L’une des difficultés majeures de la certification CISM ne réside pas dans la complexité apparente des concepts abordés. Elle se situe ailleurs, dans quelque chose de plus subtil et souvent déstabilisant : la manière dont les questions sont construites et ce qu’elles cherchent réellement à évaluer.

Beaucoup de candidats abordent les questions du CISM avec un réflexe bien ancré, forgé par des années de pratique technique ou d’examens précédents. Ils cherchent la réponse la plus sécurisée, la plus complète, parfois la plus « robuste » d’un point de vue opérationnel. Or, c’est précisément ce réflexe que le CISM met à l’épreuve.

Une question CISM n’est presque jamais une question de connaissance brute. Elle ne demande pas ce qu’il faudrait faire dans l’absolu, ni quelle serait la solution techniquement idéale. Elle interroge un raisonnement, une hiérarchie de priorités, une posture de responsabilité. Autrement dit, elle cherche à savoir comment raisonne un responsable de la sécurité de l’information placé dans un contexte de gouvernance.

Ce décalage explique pourquoi certains professionnels très expérimentés peuvent être déroutés lors des premiers entraînements. Ils reconnaissent les situations décrites, mais hésitent sur la réponse. Non pas par manque de compétence, mais parce que plusieurs options semblent plausibles. Et c’est justement là que réside l’enjeu : comprendre ce que l’ISACA attend comme logique de décision.

Lire une question CISM demande avant tout de s’arrêter sur le contexte. Chaque mot compte. Le niveau de maturité de l’organisation, la nature du problème, le rôle implicite du RSSI dans la situation décrite sont autant d’indices. La question n’est pas « que ferais-je personnellement ? », mais plutôt « quelle est la décision la plus cohérente au regard d’une gouvernance saine et responsable ? ».

Un autre point essentiel est la temporalité implicite des questions. Le CISM s’intéresse rarement à l’action immédiate ou à la réaction instinctive. Il privilégie les réponses qui s’inscrivent dans une logique durable, structurante, alignée avec une vision à moyen et long terme. Là encore, c’est un changement de perspective pour celles et ceux habitués à intervenir dans l’urgence ou à résoudre des incidents concrets.

Les entraînements, notamment via les outils officiels comme le QAE, jouent un rôle fondamental à ce stade. Non pas pour accumuler des scores, mais pour affiner sa lecture. Progressivement, on commence à percevoir des constantes. Certaines réponses, bien que séduisantes techniquement, sont trop tactiques. D’autres, plus sobres, parfois moins intuitives, reflètent mieux la posture attendue d’un RSSI agissant au niveau de la gouvernance.

Il est également frappant de constater que le CISM valorise fortement la notion de responsabilité partagée. Les réponses qui isolent le RSSI comme seul décideur ou seul acteur sont rarement les meilleures. À l’inverse, celles qui intègrent la direction, les métiers ou les parties prenantes clés traduisent une compréhension plus mature du rôle. Le RSSI n’agit pas seul ; il éclaire, propose, structure et accompagne la décision.

Avec le temps, la lecture des questions devient presque un exercice de recul professionnel. On ne cherche plus immédiatement la réponse. On analyse la situation, on identifie l’enjeu principal, puis on se demande quelle action contribue réellement à renforcer la gouvernance de la sécurité. Cet apprentissage dépasse largement le cadre de l’examen. Il influence la manière d’aborder des problématiques bien réelles, au quotidien.

C’est sans doute l’un des apports les plus intéressants de la préparation du CISM. Elle oblige à ralentir, à réfléchir différemment, à sortir d’une logique purement opérationnelle pour adopter une posture de décideur éclairé. Lire une question CISM, c’est finalement s’entraîner à lire une situation complexe, avec ses contraintes, ses compromis et ses responsabilités.

Dans le prochain article, je proposerai une réflexion sur un autre aspect souvent sous-estimé de la préparation : la gestion du temps et de l’énergie sur plusieurs mois, notamment lorsqu’on prépare une certification exigeante en parallèle d’une activité professionnelle dense. Un sujet très concret, mais rarement abordé.