Le CISA® (Certified Information Systems Auditor) est un certificat international délivré par l’ISACA (Information System Audit and Control Association). Il atteste de la maîtrise de la gouvernance, du management et du suivi des risques informatiques. Cette certification concerne plus de 100 000 professionnels IT dans plus de 160 pays.
CISA®, culture IT par excellence
Le CISA® est un recueil des meilleures pratiques en matière de Gouvernance, Management et Suivi des risques IT. Il couvre tous les domaines de l’Audit des Systèmes d’Information, des plus techniques aux plus organisationnels :
– Processus d’audit des systèmes informatiques,
– Gouvernance des SI,
– Gestion du cycle de vie et de l’infrastructure des systèmes,
– Fourniture et support des services,
– Protection des avoirs informatiques,
– Plan de continuité et de secours informatique.
Ce n’est bien sûr pas la seule certification existante – mais ce label représente depuis 1978 un certificat de référence dans le monde anglo-saxon, qui en fait un critère de recrutement et de promotion pour tous les professionnels chargés de veiller à ce que les technologies et systèmes de l’entreprise soient convenablement contrôlés, suivis et évalués : auditeurs, directeurs sécurité, directeurs informatiques, directeurs des risques, consultants informatiques, etc.
Quel développement en France ?
Posséder ce certificat offre une reconnaissance à l’international – mais alors que l’on compte plus de 35000 professionnels CISA® dans le monde, seuls 300 d’entre eux seraient français, d’après le site web de l’AFAI (Association Française d’Audit et de Conseil Informatiques). Alors, pourquoi ce certificat n’est-il pas plus diffusé en France ?
Doit-on voir un obstacle culturel à son adoption ? Pour un français, il n’existe pas qu’une seule « bonne » façon de faire les choses : les bonnes pratiques ont des limites, en fonction des contextes et les maturités observés. Le QCM, qui permet de valider la certification, est ainsi souvent décrié pour valoriser un apprentissage “par cœur”, sans réflexion.
Ou doit-on y voir plutôt la conséquence du lourd investissement en temps nécessaire ? En effet,la connaissance fine du référentiel associé au CISA® et sur lequel reposent une bonne partie des questions de l’examen, le COBIT® (Control OBjectives for Information and related Technology), nécessite plus que quelques heures de formation.
Et bien non. La raison principale n’est évidemment ni culturelle, ni liée à l’investissement nécessaire, mais plutôt à une méconnaissance de ce certificat dans les pays non anglo-saxons. Et c’est dommage, parce que le CISA® apporte de vrais avantages !
Le CISA®, une vision métier de l’IT
La mise en œuvre des bonnes pratiques du CISA® permet d’acquérir certains réflexes qui représentent un fort retour sur investissement, puisqu’ils offrent la possibilité d’améliorer la maîtrise du SI en interne, tout en délivrant une forte valeur ajoutée au métier.
Le plus intéressant peut-être pour nos entreprises françaises, c’est l’accent porté par ce référentiel sur cette vision métier. En effet, les anglo-saxons n’oublient jamais que, dans l’entreprise, on ne fait jamais de l’IT « par amour de l’art » mais pour servir des vrais besoins business…
COBIT®, la boîte à outil du CISA®
En dehors de cette vision métier apportée par le CISA®, son référentiel appliqué, COBIT ®,est devenu le référentiel de référence en matière de maîtrise des processus et activités du système d’information. Son périmètre reprend en particulier celui des référentiels suivants :
– ISO 27001 pour la sécurité (depuis la version v5 du COBIT®),
– ITIL pour la gestion des services IT,
– CMMI pour la maturité des processus IT.
Il propose un certain nombre d’indicateurs, de processus, de facteurs clés de succès et de bonnes pratiques pour aider les entreprises à tirer parti au maximum de leur système d’information.
A l’heure où les entreprises sont de plus en plus soumises à un environnement règlementaire et technologique complexe, la certification CISA® offre un avantage concurrentiel fort. Elle permet de devenir un acteur actif du changement IT, maîtrisant les bonnes pratiques, sachant identifier et réduire les risques IT, tout en restant conscient des besoins business en matière d’IT.