Réussir l’examen CISM n’active pas la certification. Tant que le dossier d’expérience n’est pas soumis et validé par ISACA, votre statut reste « passed the CISM exam » — utile en signalisation, insuffisant pour porter le titre de Certified Information Security Manager. Cette étape administrative décourage nombre de candidats par sa lourdeur apparente, et pourtant elle se traite proprement en deux à quatre heures de travail si vous avez préparé les pièces. Ce tutoriel déroule pas-à-pas le remplissage de l’application sur le portail ISACA, l’activation des waivers d’expérience, la rédaction des attestations employeur et la gestion des cas particuliers.
Prérequis
- Examen CISM réussi avec score d’au moins 450 (notification reçue d’ISACA)
- Au moins 3 années d’expérience en management de sécurité couvrant au moins 3 des 4 domaines
- Liste complète de tous les employeurs concernés avec dates précises
- Accès aux justificatifs : contrats de travail, fiches de poste, attestations
- Adresses email professionnelles ou personnelles des superviseurs qui valideront l’expérience
- Compte myISACA actif et frais de dossier (50 $) prêts à être réglés
- Temps requis : 2 à 4 heures réparties sur 1 à 2 sessions
Étape 1 — Calculer son éligibilité avant de remplir le formulaire
Avant de commencer le formulaire ISACA, posez votre éligibilité au brouillon. La règle générale : 5 ans d’expérience en sécurité de l’information dans les 10 années précédant la demande, dont 3 ans de management dans 3 ou 4 domaines parmi les 4 du référentiel CISM. Les waivers permettent de remplacer jusqu’à 2 ans des 5, mais jamais les 3 ans de management — ce socle est non négociable. Préparez un tableau récapitulatif personnel sur un brouillon avant de toucher au portail.
Récapitulatif éligibilité personnel Année | Poste | Manager ? | Domaines couverts 2020 | Analyste SOC | Non | Domaine 4 partiel 2021 | Analyste SOC senior | Non | Domaine 4 2022 | Responsable opérationnel SOC | Oui | Domaines 3 et 4 2023 | Responsable conformité IT | Oui | Domaines 1, 2 et 3 2024 | Responsable conformité IT | Oui | Domaines 1, 2 et 3 2025 | Manager sécurité | Oui | 1, 2, 3 et 4 Total années : 6 ans (couverture sécurité info) Années management : 4 ans (2022 à 2025) Domaines couverts : les 4 Waivers possibles : Master en cybersécurité (2018-2020) → 2 ans Mais expérience déjà supérieure → waivers inutiles ici Conclusion : éligibilité acquise sans waivers nécessaires
Si le tableau montre un déficit (moins de 3 ans de management, ou moins de 3 domaines couverts), il est inutile d’aller plus loin. Vous disposez de 5 ans après la réussite de l’examen pour compléter votre expérience — patientez et passez la demande plus tard. Forcer un dossier insuffisant aboutit à un refus formel d’ISACA qui devient ensuite difficile à retravailler.
Étape 2 — Comprendre les waivers et leurs justificatifs
Les waivers sont des substitutions à l’expérience générale (et non au management). Ils sont plafonnés à 2 ans cumulés, quelle que soit la combinaison choisie. Connaître la liste exacte évite à la fois les déceptions (« mon diplôme ne compte pas ») et les manques (« j’aurais pu activer un waiver oublié »).
- 1 an — Maîtrise universitaire dans un domaine connexe à la sécurité (ingénierie informatique, systèmes d’information, comptabilité, audit), niveau bac+5 reconnu
- 2 ans — Master spécifiquement en sécurité de l’information (programme reconnu par un organisme tel que NSA CAE aux États-Unis ou équivalent)
- 1 an — Certification CISA active
- 1 an — Certification CISSP active
- 1 an — Certification professeur en sécurité de l’information dans un cursus universitaire reconnu (Skills Framework for the Information Age — SFIA niveau 6 ou équivalent)
- 2 ans — Combinaison de certifications listées sur le site ISACA (varie selon les versions du règlement)
Les waivers ne se cumulent pas au-delà de 2 ans. Un candidat avec CISA, CISSP et un master en cybersécurité n’obtient pas 4 ans de waiver — il plafonne à 2 ans. Pour chaque waiver invoqué, préparer le justificatif scanné : diplôme avec relevé de notes (pour un master), attestation de certification active (pour CISA ou CISSP), avec date d’obtention et numéro de certification visibles.
Étape 3 — Préparer les attestations employeur
ISACA ne se contente pas d’une déclaration sur l’honneur. Chaque période d’expérience déclarée doit être validée par un tiers — typiquement le superviseur direct de l’époque, ou à défaut le responsable RH ou un collègue senior pouvant attester. La validation se fait par un email automatique envoyé par ISACA au validateur, qui reçoit un formulaire à remplir et signer électroniquement.
Préparer ces validateurs en amont est la clé d’un dossier qui passe sans friction. Contactez chacun d’eux 2 à 3 semaines avant de lancer la demande : expliquez la démarche, précisez qu’ils recevront un email d’ISACA avec un formulaire court (10 minutes), demandez confirmation de leur disponibilité. Beaucoup de validateurs ignorent ou retardent l’email s’il arrive sans préavis. Un message préparatoire fait passer le taux de réponse de 50 % à plus de 90 %.
Modèle de mail préparatoire au validateur Bonjour [prénom], J'ai récemment réussi l'examen CISM (Certified Information Security Manager) délivré par ISACA et je suis en train de finaliser mon dossier de certification. Pour activer le titre, ISACA me demande de faire valider mes expériences professionnelles passées par les superviseurs concernés. Vous étiez mon responsable hiérarchique entre [mois année] et [mois année], période durant laquelle j'occupais le poste de [intitulé]. À ce titre, j'ai déclaré [X] années d'expérience couvrant les domaines [1/2/3/4] du référentiel CISM. Je voulais vous prévenir que vous allez recevoir un email automatique d'ISACA (cism@isaca.org) avec un formulaire court de validation. Le remplissage prend environ 10 minutes. Si vous préférez un échange préalable pour clarifier ce qui est attendu, je suis disponible. Merci par avance pour votre soutien dans cette démarche. Cordialement, [Votre nom]
Si un superviseur n’est plus joignable (départ à la retraite, décès, perte de contact), la procédure de remplacement existe : un autre cadre de l’entreprise pouvant attester de votre activité (RH, directeur d’une autre fonction qui collaborait avec vous, collègue senior témoin) peut signer la validation. Documenter alors la raison du remplacement dans le formulaire ISACA.
Étape 4 — Remplir le formulaire en ligne sur myISACA
Le formulaire de certification CISM se trouve dans la rubrique « Manage My Certifications » du portail myISACA, après avoir reçu la confirmation officielle de réussite à l’examen. Le parcours se déroule en six écrans logiques. Préparez vos pièces et vos validateurs avant de commencer — une fois le formulaire ouvert, il est préférable de le finaliser en une session pour éviter les pertes de saisie.
- Confirmation des informations personnelles (nom, adresse, contact). Vérifier que le nom correspond exactement à la pièce d’identité — c’est ce nom qui figurera sur le certificat.
- Déclaration de l’examen passé. Le portail récupère automatiquement la session et le score.
- Saisie de l’expérience professionnelle. Pour chaque poste pertinent : employeur, dates précises, titre du poste, description courte (200 mots maximum), domaines CISM couverts (cocher 1, 2, 3, 4), pourcentage du temps consacré à la sécurité, statut management (oui/non).
- Activation des waivers le cas échéant. Joindre les justificatifs scannés (diplôme, attestation de certification).
- Désignation des validateurs pour chaque période d’expérience. Saisir nom, fonction, email du superviseur et relation hiérarchique de l’époque.
- Signature électronique du code d’éthique professionnelle ISACA. Lire attentivement avant de cocher l’engagement.
Le paiement des frais de dossier (50 $) intervient à la fin du parcours. Une fois soumis, le formulaire ne peut plus être modifié — toute correction nécessite une intervention manuelle d’ISACA. D’où l’importance de vérifier chaque écran avant validation finale. Une bonne pratique : capturer chaque écran par screenshot et conserver l’ensemble dans un dossier de référence.
Étape 5 — Rédiger les descriptions de poste alignées CISM
Les descriptions de poste sont la partie qui détermine si votre dossier sera validé sans question, ou s’il fera l’objet d’une demande de précision. La règle : reformuler vos missions passées en utilisant le vocabulaire des 4 domaines CISM, sans inventer ni exagérer. ISACA vérifie la cohérence interne, la plausibilité avec le poste et la durée. Un commentaire trop pauvre déclenche une demande de complément ; un commentaire trop ambitieux par rapport au titre déclenche une vérification renforcée.
Modèle de description alignée CISM Poste : Responsable conformité IT (2023-2025) Employeur : [Entreprise] Pourcentage temps sécurité : 80 % Statut management : Oui (encadrement de 2 collaborateurs) Description (200 mots max) : Pilotage du programme de conformité informatique aligné sur les exigences RGPD et la loi nationale sur les données personnelles. Mise en place d'une gouvernance de sécurité de l'information à l'échelle du groupe (domaine 1) avec rédaction de la charte, mise en place du comité de sécurité et matrice RACI. Conduite de l'analyse de risques annuelle sur les actifs critiques selon ISO 27005:2022 (domaine 2). Construction et pilotage de la feuille de route sécurité à 3 ans, avec définition des KPI et présentation trimestrielle au COMEX (domaine 3). Coordination des plans de réponse à incidents et exercices tabletop semestriels (domaine 4). Encadrement direct de 2 collaborateurs (analyste GRC et chargé de sensibilisation). Domaines couverts : 1, 2, 3, 4
Trois pièges à éviter dans cette rubrique. Le premier : déclarer 100 % du temps en sécurité alors que le poste réel comportait d’autres responsabilités — le pourcentage doit refléter la réalité. Le second : revendiquer les 4 domaines sur tous les postes alors qu’un junior couvre rarement la gouvernance — l’auditeur ISACA repère immédiatement les incohérences. Le troisième : recopier la fiche de poste générique sans personnaliser — la description est lue par un humain qui cherche du concret.
Étape 6 — Gérer le suivi après soumission
Après soumission, le portail myISACA affiche le statut du dossier en temps réel. Plusieurs étapes se succèdent et chacune peut prendre quelques jours à plusieurs semaines selon la charge ISACA et la réactivité des validateurs.
| Statut | Signification | Action attendue |
|---|---|---|
| Submitted | Dossier reçu, en attente de traitement | Aucune, patience |
| Verifier Notification Sent | Email parti aux validateurs | Relancer les validateurs si pas de réponse à 7 jours |
| Pending Verifier Response | Au moins un validateur n’a pas répondu | Identifier le manquant, relancer ou remplacer |
| Under Review | Tous les validateurs ont répondu, examen ISACA en cours | Aucune action |
| Approved | Certification accordée | Téléchargement du certificat numérique |
| Additional Information Requested | Demande de précisions | Répondre dans le délai indiqué (30 jours typiquement) |
| Denied | Dossier refusé | Lire le motif, faire appel si fondé ou refaire après expérience complémentaire |
Le délai moyen entre soumission et approbation est de 4 à 8 semaines pour un dossier propre. Les dossiers complexes (waivers multiples, expérience à l’étranger, validateur injoignable) peuvent prendre 3 à 4 mois. Pendant cette période, votre statut LinkedIn reste « Passed the CISM exam », à mettre à jour en « CISM Certified » dès la confirmation officielle.
Étape 7 — Gérer les cas particuliers
Plusieurs situations sortent du cadre standard et demandent une approche adaptée. Les anticiper évite de bloquer le dossier.
- Indépendant ou freelance — l’expérience comme consultant indépendant est recevable. La validation peut être faite par un client principal de l’époque, par un collègue senior de mission, ou par un partenaire d’un cabinet où vous interveniez régulièrement. Documenter chaque mission avec ses dates et son périmètre.
- Expérience à l’étranger — recevable sans difficulté, à condition de pouvoir contacter le superviseur. ISACA accepte les validateurs sur tous continents. Privilégier un email professionnel encore actif chez l’ancien employeur.
- Auto-entreprise ou société personnelle — l’entrepreneur peut être validé par son comptable, son commissaire aux comptes, ou un client référent. La preuve d’activité (factures, contrats) reste demandable.
- Activité bénévole reconnue — l’activité comme manager sécurité dans une association reconnue (par exemple un CERT national bénévole) peut être comptée, mais avec une vigilance accrue sur les justificatifs.
- Validateur décédé ou injoignable depuis plus de 5 ans — la procédure d’appel à un substitut existe. Documenter la raison du remplacement dans le formulaire et joindre une preuve raisonnable (notice nécrologique, ancienne entreprise fermée).
Étape 8 — Vérifier que le dossier est prêt avant soumission
Quatre vérifications avant de cliquer sur le bouton Submit final.
- Le total des années déclarées + waivers atteint 5 ans, dont au moins 3 ans en management couvrant 3 ou 4 domaines.
- Chaque validateur a été prévenu en amont par votre mail, et a confirmé sa disponibilité.
- Chaque description de poste utilise le vocabulaire CISM, sans copier-coller générique, avec un pourcentage réaliste.
- Les justificatifs de waivers (diplômes, certifications complémentaires) sont scannés en bonne qualité, lisibles, signés.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| Soumettre sans prévenir les validateurs | Précipitation après l’examen | Mail préparatoire 2-3 semaines avant |
| Pourcentage temps sécurité à 100 % partout | Maximisation maladroite | Refléter la réalité, ISACA croise les déclarations |
| Description copier-coller fiche de poste | Manque de personnalisation | Reformuler en vocabulaire CISM, illustrer par actions concrètes |
| 4 domaines déclarés sur un poste de junior | Surévaluation | Ne cocher que les domaines réellement couverts au quotidien |
| Waiver invoqué sans justificatif | Oubli des pièces | Préparer scans diplômes et certifications avant le formulaire |
| Validateur ancien employeur dans une entreprise fermée | Pas de solution prévue | Identifier un substitut crédible dès la préparation |
Tutoriels frères
- Préparer l’examen CISM : stratégie de révision, simulations et pièges à éviter
- Maintenir sa CISM : 120 CPE sur 3 ans, code éthique ISACA, renouvellement
Pour aller plus loin
- Retour au panorama : CISM (ISACA) : devenir Manager sécurité de l’information en 2026
- Earn a CISM Certification — guide officiel ISACA
- Politique d’expérience CISM — PDF téléchargeable sur le portail myISACA.
- FAQ CISM Application — section de support ISACA, mise à jour annuellement.
FAQ
Combien de temps après l’examen peut-on soumettre le dossier ?
Jusqu’à 5 ans après la réussite à l’examen. Au-delà, la réussite expire et il faut repasser l’examen. La majorité des candidats soumettent dans les 6 à 18 mois suivants. Trop tôt si l’expérience n’est pas suffisante, trop tard si on laisse passer l’urgence et que le dossier devient prioritaire moins que d’autres sujets.
Peut-on soumettre plusieurs dossiers pour plusieurs certifications ISACA ?
Oui, et c’est même fréquent. Un candidat avec CISA et CISM, par exemple, soumet deux dossiers séparés mais peut réutiliser les mêmes preuves d’expérience pour les périodes communes. Chaque certification a ses propres exigences de domaines, donc la description de chaque poste sera personnalisée pour chaque dossier.
Que faire si un dossier est refusé ?
Lire attentivement le motif du refus. Les cas les plus fréquents : expérience management insuffisante, validateurs non crédibles, descriptions trop génériques. Soit faire appel (procédure formelle ISACA, dossier complémentaire à produire dans 30 jours), soit attendre 6 à 12 mois supplémentaires d’expérience et resoumettre un dossier corrigé. Un refus n’efface jamais la réussite de l’examen — vous gardez vos 5 ans de fenêtre.
Les missions de stage ou alternance comptent-elles ?
Stages courts (moins de 6 mois) : non. Contrats d’alternance ou stages longs (1 an et plus, à temps plein) : oui s’ils correspondent à une véritable activité de sécurité. La validation par le maître de stage ou tuteur d’alternance est acceptée. Les missions étudiantes pendant les études supérieures ne comptent pas — elles relèvent de la formation, pas de l’expérience professionnelle.
Doit-on prouver les missions par des contrats signés ?
Pas systématiquement. Le formulaire ISACA n’exige pas la preuve contractuelle pour chaque poste — la validation par le superviseur suffit. Cela dit, conserver les contrats et fiches de poste reste prudent : ISACA peut demander un complément en cas de doute, et les pièces deviennent alors décisives. Une bonne pratique est de scanner tous ses contrats à chaque changement de poste, indépendamment de la démarche CISM.