CertQuests
CISM vs CISSP — Manager sécurité ou architecte sécurité ?
Les deux grandes certifications senior en cybersécurité. Pas le même scope, pas la même carrière.
Comparatif clair, sans bullshit — décide en 5 minutes laquelle correspond à ton profil.
TL;DRCISM = la cert manager/gouvernance sécurité, parfaite pour RSSI en secteur régulé français. CISSP = la cert architecte/ingénieur sécurité large, référence mondiale, salaire médian senior 85k€ en France. Pas un duel : si tu vas vers le management dans une banque, CISM ; si tu construis ou architectures de la sécurité, CISSP. Si tu hésites, CISSP d'abord.
Comparatif rapide
| ISACA CISMISACA | ISC2 CISSPISC2 | |
|---|---|---|
| Code examen | CISM | CISSP |
| Prix examen | 760$ | 749$ |
| Heures d’étude | ~200h | ~200h |
| Questions banque CertQuests | 12 Q → | 25 Q → |
| Salaire médian senior FR | — | 85k€ détails → |
| Difficulté | advanced | advanced |
Pour qui chacune ?
ISACA CISM
ISACA · CISM
Tu vises RSSI, Security Manager, Risk Manager, Head of GRC en secteur régulé (banque, assurance, santé, défense). Tu pilotes déjà du budget, du risque ou un programme sécurité.
- Cert 100% management : gouvernance, programme de sécurité, gestion des risques, gestion des incidents — exactement le périmètre attendu d'un RSSI / Security Manager.
- Très valorisée dans les secteurs régulés en France (banque, assurance, santé, énergie) où la culture ISACA (CISA, CRISC) est déjà installée.
- Format : 150 QCM en 4h, anglais ou français disponibles via PSI/PearsonVUE — la traduction française aide les candidats non-anglophones.
- Pré-requis vérifié : 5 ans d'expérience sécurité de l'information, dont au moins 3 dans la gestion (manageable, pas un junior trap).
- Scope intentionnellement étroit : zéro programmation, zéro architecture cloud, zéro cryptographie appliquée, zéro forensics. Si tu cherches du technique, c'est la mauvaise cert.
- Reconnaissance internationale plus faible que CISSP : excellente en Europe régulée, moins de poids dans la tech US/global, en startup et en cloud-native.
- Cotisation annuelle ISACA (~135 $/an) + CPE (20h/an, 120h sur 3 ans) — coût d'entretien non négligeable sur 10 ans.
- Beaucoup d'attendus liés à la maturité business (budget sécurité, comité exécutif, BIA) — difficile à passer si tu n'as jamais piloté de programme sécurité réel.
ISC2 CISSP
ISC2 · CISSP
Tu vises Security Architect, Security Engineer senior, Cloud Security Lead, ou un poste sécurité dans une tech US / multinationale anglo-saxonne.
- LA référence senior en cybersécurité dans le monde anglo-saxon — reconnue partout (US, UK, Inde, Singapour, France) et exigée en clearances DoD 8570/8140 aux US.
- Scope large (8 CBK domains) : sécurité applicative, cryptographie, IAM, architecture, opérations, BCP/DR, dev sécurisé — couvre l'ingénieur ET le manager.
- Format adaptatif CAT (Computer Adaptive Testing) : 100-150 QCM, 3h, l'algorithme arrête dès qu'il a sa réponse — préparation 150-250h.
- Salaire médian senior 85k€ en France (APEC + Hays 2026), 105k€ au Luxembourg, 95k€ remote EU : ROI rapide pour un profil expérimenté.
- Pré-requis durs : 5 ans d'expérience dans au moins 2 des 8 CBK domains — ISC2 vérifie via endorsement signé par un (ISC)² membre actif. Pas négociable.
- Examen long, dense, anglais uniquement (pas de version française) — la barrière linguistique est réelle pour les candidats francophones.
- 749 $ + 125 $/an Annual Maintenance Fee + 120 CPE/3 ans : coût d'entretien comparable à CISM.
- Scope tellement large que sur certains domaines tu restes en surface — un développeur senior connaît mieux le SDL que ce que CISSP teste.
Le verdict, par profil
Pas un palmarès — chaque profil a une cert qui colle mieux. Trouve le tien.
Tu vises RSSI, Security Manager ou Head of GRC dans une boîte régulée française (banque, assurance, santé, énergie).
CISM est explicitement le 'manager track' : gouvernance, programme, risques, incidents. Les fiches de poste RSSI APEC en France citent CISM (ou CISSP) à 50/50 — mais en secteur régulé où la culture ISACA est déjà installée (CISA pour l'audit, CRISC pour le risque), CISM aligne ton vocabulaire avec celui du Comex et du Risk Committee.
Tu vises Security Architect, Cloud Security Lead ou Security Engineer senior dans une tech US, une scale-up ou une multinationale anglo-saxonne.
CISSP est LE filtre standard sur LinkedIn pour ces postes. Le scope (architecture, IAM, crypto, sécurité applicative) colle exactement avec le quotidien d'un architecte sécurité. CISM, vue d'une scale-up US ou d'une boîte produit, est perçue comme 'cert audit/manager' — pas le bon signal.
Tu as 5-7 ans d'expérience sécurité technique (pentest, SOC, ingénierie) et tu hésites pour ta première cert senior.
Avec un background technique, CISSP est la suite naturelle : tu retrouves ton terrain sur 5 des 8 domains (Security Architecture, Asset Security, Comms & Network Security, IAM, Software Dev Security). CISM te demanderait de pivoter brutalement vers du pur management — légitime quand tu auras pris un poste de manager, prématuré sinon.
Tu pilotes déjà une équipe sécurité (3-10 personnes), un budget, ou un programme ISO 27001 / SOC 2.
Tu fais déjà 80% de ce que CISM teste : roadmap sécurité, budget, KPI, gestion incidents, alignement avec la stratégie business. La prep est rapide (60-100h), tu reconnais le vocabulaire, et la cert valide formellement le rôle que tu tiens — utile pour le LinkedIn, l'entretien d'augmentation, le marché du RSSI.
Tu n'as pas 5 ans d'expérience sécurité validés — tu es junior/mid (1-4 ans).
Aucune des deux ne te donnera la certification 'pleine' avant les 5 ans validés — mais ISC2 a un statut intermédiaire 'Associate of (ISC)²' qui te laisse passer l'examen et obtenir le titre une fois l'expérience cumulée. CISM est plus strict côté ISACA. Si tu veux signaler tes intentions tôt, vise plutôt ISC2 CC ou CompTIA Security+ d'abord, puis CISSP après les 5 ans.
Tu travailles dans le conseil GRC / cabinet d'audit (EY, Deloitte, PwC, KPMG, Mazars).
Les Big 4 et cabinets GRC parlent ISACA : CISA est la cert d'entrée audit, CISM la cert manager, CRISC la cert risque. Avoir CISM sur ton profil quand tu fais des missions ISO 27001, NIS2, DORA, mise en conformité bancaire, c'est immédiat — c'est le langage de tes clients régulés.
Tu veux une cert qui maximise le salaire en France et tu acceptes l'anglais.
Sur les jobboards français en 2026, CISSP apparaît plus souvent dans les annonces senior à 75k€+ que CISM (vérifiable APEC + LinkedIn + Welcome to the Jungle). Médiane senior France : 85k€ (Hays Salary Guide IT 2026). CISM tire bien aussi en banque/assurance, mais le bassin d'annonces est plus étroit.
Tu veux passer les deux pour blinder ton profil.
Ordre canonique recommandé par les RSSI ayant les deux : CISSP d'abord (3-5 mois prep, scope large = base solide), puis CISM 6-12 mois plus tard quand tu prends un poste de management (1-2 mois prep car 50% du vocabulaire est partagé sur les domaines Risk et Security Operations). L'inverse marche aussi mais CISSP couvre plus de terrain — moins de re-révision.
Tu cherches une cert sécurité qui dure 15-20 ans sur ton CV sans devenir obsolète.
Les deux ont 30+ ans d'existence (CISSP 1994, CISM 2002) et un cycle de révision sain. Mais le scope CISSP étant plus large et couvrant des fondamentaux durables (crypto, archi, IAM), il résiste mieux aux évolutions de techno. CISM reste pertinent tant que les boards veulent un sécurité — donc longtemps — mais c'est plus indexé sur ton job actuel que CISSP.