Les certifications de l ISACA. 24 Mai 2011 Jean-Luc AUSTIN

Transcription

1 Les certifications de l ISACA 24 Mai 2011 Jean-Luc AUSTIN

2 Les 4 certifications ISACA CISA : Certified Information Systems Auditor Existe depuis 1978 (plus de certifiés dans 160 pays) Certification d auditeur généraliste en SI CISM : Certified Information Security Manager Existe depuis 2003 Certification de management de la sécurité SI CGEIT : Certified in Gouvernance Enterprise IT Existe de puis 2007 Certification d expertise en gouvernance des SI CRISC : Certified in Risk and Information Systems Control Existe depuis cette année Certification sur la gouvernance et la gestion du risque IT 24 Mai

3 Les principes des certifications Pour obtenir une certification Un examen àvalider (2 fois par an en France) La validation d un dossier professionnel d expérience 5 à6 ans d audit IT pour le CISA, idem pour le CISM, le CGEIT, le CRISC, avec possibilités «d équivalences». L adhésion à un code d éthique Pour maintenir une certification acquise Payer les droits de gestion tous les ans! Valider les déclarations annuelles de formation continue (heures CPE) 24 Mai

4 L examen Les principes des certifications 2 fois par an (1 er samedi de juin et de décembre) à Paris Se passe en Français ou en anglais pour le CISA, en anglais pour les 3 autres. Examen de type QCM (de 150 à200 questions selon les certifications) pour des durées d examen de 4 Hrs. Réussite à75% de bonnes réponses. Formalisme très rigoureux de l examen! (surveillants américains, règles strictes ) 24 Mai

5 Les principes des certifications L examen (suite) Résultats 5 semaines après Suit la phase du dossier professionnel pour les reçus). Certification acquise définitivement après validation si paiement des droits annuels et respect des heures CPE. Seul lien de l ISACA avec les certifiés : l adresse mail (impératif de la mettre àjour)! 24 Mai

6 Les heures CPE Une obligation pour conserver la certification! 120 Hrs de formation continue sur 3 ans avec 20 Hrs au minimum sur l année. Déclaration annuelle avec vérification aléatoire (10 % de vérifications environ par an). Impose de conserver toutes les traces administratives des actions de formation ou justificatives d heures CPE 24 Mai

7 Les heures CPE Sont considérées comme des heures CPE : Les formations suivies sur le thème de la certification (1 Hr CPE pour une 1Hr de formation) Les formations assurées auprès de stagiaires et/ou de collaborateurs (garder justificatifs!). Les présences àdes séminaires et/ou manifestations techniques sur les SI. Les colloques, web-seminar, etc de l ISACA. Il est possible d affecter des heures CPE àplusieurs certifications pour la même déclaration annuelle. 24 Mai

8 Le cas particulier du CRISC Le CRISC verra son premier examen organiséen Décembre Pour «lancer»la certification auprès des spécialistes existants, il existe un programme de «grandfathering». Un dossier d expérience àfournir et àenvoyer àl ISACA avec les références d expérience dans le domaine de l IT Risk Management + des coordonnées de personnes pouvant attester de l expérience décrite. Acceptation par l ISACA de l expérience décrite. Paiement des droits ( environ 700 $) et certification acquise sans examen. 24 Mai

9 Le cas particulier du COBIT Il n existe pas de «certification»cobit. Par contre, il existe une attestation de connaissance sur COBIT : le COBIT Foundation Course. Examen se passe en ligne après inscription (150 $). Examen de type QCM (40 questions en 1 Hr, réussite à 75 % de bonnes réponses). Inscription exclusivement auprès de l ISACA, mais passage de l examen en site surveillé(l AFAI est agréée). Sessions organisées tous les 2 mois. Formations COBIT et de préparation existant au sein de l AFAI. 24 Mai

10 Que fait l AFAI Des formations de préparation aux 2 sessions annuelles d examen en France sur les 4 certifications : CISA : 8 stages par an CISM : 3 stages par an CGEIT : 2 stages par an CRISC : un stage programméen 11/2011 représentant environ 100 stagiaires. Taux de réussite sans formation : 45 % Taux de réussite avec formation : 73 % 24 Mai

11 Ce que ne fait pas l AFAI Organiser l examen (du ressort de l ISACA). Gérer les inscriptions : exclusivement auprès de l ISACA. Gérer les dossiers d expérience. Mais ce que l AFAI peut essayer de faire Un peu d assistance en cas de problème administratif (perte de certification par non réponse aux mails de relance de l ISACA, etc ). Procédure exceptionnelle et non forcément couronnée de succès! 24 Mai