Décider de préparer la certification CISM n’est jamais un choix anodin. Ce n’est pas une certification que l’on aborde par curiosité intellectuelle ou pour compléter une liste. Elle s’inscrit généralement dans un moment précis d’un parcours, lorsque les questions de gouvernance, de responsabilité et de gestion du risque prennent une place centrale dans la pratique quotidienne.

En ce qui me concerne, le choix de commencer par le CISM, avec un objectif fixé au premier semestre 2026, répond à une logique simple : consolider une posture managériale et décisionnelle avant d’approfondir, dans un second temps, une vision plus large et transversale avec le CISSP. L’ordre a du sens. Il reflète une progression naturelle, de la gouvernance vers la couverture globale des domaines de la sécurité de l’information.

Ce qui frappe rapidement lorsqu’on s’engage dans la préparation du CISM, c’est que l’examen ne cherche pas à évaluer une capacité à réciter des contrôles ou des normes. Il interroge avant tout une manière de penser la sécurité. Chaque domaine renvoie à des situations concrètes : comment structurer un programme de sécurité, comment arbitrer face à un risque, comment aligner les priorités de sécurité avec les objectifs de l’organisation. La technique est présente, mais elle n’est jamais centrale. Elle est un moyen, pas une finalité.

C’est précisément pour cette raison que les ressources choisies jouent un rôle déterminant. Le travail de Peter Zerger, notamment à travers The Last Mile, apporte un éclairage particulièrement intéressant. Il ne s’agit pas simplement d’expliquer “comment réussir l’examen”, mais de comprendre ce que l’ISACA attend réellement d’un candidat certifié CISM : une capacité à raisonner comme un responsable de la sécurité de l’information, et non comme un technicien expert isolé.

Les vidéos pédagogiques issues de sa chaîne YouTube prolongent cette approche. Elles permettent de prendre du recul, de reformuler certains concepts clés et, surtout, d’éviter un piège fréquent : apprendre par cœur sans comprendre l’intention sous-jacente des questions. Le CISM est un examen de jugement professionnel. La bonne réponse n’est pas toujours celle qui semble la plus sécurisante techniquement, mais celle qui s’inscrit dans une logique de gouvernance, de valeur et de responsabilité.

L’appartenance à l’ISACA et l’accès au QAE constituent également un levier important. Au-delà de l’entraînement, ces outils permettent de se familiariser avec la manière dont les questions sont formulées, avec les raisonnements attendus et avec les subtilités propres à l’examen. Là encore, l’objectif n’est pas de “faire du score”, mais de calibrer sa lecture et son analyse. Chaque question devient un exercice de mise en situation, presque un cas pratique condensé.

Ce qui me semble essentiel, et que l’on sous-estime souvent, c’est que la préparation du CISM agit comme un révélateur. Elle met en lumière nos réflexes professionnels, nos biais, parfois nos automatismes. Elle oblige à se poser des questions simples, mais structurantes : quelle est la finalité de cette mesure de sécurité ? À qui sert-elle réellement ? Est-elle alignée avec les priorités de l’organisation ? Ces interrogations dépassent largement le cadre de l’examen et irriguent la pratique quotidienne du rôle de RSSI.

Aborder le CISM de cette manière, avec un horizon clair et des ressources choisies avec discernement, transforme la préparation en véritable démarche de structuration professionnelle. L’examen devient une étape, pas une obsession. Il s’inscrit dans un cheminement cohérent, qui prépare naturellement la suite, notamment le CISSP, envisagé dans un second temps comme une consolidation et un élargissement de la vision globale.

Dans les prochains articles, je reviendrai plus en détail sur certains domaines du CISM, non pas pour les décrire de manière académique, mais pour partager la manière dont ils résonnent avec les enjeux concrets rencontrés sur le terrain. L’ambition reste la même : proposer une lecture pédagogique, exigeante et pragmatique, au service d’une cybersécurité pleinement intégrée à la gouvernance.