Difficulté de l'examen CISA en 2026 : analyse domaine par domaine
L'examen CISA est notoirement exigeant — mais la difficulté est concentrée dans des domaines précis. Décomposition data-driven de là où les candidats luttent vraiment, les sous-domaines les plus durs, et la stratégie d'allocation du temps qui pousse les taux de réussite au-delà de 75 %.
Réponse rapide : à quel point l'examen CISA est-il difficile en 2026 ?
Difficulté modérée à élevée, avec un taux de réussite au premier essai 2025 d'environ 50 % globalement (données ISACA agrégées). La difficulté est lourdement concentrée dans deux des cinq domaines :
| Domaine | Poids | Classement difficulté 2025 |
|---|---|---|
| 1. Information Systems Auditing Process | 18 % | Modéré |
| 2. Governance and Management of IT | 18 % | Modéré |
| 3. IS Acquisition, Development & Implementation | 12 % | Facile à modéré |
| 4. IS Operations and Business Resilience | 26 % | Dur |
| 5. Protection of Information Assets | 26 % | Le plus dur |
Les deux plus gros domaines (Operations + Information Protection — ensemble 52 % de l'examen) sont aussi les deux plus durs.
Bonne nouvelle : la difficulté est patternée. Les candidats qui allouent leur temps d'étude proportionnellement au poids ET à la difficulté du domaine passent à des taux substantiellement plus hauts — la cohorte NexusGRC Academy 2025 a atteint 76 % au premier essai.
Structure de l'examen — rappel
- 150 questions, scoring scaled (200 à 800)
- 4 heures, pas de pause programmée
- Score requis : 450 / 800 (score scaled, pas un pourcentage brut)
- Sur ordinateur, via centres de test PSI et proctoring en ligne
- 5 domaines avec poids de 12 % à 26 %
La durée de 4 heures est un facteur de difficulté significatif. L'endurance compte.
Domaine 1 : Information Systems Auditing Process (18 %)
Méthodologie d'audit SI — planification, exécution, preuve, échantillonnage, reporting.
Difficulté : Modéré. Taux approximatif (domaine seul) : 52 %.
Pourquoi les candidats luttent
- Les Standards d'Audit ISACA sont testés avec précision. Souvent confondus avec les Standards IIA.
- Questions d'échantillonnage demandent du calcul et du jugement.
- Documentation d'audit teste la différence entre work papers, mémos résumés et rapports.
Comment étudier le Domaine 1
- 15–25 heures pour les candidats avec expérience d'audit
- 30–40 heures sans expérience d'audit
- Mémoriser les Standards d'Audit ISACA (catégories 1000-, 1200-, 1400-, 1600-, 1800-)
- Pratique : 60 questions sur échantillonnage et preuve
Domaine 2 : Governance and Management of IT (18 %)
Difficulté : Modéré. Taux approximatif : 54 %.
Pourquoi les candidats luttent
- COSO 2019 est lourdement testé. Les candidats hors ISACA ne l'ont pas formellement étudié.
- Questions d'alignement stratégique demandent du jugement.
- Distinction governance vs management (EDM vs APO/BAI/DSS/MEA en COBIT) testée explicitement.
Comment étudier le Domaine 2
- 20–30 heures
- Mémoriser les 40 objectifs COBIT 2019 au minimum au niveau catégorie
- Comprendre la différence entre gouvernance (EDM) et management (APO/BAI/DSS/MEA)
Domaine 3 : IS Acquisition, Development & Implementation (12 %)
Difficulté : Facile à modéré. Taux approximatif : 57 %.
Pourquoi c'est le domaine le plus facile
- Poids plus faible (12 %) → moins de profondeur requise
- Les concepts de gestion de projet chevauchent le PMP
- Le contenu Agile/DevOps est commonsense pour les praticiens
Comment étudier le Domaine 3
- 10–15 heures — ne sur-prépare pas
- Focus sur post-implementation review et acceptance testing
Domaine 4 : IS Operations and Business Resilience (26 %)
Difficulté : Dur. Taux approximatif : 44 %.
Pourquoi ce domaine est dur
- Largeur. Énorme palette de sujets techniques.
- Spécificité. Les questions testent des technologies précises (niveaux RAID, types de DB, topologies réseau) avec précision.
- Le contenu cloud s'est élargi. La mise à jour syllabus 2024 a ajouté du contenu cloud significatif.
- La résilience business est très basée sur les scénarios.
Comment étudier le Domaine 4
- 30–45 heures — disproportionné par rapport au poids, parce que la difficulté est haute
- Construire un set de flashcards vocabulaire technologique : niveaux RAID, types de DB, protocoles réseau, modèles cloud, métriques BCP/DRP (RTO, RPO, MTBF, MTTR)
- Au moins 5 heures sur cloud computing
- Pratique : 80+ questions en scénarios de résilience business
Domaine 5 : Protection of Information Assets (26 %)
Difficulté : Le plus dur. Taux approximatif : 41 %.
Pourquoi c'est le domaine le plus dur
- Le plus grand (26 %) et le plus dense
- Teste une profondeur technique que les auditeurs purs n'ont souvent pas
- Questions de cryptographie particulièrement dures — symétrique vs asymétrique, hashing, signatures digitales, certificats, PKI
- Modèles IAM (RBAC, ABAC, DAC, MAC) testés spécifiquement
- Sécurité réseau demande une compréhension de firewalls, IDS/IPS, segmentation, VPNs
Comment étudier le Domaine 5
- 35–50 heures — l'allocation la plus haute de tous les domaines
- Flashcards profondes pour cryptographie
- Mémoriser les phases d'incident response NIST SP 800-61 (Preparation, Detection & Analysis, Containment/Eradication/Recovery, Post-Incident Activity)
- Comprendre les modèles IAM avec exemples (RBAC, ABAC, DAC, MAC)
- Au moins 120 questions en Domain 5
Stratégie d'allocation du temps
Pour un pro IT en poste avec expérience d'audit modérée :
| Domaine | Heures suggérées | % du total |
|---|---|---|
| 1. IS Auditing Process | 20 | 12 % |
| 2. Governance and Management of IT | 25 | 16 % |
| 3. IS Acquisition, Development & Implementation | 15 | 9 % |
| 4. IS Operations and Business Resilience | 40 | 25 % |
| 5. Protection of Information Assets | 45 | 28 % |
| Examens blancs et revue | 15 | 10 % |
| Total | 160 heures | 100 % |
Sous-domaines les plus durs au sein des plus durs
Dans le Domaine 5, sous-domaines les plus durs 2025 :
| Sous-domaine | Difficulté approximative |
|---|---|
| Cryptographie | Le plus dur |
| Sécurité réseau | Dur |
| Incident response | Dur |
| Sécurité cloud | Dur (en hausse) |
| IAM | Modéré à dur |
| Sécurité physique | Facile à modéré |
| Principes de privacy | Modéré |
Dans le Domaine 4 :
| Sous-domaine | Difficulté approximative |
|---|---|
| Business resilience (scénarios BCP/DRP) | Le plus dur |
| Cloud computing | Dur (en hausse) |
| Database management | Modéré à dur |
| Architecture réseau | Modéré |
| End-user computing | Facile |
Pièges courants
- 1Étudier linéairement par ordre de domaine.
- 2Sauter la revue de la QAE (Questions, Answers & Explanations). L'officiel ISACA est le plus proche du style réel de l'examen.
- 3Mémoriser sans pratiquer l'application en scénario.
- 4Sous-préparer le contenu cloud. La mise à jour syllabus 2024 a élargi significativement.
- 5Cramer la dernière semaine. L'examen de 4 heures teste l'endurance.
Variation de difficulté par background
| Background | Taux approximatif au premier essai |
|---|---|
| Auditeur IT actif, 3+ ans | 84 % |
| Auditeur interne (non-IT) | 68 % |
| Ingénieur sécurité / SOC | 79 % |
| IT operations / infrastructure | 76 % |
| Analyste compliance/GRC (sans IT) | 58 % |
| Reconversion (sans IT) | 49 % |
Comment l'IA change la prep 2026
L'examen CISA 2026 est significativement plus dur à « gamer » avec des banques mémorisées. Cela rend la prep adaptative et diagnostique plus précieuse que jamais.
La prep adaptative produit des taux de réussite systématiquement au-dessus de la moyenne mondiale ~50 %.
Questions fréquentes
Le CISA est-il plus dur que le CIA ?
Pour les auditeurs purs : difficulté à peu près égale globalement, mais plus dur par question parce que CISA est technique et CIA plus large.
Le CISA est-il plus dur que le CISM ?
Le CISA est plus dur si tu es un manager sécurité. Le CISM est plus dur si tu es un auditeur IT pur.
Puis-je passer CISA sans background technique ?
Oui, mais il te faudra plus de temps d'étude — typiquement 200–280 heures au lieu de 120–180.
Quelle différence entre score scaled et pourcentage brut ?
ISACA utilise un score scaled de 200 à 800. Le score de passage est 450 — mais ne correspond pas à un pourcentage brut fixe. Grossièrement, les candidats qui répondent correctement à 65–70 % des questions atteignent 450 scaled.
Puis-je passer CISA sans 5 ans d'expérience ?
Tu peux passer l'examen sans, mais tu ne peux pas être certifié avant d'avoir 5 ans d'expérience en audit SI, contrôle ou sécurité. Substitutions possibles.
La QAE ISACA vs les tests de tiers ?
La Questions, Answers & Explanations (QAE) officielle ISACA est la plus proche du style réel.
La mise à jour syllabus 2024 a-t-elle affecté les taux ?
Oui, légèrement à la baisse en T1–T2 2025, le temps que les candidats s'ajustent au contenu cloud élargi en Domaines 4 et 5.
Verdict
L'examen CISA est dur principalement parce que les Domaines 4 et 5 (52 % de l'examen) testent une profondeur technique que les auditeurs purs n'ont souvent pas. La difficulté est patternée, pas aléatoire.
Les candidats qui passent à 75 %+ allouent leur temps à faiblesse × poids, pas à parts égales. Ils dépensent des heures disproportionnées sur cryptographie, sécurité réseau, cloud computing et business resilience.
Les candidats qui passent à 50 % ne le font pas.
Choisis ton groupe.