Lorsqu’on observe les parcours de professionnels de la sécurité de l’information, une question revient régulièrement : dans quel ordre aborder les certifications majeures que sont le CISM et le CISSP ? La réponse n’est jamais universelle, mais elle devient beaucoup plus claire dès lors qu’on raisonne en termes de posture professionnelle plutôt qu’en termes de contenu.

Le CISM et le CISSP ne poursuivent pas le même objectif, même s’ils couvrent des territoires parfois proches. Le CISM s’intéresse avant tout à la gouvernance de la sécurité de l’information. Il cherche à comprendre comment une organisation pense, décide et assume ses choix en matière de sécurité. Le CISSP, quant à lui, propose une vision beaucoup plus large et transversale, couvrant l’ensemble des domaines constitutifs de la sécurité, de la gestion des accès à la cryptographie, en passant par la sécurité des opérations ou le développement sécurisé.

Dans cette perspective, le CISM agit comme une forme de préparation intellectuelle. Il ne prépare pas au CISSP en transmettant des connaissances techniques spécifiques, mais en structurant une manière de raisonner. Il apprend à hiérarchiser, à contextualiser, à accepter que la sécurité ne se résume jamais à une somme de bonnes pratiques idéales. Cette capacité à prendre de la hauteur devient précieuse lorsqu’on aborde ensuite un référentiel aussi dense et exhaustif que celui du CISSP.

Ce qui change fondamentalement après une préparation CISM, c’est la manière d’aborder la complexité. Face au CISSP, le risque est souvent de se perdre dans l’ampleur des domaines, d’aborder chaque sujet de manière isolée, presque encyclopédique. Une posture ancrée dans la gouvernance permet au contraire de relier les concepts entre eux. Les domaines ne sont plus perçus comme des silos, mais comme des composantes d’un système cohérent au service d’objectifs organisationnels.

Le CISM prépare également à une lecture plus mature du risque, qui trouve un écho direct dans le CISSP. Là où le CISSP expose de nombreux mécanismes de contrôle, de protection et de détection, le CISM a déjà installé un cadre mental : celui de l’acceptation, du transfert ou de la réduction du risque en fonction d’un contexte donné. Cette grille de lecture évite une approche dogmatique et favorise une compréhension plus fine des arbitrages sous-jacents.

Un autre point souvent sous-estimé concerne la posture face à la décision. Le CISM insiste sur le rôle du RSSI comme facilitateur et éclaireur. Cette posture se révèle extrêmement utile lorsqu’on aborde le CISSP, qui peut parfois être interprété comme une validation de l’expertise individuelle. Abordé après le CISM, le CISSP cesse d’être une démonstration de savoir pour devenir un outil au service d’une responsabilité élargie.

Il ne s’agit pas de dire que le CISSP serait plus simple après le CISM. L’exigence reste élevée, la charge de travail conséquente, et la diversité des domaines peut être déstabilisante. En revanche, le CISM permet d’aborder cette diversité avec une intention claire. On ne cherche plus à tout maîtriser de manière uniforme, mais à comprendre comment chaque domaine contribue à la sécurité globale de l’organisation.

Cette chronologie prend encore plus de sens lorsqu’on évolue dans des fonctions mêlant gouvernance et opérationnel, comme c’est souvent le cas pour des profils DSI/RSSI. Le CISM consolide d’abord la capacité à décider et à arbitrer. Le CISSP vient ensuite élargir le champ de vision, renforcer la compréhension transversale et affiner le dialogue avec des experts de domaines très variés. L’un structure la posture, l’autre enrichit le spectre.

Enfin, cette progression reflète une certaine maturité professionnelle. Elle traduit le passage d’une logique de spécialisation vers une logique d’intégration. Elle montre que la sécurité de l’information n’est pas seulement une question de contrôles ou de technologies, mais une discipline globale, au croisement de la stratégie, du risque et de l’exécution.

C’est dans cette optique que j’envisage personnellement la suite du parcours. Le CISM pose un socle de gouvernance indispensable. Le CISSP viendra ensuite comme une consolidation, non pas pour accumuler une certification supplémentaire, mais pour renforcer une vision déjà structurée. Cette continuité, plus que l’ordre des examens, est ce qui donne du sens à l’ensemble du cheminement.

Dans le prochain article, je proposerai un changement de focale : quitter temporairement le sujet des certifications pour revenir à un thème central de la fonction RSSI aujourd’hui, à savoir la place de l’intelligence artificielle dans la gouvernance de la cybersécurité. Une transition naturelle, à l’image des enjeux actuels.