du site ComplianceWithOutComa avec un shop. Certains d'entre vous ont déjà reçu ce genre de goodies, mais peut-être pas les autres comma breakers qui me découvrent. Alors si t'es intéressé, DM-moi avec ce que tu veux, et je te l'envoie, tu sais où me trouver. Voilà, on arrive au bout de cet épisode, et si t'as apprécié, n'hésite pas à commenter, partager, en discuter, évidemment avec ton CISP préféré, ou me dire si tu en veux d'autres dans le style. Parce qu'il y a beaucoup de certifications dans le périmètre GRC, n'est-ce pas ? Je te dis déjà à vendredi prochain pour un nouvel épisode de Compliance Without Coma.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

frenchpodcast.fr

compliancewithoutcoma.com

Et si tu es dans les bouchons, écoutes moi ;-)

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Elle n'est pas morte, mais elle n'est plus indispensable pour tout le monde. Et si tu as moins de 30 ans, peut-être même que tu n'en as jamais entendu parler. Tellement il y a du bruit sur toutes les autres certifs et l'IA autour de toi. Aujourd'hui, je te décortique pourquoi leCISM n'est plus aussi prisé qu'avant. Et ça, je ne l'invente pas. J'espère quand même qu'elle est plus utile que la brosse à dents de Gollum. Mon écosystème de formation est principalement sur la France, la Belgique et le Luxembourg. Je parle donc pour mon marché. Je vois bien que les ventes du CISM sont en chute libre depuis 4 ans. A ton avis, pourquoi ? Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cybersécurité et d'ISO 27001. Mais sans t'endormir, je suis Fabrice De Paepe et aujourd'hui, je te parle de la certification CISM de l'ISACA pour Certified Information Security Manager. N'oublie pas de liker, partager et discuter de cette certif au café avec ton CISO préféré. Bon les amis, le constat est là. Voici mes KPI. En 2023, on faisait encore une classe par trimestre. On a fait 4 sessions de 20 personnes au total. 2024, trois sessions, six personnes au total, trois classes de deux. Je n'ai donné qu'une session de deux, c'est un peu bizarre, car en remote, et pour dépanner un partenaire qui les vend à Lanzarote. Oui, là aussi je ne comprends pas, les gens préfèrent du remote à Lanzarote. Pourtant il y a un microclimat, on mange très bien, en dehors de la zone euro et de ces taxes, font que c'est un peu même moins cher que l'Espagne. Et d'un côté j'avais un hollandais, et de l'autre côté un angolais. Ensuite, 2025, 2 sessions, 5 personnes au total. Et 2026 alors ? Tu ne vois pas la tendance ? Elle n'est pas finie, je te rappelle. Mais en avril, jusqu'ici, 0 session validée pour l'instant. Donc je dirais peut-être qu'on va en faire une d'ici fin de l'année. Et donc tu vois la logique 4, 3, 2, 1. Et en 2027, la tendance serait donc 0, ce qui est positif. Alors ? Pourquoi je te partage mes chiffres ? Ça pourrait carrément me tuer, en disant que mon cours ne vaut rien, ou plus rien. Mais mesurer, c'est savoir. Et j'aime les chiffres et chiffrer. Donc, pas que dans les KPI's de SMSI d'ailleurs. Donc, on a adapté notre offre pour répondre au marché. Et ça, ça marche plutôt bien. On n'a pas entendu que ça dégringole. On l'a fait même depuis Covid. J'anticipe aussi la fin 2026, car l'ISACA va faire son alignement habituel, comme tous les deux ans. Donc si ça permet de vendre des livres Amazon, mises à jour et des CBK, tu sais, le fameux Common Body of Knowledge, et surtout me faire bosser six semaines avec mon co-auteur pour aligner tout cela, pour deux personnes qui vont peut-être le passer cette année, est-ce que c'est rentable ? Bon, j'ai bien ma petite idée de comment je vais faire évoluer les choses, tu le sens déjà. Et si t'es un coma breaker de la première heure, tu vois où je veux en venir. Mais j'ai déjà évoqué que les formations classiques de 4-5 jours disparaissaient au profit de l'hybride. C'est-à-dire, un peu d'IA de ton côté, voire beaucoup, des QCM en ligne, ça ça reste par contre, des cours en ligne, pour un gain de temps, c'est compréhensible, car oui, le marché évolue, et trop de certifs tuent la certif. Et de mon côté, ce que je vois depuis post-Covid, c'est que les formations classiques évoluent vers des sessions de coaching. Au revoir les bootcamps, quoi qu'il y en a encore, mais les cohortes sont moins fréquentes, et bienvenue dans l'univers augmenté. Les formations classiques de 4 jours disparaissent au profit de sessions de coaching, en accéléré. Donc, c'est pas une critique ou un pamphlet sur le CISM que je suis en train de te faire, mais plutôt une vision sur l'évolution du marché autour du CISM. Allez viens ! Suis-moi, je t'emmène au vent, je t'emmène au-dessus des gens. Bon, un peu de Louise Attaque. Alors quels sont encore vraiment les profils qui aujourd'hui ont besoin d'être certifiés CISM ? Ou de connaître le contenu du CISM ? Eh bien, perso je vois globalement les DSI, les managers sécurité et GRC, les CISO et futurs CISO, et encore ça dépend des structures. des responsables conformité, parce qu'il y a quand même quelque chose, ou plusieurs choses à apprendre. Et donc pour tous ces profils-là, et je ne suis pas exhaustif, mais tu verras l'ensemble, cela reste pertinent d'être certifié CISM. Car il y a une vision de gouvernance sur la sécurité de l'info, de gestion du risque de la sécurité de l'info. Et je ne te parle pas ISO 27001, ISO 31000, EBIOS Risk Manager, et tout ça. Là, je te perds dans les certifs. trop de certifs, tue la certif, tu as également une gestion de programme de la sécurité de l'info Tu sais, l'ensemble de contrôles ou de projets qui vont chapeauter un plan de transformation digitale, par exemple. Et la gestion des incidents, on ne parle que de ça aujourd'hui. Alors, tu ne le vois peut-être pas, mais je viens de te dire les 4 chapitres de la certification. Et en plein mode Dora, NIS 2, ISO 27001 en tout genre, on en a grandement besoin. Le tout premier chapitre, gouvernance, est le plus important pour moi, car c'est ce qu'il manque partout dans les entreprises. Et si tu regardes bien, il fait du sens. Tu installes une gouvernance, cela te permet de gérer tes risques. Grâce à cela, tu vas créer ton programme de sécurité de l'info, via de l'ISO 27001, du CYFUN, Cyber Fundamentals en Belgique, Merci NIS2, du RECIF en France, Merci NIS 2, du SOC 2, Type 2, du Part-IS , si tu es dans l'aviation, du TISAX dans l'automobile, etc. Et tu vas gérer les incidents in fine. Tu vois, je viens de boucler une boucle. Mais soyons clairs, il y a tellement de certifications sur le marché qu'on s'y perd. Donc si tu devais retenir qu'un chapitre, c'est le 1, gouvernance. Et quand je coache des gens encore qui veulent passer la certification, c'est là où je dois encore insister. Soyons clairs, le langage abstrait de l'ISACA est parfois compliqué pour les techniciens, peu habitués à ce langage léché. Mais je suis aussi technicien à la base. J'ai dû aussi apprendre ce langage, ce langage business. Mais tu vois, il faut parfois prendre un peu de hauteur si tu veux parler business. Et ça, tu sors de ta grotte, ça me rappelle un truc, et tu montes dans la hiérarchie. Mais qui a encore besoin du CISM ? Ben toi, consultant freelance qui m'écoute. Si tu réponds à des marchés publics via des plateformes de mise en relation, car le client final a demandé CISM, donc tu vois, là, un petite case. Et donc, si tu ne l'as pas, tu es filtré par le sourcing manager, qu'il faut avouer à la moitié de mon âge aujourd'hui. Donc t'es filtré. Et toi, CISO qui m'écoute, qui est dans une grande institution, ou ISO, Information Security Officer, tu en as besoin si tu veux gravir les échelons, ou si tu veux le poste de CISO la plupart du temps. Mais toi, le geek polytech, et qui connaît déjà tout le contenu, voire même mieux que moi. Oui, ça arrive. Et plutôt deux fois qu'une. Non, t'en as pas besoin. Tu as déjà ta place. Sauf peut-être une petite touchette de rappel sur le chapitre 1, la gouvernance. Je sais, j'insiste. Pas que je remette la tienne en doute, mais on verra comment tu peux en faire un levier pour étendre ta zone d'influence. Et là, je te parle de politique. Tiens, ça me rappelle mon épisode sur le prince de Machiavel. Pars l'écouter si tu me découvres. Et puis, si je devais résumer le CISM en une phrase, c'est aligner la sécurité de l'information sur le business. Soit à l'écoute du métier, comprends-le, et aide-le à aller plus vite en lui donnant de l'assurance là où il faut. Et c'est à la fois la partie la plus simple à comprendre, car tu penses business et tu trouves facilement les réponses aux questions de l'examen, et c'est à la fois la plus compliquée pour le technicien. Car tu n'as pas encore cette vision périphérique. Et c'est un ancien TECO qui te parle. Ça, tu sais déjà. Et oui, on parle stratégie. Si t'es CIO, pareil. Si t'as pas de masterplan pour aligner ton IT sur le business, t'es mort. Enfin, c'est encore toi qu'on appellera pour restaurer un backup. Et on verra ton architecture IT comme la Sagrada Familia à Barcelone. Et si tu n'es pas convaincu, fais ce que j'ai fait il y a 20 ans. Quand j'ai quitté ma fonction d'admin system, j'ai regardé les offres d'emploi et les certifications demandées. Et j'ai regardé ce qui revenait le plus souvent. Donc j'ai commencé par ISO 27001, 2005, oui ça file, en mode lead auditor, puis le CISSP, puis le CISA, rendement d'échelle oblige, et l'année suivante le CISM. Je te parle d'un temps que les moins de 20 ans ne peuvent pas connaître. Mais en ce temps-là... Tu ne pouvais pas aller plus vite. Car les examens ISACA étaient mondiaux et à la même date en juin et en décembre. Aujourd'hui, la donne est changée. C'est quand tu veux. Quand tu es prêt, boum, tu y vas. Mais attention, car parfois c'est théorique. Et c'est un peu trop vu comme le monde des bisounours. Ou formaté US. Et nous, ce qu'on fait de ce côté de l'Atlantique, je vais dire... je ne vais pas te l'apprendre, c'est parfois différent. Donc voilà, il y a un mindset à avoir, et il ne faut pas aller passer à la certification comme Casimir, en pensant que cela va être facile. Si t'as moins de 20 ans, voire même 30, Casimir était une sorte d'extraterrestre qui a bercé mon enfance. Une grande créature orange, bienveillante, un peu naïf, qui vit dans un univers joyeux où tout semble simple et accessible, presque sans danger. Mais donc le marché évolue. On valorise de plus en plus l'expérience réelle, les cas concrets, et la capacité à expliquer, et beaucoup moins les certifications théoriques. Et le CISM est un peu théorique. Donc on a le chapitre 1. Je te l'ai déjà en gros expliqué. J'ai quelques épisodes qui parlent de gouvernance, parmi la presque soixantaine d'épisodes. Le chapitre 2, c'est la gestion du risque. Et tu vas te retrouver donc dans le CISA, dans le CISSP, dans le 27001, dans le 27005, le 31000, j'en passe. Donc théorie des ensembles avec de belles intersections. Pratique pour ton étude si tu veux aller plus vite. Le chapitre 3, là, tu mets en place un programme de sécurité de l'info. Pas une Sagrada Familia, hein. Et là, il ne parle pas trop d'ISO 27001,à l'ISACA . Mais tu mets ce que tu veux dans ton programme. Tu peux mettre du NIS 2, du CyFun, du Récif, du Dora, du RGPD. Et le chapitre 3 sera, si tu veux, ta Maizena pour que la sauce prenne. Là, je vois souvent des programmes managers gérer cela dans des grandes institutions. Car un contrôle à part entière est un projet. Tu sais, le contrôle qui ramène ton risque à un niveau acceptable, parmi l'annexe A, les 93 contrôles. Où est-ce que j'en étais ? Et au final, en dessert, tu as l'assurance d'avoir une gestion des incidents qui tourne. Car ça va quand même planter à un moment donné. Et tu en auras besoin, de tes plans DR, de tes playbooks, de la communication dans ta gestion des incidents. Tiens, je ne t'avais pas encore parlé de l'ISO 27035. Mais voilà. 27035, c'est aussi l'ISO pour la gestion des incidents de sécurité. Il y a également un framework pour le NIST. D'ailleurs, je t'invite à aller lire ce que raconte le NIST, parce que déjà, ça a le mérite d'être gratuit. Et pour une fois, ce n'est pas toi le produit. Donc, ce que je t'encourage à faire aujourd'hui, selon ton secteur, va lire le NIST. Fais-toi ton propre... ta propre lecture, ça te servira aussi pour le CISM. Dis, je parle, mais... Tu te rends compte que ça fait déjà un an de podcast ? Le premier est sorti le 13 du 4 2025. Alors, j'ai des goodies pour toi, pour fêter notre première bougie. Et est-ce que tu imagines quel genre de goodies ? Ça ne sera pas un slip de Stark Industries. Non, je pensais plutôt à un carnet de notes A5 ou un mug. En attendant peut-être la suite... et une version 2 du site ComplianceWithOutComa avec un shop. Certains d'entre vous ont déjà reçu ce genre de goodies, mais peut-être pas les autres comma breakers qui me découvrent. Alors si t'es intéressé, DM-moi avec ce que tu veux, et je te l'envoie, tu sais où me trouver. Voilà, on arrive au bout de cet épisode, et si t'as apprécié, n'hésite pas à commenter, partager, en discuter, évidemment avec ton CISP préféré, ou me dire si tu en veux d'autres dans le style. Parce qu'il y a beaucoup de certifications dans le périmètre GRC, n'est-ce pas ? Je te dis déjà à vendredi prochain pour un nouvel épisode de Compliance Without Coma.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

frenchpodcast.fr

compliancewithoutcoma.com

Et si tu es dans les bouchons, écoutes moi ;-)

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Elle n'est pas morte, mais elle n'est plus indispensable pour tout le monde. Et si tu as moins de 30 ans, peut-être même que tu n'en as jamais entendu parler. Tellement il y a du bruit sur toutes les autres certifs et l'IA autour de toi. Aujourd'hui, je te décortique pourquoi leCISM n'est plus aussi prisé qu'avant. Et ça, je ne l'invente pas. J'espère quand même qu'elle est plus utile que la brosse à dents de Gollum. Mon écosystème de formation est principalement sur la France, la Belgique et le Luxembourg. Je parle donc pour mon marché. Je vois bien que les ventes du CISM sont en chute libre depuis 4 ans. A ton avis, pourquoi ? Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cybersécurité et d'ISO 27001. Mais sans t'endormir, je suis Fabrice De Paepe et aujourd'hui, je te parle de la certification CISM de l'ISACA pour Certified Information Security Manager. N'oublie pas de liker, partager et discuter de cette certif au café avec ton CISO préféré. Bon les amis, le constat est là. Voici mes KPI. En 2023, on faisait encore une classe par trimestre. On a fait 4 sessions de 20 personnes au total. 2024, trois sessions, six personnes au total, trois classes de deux. Je n'ai donné qu'une session de deux, c'est un peu bizarre, car en remote, et pour dépanner un partenaire qui les vend à Lanzarote. Oui, là aussi je ne comprends pas, les gens préfèrent du remote à Lanzarote. Pourtant il y a un microclimat, on mange très bien, en dehors de la zone euro et de ces taxes, font que c'est un peu même moins cher que l'Espagne. Et d'un côté j'avais un hollandais, et de l'autre côté un angolais. Ensuite, 2025, 2 sessions, 5 personnes au total. Et 2026 alors ? Tu ne vois pas la tendance ? Elle n'est pas finie, je te rappelle. Mais en avril, jusqu'ici, 0 session validée pour l'instant. Donc je dirais peut-être qu'on va en faire une d'ici fin de l'année. Et donc tu vois la logique 4, 3, 2, 1. Et en 2027, la tendance serait donc 0, ce qui est positif. Alors ? Pourquoi je te partage mes chiffres ? Ça pourrait carrément me tuer, en disant que mon cours ne vaut rien, ou plus rien. Mais mesurer, c'est savoir. Et j'aime les chiffres et chiffrer. Donc, pas que dans les KPI's de SMSI d'ailleurs. Donc, on a adapté notre offre pour répondre au marché. Et ça, ça marche plutôt bien. On n'a pas entendu que ça dégringole. On l'a fait même depuis Covid. J'anticipe aussi la fin 2026, car l'ISACA va faire son alignement habituel, comme tous les deux ans. Donc si ça permet de vendre des livres Amazon, mises à jour et des CBK, tu sais, le fameux Common Body of Knowledge, et surtout me faire bosser six semaines avec mon co-auteur pour aligner tout cela, pour deux personnes qui vont peut-être le passer cette année, est-ce que c'est rentable ? Bon, j'ai bien ma petite idée de comment je vais faire évoluer les choses, tu le sens déjà. Et si t'es un coma breaker de la première heure, tu vois où je veux en venir. Mais j'ai déjà évoqué que les formations classiques de 4-5 jours disparaissaient au profit de l'hybride. C'est-à-dire, un peu d'IA de ton côté, voire beaucoup, des QCM en ligne, ça ça reste par contre, des cours en ligne, pour un gain de temps, c'est compréhensible, car oui, le marché évolue, et trop de certifs tuent la certif. Et de mon côté, ce que je vois depuis post-Covid, c'est que les formations classiques évoluent vers des sessions de coaching. Au revoir les bootcamps, quoi qu'il y en a encore, mais les cohortes sont moins fréquentes, et bienvenue dans l'univers augmenté. Les formations classiques de 4 jours disparaissent au profit de sessions de coaching, en accéléré. Donc, c'est pas une critique ou un pamphlet sur le CISM que je suis en train de te faire, mais plutôt une vision sur l'évolution du marché autour du CISM. Allez viens ! Suis-moi, je t'emmène au vent, je t'emmène au-dessus des gens. Bon, un peu de Louise Attaque. Alors quels sont encore vraiment les profils qui aujourd'hui ont besoin d'être certifiés CISM ? Ou de connaître le contenu du CISM ? Eh bien, perso je vois globalement les DSI, les managers sécurité et GRC, les CISO et futurs CISO, et encore ça dépend des structures. des responsables conformité, parce qu'il y a quand même quelque chose, ou plusieurs choses à apprendre. Et donc pour tous ces profils-là, et je ne suis pas exhaustif, mais tu verras l'ensemble, cela reste pertinent d'être certifié CISM. Car il y a une vision de gouvernance sur la sécurité de l'info, de gestion du risque de la sécurité de l'info. Et je ne te parle pas ISO 27001, ISO 31000, EBIOS Risk Manager, et tout ça. Là, je te perds dans les certifs. trop de certifs, tue la certif, tu as également une gestion de programme de la sécurité de l'info Tu sais, l'ensemble de contrôles ou de projets qui vont chapeauter un plan de transformation digitale, par exemple. Et la gestion des incidents, on ne parle que de ça aujourd'hui. Alors, tu ne le vois peut-être pas, mais je viens de te dire les 4 chapitres de la certification. Et en plein mode Dora, NIS 2, ISO 27001 en tout genre, on en a grandement besoin. Le tout premier chapitre, gouvernance, est le plus important pour moi, car c'est ce qu'il manque partout dans les entreprises. Et si tu regardes bien, il fait du sens. Tu installes une gouvernance, cela te permet de gérer tes risques. Grâce à cela, tu vas créer ton programme de sécurité de l'info, via de l'ISO 27001, du CYFUN, Cyber Fundamentals en Belgique, Merci NIS2, du RECIF en France, Merci NIS 2, du SOC 2, Type 2, du Part-IS , si tu es dans l'aviation, du TISAX dans l'automobile, etc. Et tu vas gérer les incidents in fine. Tu vois, je viens de boucler une boucle. Mais soyons clairs, il y a tellement de certifications sur le marché qu'on s'y perd. Donc si tu devais retenir qu'un chapitre, c'est le 1, gouvernance. Et quand je coache des gens encore qui veulent passer la certification, c'est là où je dois encore insister. Soyons clairs, le langage abstrait de l'ISACA est parfois compliqué pour les techniciens, peu habitués à ce langage léché. Mais je suis aussi technicien à la base. J'ai dû aussi apprendre ce langage, ce langage business. Mais tu vois, il faut parfois prendre un peu de hauteur si tu veux parler business. Et ça, tu sors de ta grotte, ça me rappelle un truc, et tu montes dans la hiérarchie. Mais qui a encore besoin du CISM ? Ben toi, consultant freelance qui m'écoute. Si tu réponds à des marchés publics via des plateformes de mise en relation, car le client final a demandé CISM, donc tu vois, là, un petite case. Et donc, si tu ne l'as pas, tu es filtré par le sourcing manager, qu'il faut avouer à la moitié de mon âge aujourd'hui. Donc t'es filtré. Et toi, CISO qui m'écoute, qui est dans une grande institution, ou ISO, Information Security Officer, tu en as besoin si tu veux gravir les échelons, ou si tu veux le poste de CISO la plupart du temps. Mais toi, le geek polytech, et qui connaît déjà tout le contenu, voire même mieux que moi. Oui, ça arrive. Et plutôt deux fois qu'une. Non, t'en as pas besoin. Tu as déjà ta place. Sauf peut-être une petite touchette de rappel sur le chapitre 1, la gouvernance. Je sais, j'insiste. Pas que je remette la tienne en doute, mais on verra comment tu peux en faire un levier pour étendre ta zone d'influence. Et là, je te parle de politique. Tiens, ça me rappelle mon épisode sur le prince de Machiavel. Pars l'écouter si tu me découvres. Et puis, si je devais résumer le CISM en une phrase, c'est aligner la sécurité de l'information sur le business. Soit à l'écoute du métier, comprends-le, et aide-le à aller plus vite en lui donnant de l'assurance là où il faut. Et c'est à la fois la partie la plus simple à comprendre, car tu penses business et tu trouves facilement les réponses aux questions de l'examen, et c'est à la fois la plus compliquée pour le technicien. Car tu n'as pas encore cette vision périphérique. Et c'est un ancien TECO qui te parle. Ça, tu sais déjà. Et oui, on parle stratégie. Si t'es CIO, pareil. Si t'as pas de masterplan pour aligner ton IT sur le business, t'es mort. Enfin, c'est encore toi qu'on appellera pour restaurer un backup. Et on verra ton architecture IT comme la Sagrada Familia à Barcelone. Et si tu n'es pas convaincu, fais ce que j'ai fait il y a 20 ans. Quand j'ai quitté ma fonction d'admin system, j'ai regardé les offres d'emploi et les certifications demandées. Et j'ai regardé ce qui revenait le plus souvent. Donc j'ai commencé par ISO 27001, 2005, oui ça file, en mode lead auditor, puis le CISSP, puis le CISA, rendement d'échelle oblige, et l'année suivante le CISM. Je te parle d'un temps que les moins de 20 ans ne peuvent pas connaître. Mais en ce temps-là... Tu ne pouvais pas aller plus vite. Car les examens ISACA étaient mondiaux et à la même date en juin et en décembre. Aujourd'hui, la donne est changée. C'est quand tu veux. Quand tu es prêt, boum, tu y vas. Mais attention, car parfois c'est théorique. Et c'est un peu trop vu comme le monde des bisounours. Ou formaté US. Et nous, ce qu'on fait de ce côté de l'Atlantique, je vais dire... je ne vais pas te l'apprendre, c'est parfois différent. Donc voilà, il y a un mindset à avoir, et il ne faut pas aller passer à la certification comme Casimir, en pensant que cela va être facile. Si t'as moins de 20 ans, voire même 30, Casimir était une sorte d'extraterrestre qui a bercé mon enfance. Une grande créature orange, bienveillante, un peu naïf, qui vit dans un univers joyeux où tout semble simple et accessible, presque sans danger. Mais donc le marché évolue. On valorise de plus en plus l'expérience réelle, les cas concrets, et la capacité à expliquer, et beaucoup moins les certifications théoriques. Et le CISM est un peu théorique. Donc on a le chapitre 1. Je te l'ai déjà en gros expliqué. J'ai quelques épisodes qui parlent de gouvernance, parmi la presque soixantaine d'épisodes. Le chapitre 2, c'est la gestion du risque. Et tu vas te retrouver donc dans le CISA, dans le CISSP, dans le 27001, dans le 27005, le 31000, j'en passe. Donc théorie des ensembles avec de belles intersections. Pratique pour ton étude si tu veux aller plus vite. Le chapitre 3, là, tu mets en place un programme de sécurité de l'info. Pas une Sagrada Familia, hein. Et là, il ne parle pas trop d'ISO 27001,à l'ISACA . Mais tu mets ce que tu veux dans ton programme. Tu peux mettre du NIS 2, du CyFun, du Récif, du Dora, du RGPD. Et le chapitre 3 sera, si tu veux, ta Maizena pour que la sauce prenne. Là, je vois souvent des programmes managers gérer cela dans des grandes institutions. Car un contrôle à part entière est un projet. Tu sais, le contrôle qui ramène ton risque à un niveau acceptable, parmi l'annexe A, les 93 contrôles. Où est-ce que j'en étais ? Et au final, en dessert, tu as l'assurance d'avoir une gestion des incidents qui tourne. Car ça va quand même planter à un moment donné. Et tu en auras besoin, de tes plans DR, de tes playbooks, de la communication dans ta gestion des incidents. Tiens, je ne t'avais pas encore parlé de l'ISO 27035. Mais voilà. 27035, c'est aussi l'ISO pour la gestion des incidents de sécurité. Il y a également un framework pour le NIST. D'ailleurs, je t'invite à aller lire ce que raconte le NIST, parce que déjà, ça a le mérite d'être gratuit. Et pour une fois, ce n'est pas toi le produit. Donc, ce que je t'encourage à faire aujourd'hui, selon ton secteur, va lire le NIST. Fais-toi ton propre... ta propre lecture, ça te servira aussi pour le CISM. Dis, je parle, mais... Tu te rends compte que ça fait déjà un an de podcast ? Le premier est sorti le 13 du 4 2025. Alors, j'ai des goodies pour toi, pour fêter notre première bougie. Et est-ce que tu imagines quel genre de goodies ? Ça ne sera pas un slip de Stark Industries. Non, je pensais plutôt à un carnet de notes A5 ou un mug. En attendant peut-être la suite... et une version 2 du site ComplianceWithOutComa avec un shop. Certains d'entre vous ont déjà reçu ce genre de goodies, mais peut-être pas les autres comma breakers qui me découvrent. Alors si t'es intéressé, DM-moi avec ce que tu veux, et je te l'envoie, tu sais où me trouver. Voilà, on arrive au bout de cet épisode, et si t'as apprécié, n'hésite pas à commenter, partager, en discuter, évidemment avec ton CISP préféré, ou me dire si tu en veux d'autres dans le style. Parce qu'il y a beaucoup de certifications dans le périmètre GRC, n'est-ce pas ? Je te dis déjà à vendredi prochain pour un nouvel épisode de Compliance Without Coma.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed