CISA vs CISM : laquelle choisir en 2026 (et dans quel ordre) ?
Comparaison définitive des deux certifications phares ISACA — structure d'examen, coûts, données salariales 2026, matrice de décision et la stratégie de stacking que les CISO utilisent réellement.
Réponse rapide : CISA ou CISM en premier ?
- Choisis le CISA si tu audites, évalues ou vérifies des systèmes IT et veux évoluer vers de l'audit IT leadership, du test SOX IT, ou de l'audit SI externe.
- Choisis le CISM si tu conçois, construis ou diriges un programme de sécurité, et veux évoluer vers un poste de RSSI, directeur sécurité, ou IT risk manager.
- Prends les deux si tu vises CIO/CISO dans une cotée — la plupart des RSSI en Amérique du Nord détiennent les deux, et la seconde cert ajoute environ 15 000 à 25 000 $ de levier salarial au-dessus de la première.
Le reste de l'article : comparaison détaillée — structure d'examen, coûts, données salariales, matrice de décision et stacking que les seniors utilisent.
Ce que sont vraiment CISA et CISM
Les deux certifications sont délivrées par ISACA, l'association professionnelle mondiale pour la gouvernance, l'audit et la sécurité IT. Ce sont les deux credentials ISACA les plus cités dans les offres LinkedIn pour les postes seniors IT-adjacents, et elles font des jobs très différents.
CISA — Certified Information Systems Auditor
Le CISA valide la capacité à planifier, exécuter et reporter sur les audits de systèmes d'information. C'est le credential des auditeurs qui évaluent si les systèmes IT et leurs contrôles font ce qu'ils sont censés faire.
Créé : 1978. Détenu par 170 000+ professionnels (ISACA, 2026).
Idéal pour : auditeurs IT, responsables conformité SI, analystes de contrôle, spécialistes de la gouvernance IT, auditeurs externes faisant du contrôle IT, spécialistes SOX IT.
CISM — Certified Information Security Manager
Le CISM valide la capacité à concevoir, construire et diriger un programme de sécurité de l'information d'entreprise. C'est le credential le plus souvent détenu par les RSSI dans les grandes entreprises.
Créé : 2002. Détenu par 70 000+ professionnels (ISACA, 2026).
Idéal pour : responsables sécurité de l'information, RSSI, directeurs de programme sécurité, IT risk managers, leaders GRC en mouvement vers la propriété sécurité.
CISA vs CISM d'un coup d'œil
| Dimension | CISA | CISM |
|---|---|---|
| Éditeur | ISACA | ISACA |
| Année de création | 1978 | 2002 |
| Titulaires mondiaux (2026) | ~170 000 | ~70 000 |
| Questions d'examen | 150 | 150 |
| Durée | 4 heures | 4 heures |
| Score requis | 450 / 800 | 450 / 800 |
| Expérience requise | 5 ans en audit SI, contrôle ou sécurité | 5 ans en SI, dont 3 en management sécurité |
| Frais d'examen (membres, 2026) | 575 $ | 575 $ |
| Frais d'examen (non-membres, 2026) | 760 $ | 760 $ |
| Frais de maintenance annuels | 45 $ (membre) / 85 $ (non-membre) | 45 $ / 85 $ |
| CPE requis par an | 20 heures | 20 heures |
| Salaire moyen US (2026) | ~125 000 $ | ~135 000 $ |
| Arc de carrière | Audit IT → directeur audit → CAE | Manager sécurité → RSSI |
Les quatre domaines CISA (2026)
| Domaine | Poids | Focus |
|---|---|---|
| Information Systems Auditing Process | 18 % | Planification, exécution, preuve, reporting |
| Governance and Management of IT | 18 % | Stratégie IT, structures, gestion des ressources |
| IS Acquisition, Development & Implementation | 12 % | SDLC, gestion de projet, post-implementation review |
| IS Operations and Business Resilience | 26 % | Operations, BCP, DRP |
| Protection of Information Assets | 26 % | Identité, accès, réseau, chiffrement, incident response |
Le CISA récompense la profondeur en operations et protection de l'information — les deux plus gros domaines (52 % de l'examen).
Les quatre domaines CISM (2026)
| Domaine | Poids | Focus |
|---|---|---|
| Information Security Governance | 17 % | Stratégie, culture, reporting au board |
| Information Security Risk Management | 20 % | Identification, analyse, réponse |
| Information Security Program | 33 % | Conception, build, exploitation |
| Incident Management | 30 % | Préparation, détection, réponse, récupération |
Le CISM récompense la profondeur en programme et gestion d'incident — 63 % de l'examen.
Données salariales : benchmarks 2026
Source : Robert Half, Glassdoor et l'enquête salariale ISACA (chiffres US, USD).
| Rôle | Sans cert | CISA | CISM | CISA + CISM |
|---|---|---|---|---|
| Auditeur IT (mid) | 85 000 $ | 105 000 $ | — | 115 000 $ |
| Senior IT Auditor | 105 000 $ | 125 000 $ | 130 000 $ | 145 000 $ |
| Manager audit IT | 125 000 $ | 145 000 $ | 150 000 $ | 170 000 $ |
| Manager sécurité info | 130 000 $ | 135 000 $ | 155 000 $ | 170 000 $ |
| RSSI (mid-cap) | 200 000 $ | 215 000 $ | 235 000 $ | 250 000 $+ |
- Le CISA ajoute plus de salaire côté audit.
- Le CISM ajoute plus de salaire côté management sécurité.
- Détenir les deux ajoute une prime significative à chaque niveau senior — typiquement 15 000 à 25 000 $.
Laquelle d'abord ? Matrice de décision
| Ta situation actuelle | Choix |
|---|---|
| Auditeur externe / Big Four spécialiste IT | CISA |
| Auditeur interne faisant des walkthroughs IT | CISA |
| SOC analyst ou ingénieur sécurité | CISM |
| Manager sécurité / lead programme | CISM |
| Analyste GRC (compliance, sans audit) | CISA puis CISM |
| Consultant en advisory sécurité | CISM |
| Jeune diplômé indécis | CISA (optionnalité carrière plus large) |
| Cible RSSI dans 3 ans | CISM |
La stratégie de stacking que les seniors utilisent vraiment
Chez les RSSI et CAE des cotées US, les combinaisons les plus fréquentes (données LinkedIn, n=512 profils, 2025) :
- 1CISA + CISM — 41 % des profils. Le stack ISACA par défaut.
- 2CISA + CIA — 22 %. Fréquent là où l'audit interne possède l'audit IT.
- 3CISM + CISSP — 19 %. Le stack sécurité-first pour le track RSSI.
- 4CISA + CISM + CRISC — 11 %. Le stack ISACA complet, fréquent en services financiers.
- 5Une seule cert — 7 %. Tend à être en début de carrière.
Pattern dominant : un CISA établit la dorsale audit/assurance, et le CISM (ou CISSP, ou CRISC) ajoute la spécialisation.
Combien de temps pour préparer
| Cert | Heures (avec background IT) | Heures (sans) |
|---|---|---|
| CISA | 120–180 | 200–280 |
| CISM | 100–150 | 180–250 |
Le CISM tend à être légèrement plus rapide pour les candidats qui ont réellement dirigé un programme sécurité ; légèrement plus lent pour les auditeurs purs qui doivent construire le contexte management.
Comment l'IA change la prep ISACA
L'examen ISACA 2026 est beaucoup plus dur à gamer qu'à l'époque 2018. ISACA fait tourner les questions agressivement entre fenêtres d'examen et utilise une sélection d'items adaptative.
Cela rend la préparation adaptative (IA calibrée sur tes domaines faibles) plus précieuse que jamais :
- Heat-mapping aligné ISACA après chaque session
- Questions générées par IA dans tes sous-domaines faibles
- Explication de concept en temps réel
- Flashcards à répétition espacée pour la mémorisation (glossaire ISACA, control objectives)
Les parcours ISACA NexusGRC Academy pour CISA et CISM utilisent cette approche. La prep adaptative pilotée par IA surperforme systématiquement la prep traditionnelle par rapport à une moyenne mondiale ISACA d'environ 50 %.
Questions fréquentes
Le CISM est-il plus dur que le CISA ?
Pour la plupart : CISM est plus dur si tu es un auditeur pur, parce qu'il teste de la stratégie et du programme design que tu ne vois pas au quotidien. CISA est plus dur si tu es un ingénieur sécurité pur, parce qu'il teste de la méthodologie d'audit que tu n'as pas pratiquée.
Puis-je passer CISA et CISM la même année ?
Oui. ISACA permet plusieurs inscriptions dans la même fenêtre. Beaucoup passent CISA d'abord et CISM 4 à 6 mois plus tard.
Faut-il l'expérience avant de passer l'examen ?
- CISA : 5 ans d'expérience audit SI, contrôle ou sécurité (avec substitutions possibles)
- CISM : 5 ans d'expérience SI, dont 3 en management sécurité spécifiquement
L'expérience peut être acquise 5 ans avant ou 10 ans après le passage.
Comment CISA se compare-t-il au CIA ?
CISA est focalisé IT ; CIA est audit interne généraliste. Voir notre Best GRC Certifications 2026 ranking (article à venir) pour le tableau complet.
CISM vaut-il le coup si j'ai déjà CISSP ?
Oui, si ton rôle est management-track. CISSP est plus large et plus technique ; CISM est plus étroit et plus management/gouvernance.
L'IA va-t-elle remplacer les auditeurs IT et managers sécurité ?
Non, mais elle va absorber la couche tableur des deux jobs. Voir notre essai L'IA ne remplace pas l'auditeur ; elle remplace le tableur.
Verdict
Choisis CISA si tu aimes l'audit technique détaillé, veux une optionnalité carrière maximale, ou travailles pour un auditeur (externe ou interne).
Choisis CISM si tu préfères le management stratégique de la sécurité, la supervision de programme, ou tu vois déjà un siège de RSSI à ton horizon.
Stacke les deux si tu vises un leadership IT senior. La combinaison surpasse systématiquement l'une ou l'autre seule en salaire, optionnalité et — la seule métrique qui compte long terme — le siège que tu occupes dans la boîte où tu travailles.