CRISC ® : Certified in Risk and Information Systems Control

Cette formation s’adresse aux personnes ayant une expérience professionnelle importante, ayant déjà effectué un travail de préparation pour le CRISC, et ne ressentant pas le besoin de suivre notre cours avancé (module de base). Nous recommandons aux participants d’avoir une connaissance détaillée des thèmes du CRISC (Job Practice Area) et d’avoir déjà lu le manuel de référence CRISC (Review Manual) avant de suivre la formation et, idéalement, d’avoir plusieurs années d’expérience professionnelle dans différents domaines de l’informatique.

La formation de préparation au CRISC est principalement destinée à toutes les personnes s’occupant de la gouvernance, de l’audit ou de la sécurité des systèmes d’information, telles que :

• Responsable des systèmes d’information (SI)
• Responsable de la sécurité
• Responsable de la conformité
• Chef de projet informatique
• Responsable d’urbanisation des SI
• Responsable des ressources des SI

Nos formateurs sont tous certifiés, et apportent avec eux une expérience pratique de plus de 20 ans dans le domaine de la sécurité informatique.

Notre formation, qui peut être donnée en français et en anglais, inclut une simulation d’examen réaliste ainsi que deux examens complets avec une analyse personnelle détaillée (ces examens sont disponibles en anglais).

Vous bénéficiez d’une formation intensive de cinq jours pour des professionnels ayant déjà assimilé les thèmes du CRISC (Job Practice Area) et ayant lu le manuel de référence CRISC (Review Manual).

Les deux premiers jours et demi du cours consistent en un examen intensif et systématique de toutes les tâches du domaine de pratique professionnelle du CRISC. Les aspects importants du point de vue de l’examen sont présentés ici, sans entrer dans les détails de chaque tâche, c’est pourquoi un certain niveau d’expertise est requis. Les personnes qui souhaitent étudier toutes les tâches CRISC en détail devraient s’inscrire à notre cours avancé.

Après la phase initiale, un examen test réaliste est organisé (en anglais). Après cet examen test, nous discuterons des résultats lors du dernier jour de la formation. Vous recevrez également un deuxième test, que vous pourrez effectuer pendant votre temps libre. Nous le corrigerons ensuite et vous renverrons vos résultats.

Les domaines couverts par cette certification sont :

Identification des risques (27%)
Évaluation des risques informatiques (28%)
Réponse et atténuation des risques (23%)
Suivi et reporting des risques et des contrôles (22%)

Domaine 1 – Identification des risques informatiques – (27%)

Identifier l’univers des risques informatiques pour contribuer à l’exécution de la stratégie de gestion des risques informatiques à l’appui des objectifs commerciaux et en conformité avec la stratégie de gestion des risques de l’entreprise (ERM).

1. Recueillir et examiner les informations, y compris la documentation existante, concernant les environnements commerciaux et informatiques internes et externes de l’organisation afin d’identifier les impacts potentiels ou réalisés du risque informatique sur les objectifs commerciaux et les opérations de l’organisation.
2. Identifier les menaces et les vulnérabilités potentielles des personnes, des processus et des technologies de l’organisation pour permettre l’analyse des risques informatiques.
3. Développer un ensemble complet de scénarios de risques informatiques basés sur les informations disponibles afin de déterminer l’impact potentiel sur les objectifs et les opérations de l’entreprise.
4. Identifier les principales parties prenantes pour les scénarios de risques informatiques afin d’aider à établir la responsabilité.
5. Établir un registre des risques informatiques afin de s’assurer que les scénarios de risques informatiques identifiés sont pris en compte et intégrés au profil de risque de l’entreprise.
6. Identifier l’appétit et la tolérance au risque définis par la haute direction et les principales parties prenantes afin d’assurer l’alignement avec les objectifs de l’entreprise.
7. Collaborer à l’élaboration d’un programme de sensibilisation aux risques et organiser des formations pour s’assurer que les parties prenantes comprennent les risques et pour promouvoir une culture de sensibilisation aux risques.

Domaine 2-Évaluation des risques informatiques – (28%)

Analyser et évaluer les risques informatiques pour déterminer la probabilité et l’impact sur les objectifs de l’entreprise afin de permettre une prise de décision fondée sur les risques.

1. Analyser les scénarios de risque en fonction de critères organisationnels (p. ex. structure organisationnelle, politiques, normes, technologie, architecture, contrôles) afin de déterminer la probabilité et l’impact d’un risque identifié.
2. Identifier l’état actuel des contrôles existants et évaluer leur efficacité pour l’atténuation des risques informatiques.
3. Examiner les résultats de l’analyse des risques et des contrôles pour évaluer tout écart entre l’état actuel et l’état souhaité de l’environnement des risques informatiques.
4. S’assurer que la propriété des risques est attribuée au niveau approprié afin d’établir des lignes de responsabilité claires.
5. Communiquer les résultats des évaluations des risques à la haute direction et aux parties prenantes concernées afin de permettre une prise de décision fondée sur les risques.
6. Mettre à jour le registre des risques avec les résultats de l’évaluation des risques. 

Domaine 3 – Atténuation des réponses aux risques – (23%)

Déterminer les options de réponse aux risques et évaluer leur efficience et leur efficacité pour gérer les risques en fonction des objectifs de l’entreprise.

1. Consulter les responsables des risques pour sélectionner et aligner les réponses recommandées aux risques sur les objectifs de l’entreprise et permettre des décisions éclairées en matière de risques.
2. Consulter ou aider les propriétaires de risques à élaborer des plans d’action pour les risques afin de s’assurer que les plans comprennent des éléments clés (p. ex., réponse, coût, date cible).
3. Consulter sur la conception et la mise en œuvre ou l’ajustement des contrôles d’atténuation pour s’assurer que le risque est géré à un niveau acceptable.
4. S’assurer que la propriété des contrôles est attribuée afin d’établir des lignes de responsabilité claires.
5. Aider les responsables des contrôles à élaborer des procédures et des documents de contrôle pour permettre une exécution efficace et efficiente des contrôles.
6. Mettre à jour le registre des risques pour refléter les changements dans les risques et la réponse de la direction aux risques.
7. Valider que les réponses aux risques ont été exécutées conformément aux plans d’action en matière de risques.

Domaine 4 – Surveillance et rapports sur les risques et les contrôles – (22%)

Surveiller en permanence les risques et les contrôles informatiques et en rendre compte aux parties prenantes concernées afin de garantir l’efficacité et l’efficience continues de la stratégie de gestion des risques informatiques et son alignement sur les objectifs commerciaux.

1. Définir et établir des indicateurs de risque clés (KRI) et des seuils sur la base des données disponibles, afin de permettre le suivi de l’évolution des risques.
2. Surveiller et analyser les indicateurs clés de risque (KRI) afin d’identifier les changements ou les tendances dans le profil de risque informatique.
3. Rendre compte des changements ou des tendances liés au profil de risque informatique pour aider la direction et les parties prenantes concernées à prendre des décisions.
4. Faciliter l’identification des paramètres et des indicateurs clés de performance (ICP) pour permettre la mesure de la performance du contrôle.
5. Suivre et analyser les indicateurs clés de performance (ICP) pour identifier les changements ou les tendances liés à l’environnement de contrôle et déterminer l’efficience et l’efficacité des contrôles.
6. Examiner les résultats des évaluations de contrôle pour déterminer l’efficacité de l’environnement de contrôle.
7. Rendre compte de la performance, des changements ou des tendances du profil de risque global et de l’environnement de contrôle aux parties prenantes concernées afin de faciliter la prise de décision. 

• Tâches CISA: certaines
• Tâches CISM: certaines
• Tâches CGEIT: certaines
• Tâches CRISC: toutes
• Processus COBIT5: (toutes)

Cette certification couvre tous les domaines de l’audit des SI, des aspects organisationnels aux aspects les plus techniques. Elle sanctionne à la fois la réussite à l’examen CRISC (200 questions à choix multiple en 4 heures) et la validation de cinq années d’expérience dans le domaine. Il est cependant possible de passer l’examen avant les 5 ans d’expérience; dans ce cas, le certificat ne sera décerné qu’après validation des années d’expérience.

Des équivalences pour l’expérience professionnelle incluent par exemple des crédits d’heures de certaines universités, un diplôme de bachelor ou master, ou encore une expérience de formation dans le domaine. Pour plus d’information, veuillez lire la description détaillée du cours sur www.isaca.org

L’examen CRISC est réservé séparément par l’ISACA.

Il dure 4 heures (240 minutes) et contient 150 questions à choix multiples.

Le coût est de 575 USD pour les membres de l’ISACA et de 760 USD pour les non-membres.