Maintenir sa CISM : 120 CPE sur 3 ans, code éthique ISACA, renouvellement

Obtenir la CISM est une chose, la garder en est une autre. ISACA impose un programme de formation continue (CPE pour Continuing Professional Education) qui exige de la rigueur administrative autant que de la veille technique. Une certification suspendue parce que vous avez oublié de déclarer vos heures, c’est une compétence reconnue qui devient invisible aux yeux de votre employeur ou de vos clients. Ce tutoriel déroule pas-à-pas le maintien de la CISM : compteur d’heures, catégories valables, code éthique ISACA, gestion d’un audit aléatoire, et plan de prévention sur les trois années du cycle.

Prérequis

• CISM obtenue et certification active dans son cycle initial ou en cours de renouvellement
• Accès au portail myISACA avec identifiants à jour
• Connaissance des règles de base sur les CPE (à défaut, lire d’abord le tutoriel précédent)
• Outil simple de suivi : tableur, application notes, ou outil dédié type CertProgress
• Temps requis : environ 30 minutes par mois pour la tenue du registre
• Niveau attendu : certifié CISM en activité

Étape 1 — Comprendre la mécanique des cycles CPE

Le compteur CPE démarre au 1er janvier de l’année suivant l’obtention de la certification. Vous obtenez la CISM en mars 2026 ? Votre premier cycle de trois ans court du 1er janvier 2027 au 31 décembre 2029. L’objectif : 120 CPE cumulées sur le cycle, avec un minimum de 20 CPE par année calendaire. Le défaut de minimum annuel est rattrapable une fois, mais ne pas atteindre 120 sur le cycle entraîne la suspension automatique de la certification, suivie de la révocation si la situation n’est pas régularisée sous 12 mois.

Le compteur se réinitialise au 1er janvier de l’année suivant la fin du cycle. Les heures excédentaires ne se reportent jamais d’un cycle à l’autre — il ne sert à rien d’engranger 200 heures dans un cycle pour s’en dispenser ensuite. À l’inverse, l’absence partielle au cours d’une année (congé maternité, maladie longue, mission terrain en zone hors réseau) peut être documentée et donner lieu à une demande formelle d’extension de cycle au cas par cas.

Année du cycle	Minimum annuel	Cumul ciblé	Risque si non atteint
Année 1	20 CPE	40 CPE	Alerte du portail ISACA
Année 2	20 CPE	80 CPE	Risque de suspension si année 3 incomplète
Année 3	20 CPE minimum, viser le solde	120 CPE	Suspension automatique au 31/12

Étape 2 — Connaître les catégories valables

ISACA classe les activités éligibles en plusieurs catégories. Toutes ne se valent pas, et certaines ont des plafonds annuels. Connaître ce barème évite d’engranger des heures qui ne compteront finalement pas dans le calcul final.

• Cours, conférences et webinaires liés à la sécurité de l’information — 1 heure de participation = 1 CPE. Pas de plafond annuel. C’est la voie la plus simple et la plus prévisible.
• Conférences et événements ISACA — 1 heure = 1 CPE. Certains événements (CSX, Engage, conférences régionales) donnent des badges de présence directement enregistrés.
• Présentation comme speaker ou animateur d’atelier — 2 CPE par heure de présentation (au-delà de la première fois ; les répétitions du même contenu ne comptent qu’une fois).
• Publication d’articles ou de chapitres d’ouvrages — jusqu’à 10 CPE par article publié dans une revue à comité de lecture ou un ouvrage professionnel reconnu.
• Mentoring d’un candidat CISM — jusqu’à 10 CPE par candidat coaché, sur attestation.
• Enseignement universitaire — 2 CPE par heure de cours enseigné en première fois, avec plafond annuel à vérifier.
• Lecture professionnelle — magazines techniques, normes, livres blancs : plafonné à 10 CPE par année. Documenter la lecture avec dates et titres.
• Participation à un examen ISACA en tant que volontaire — relecture de questions, comité d’experts. Quantité variable, sur invitation.

La règle d’or : viser un mix équilibré. Un certifié qui ne valide ses CPE qu’avec des webinaires gratuits accumule des heures sans monter en compétence — c’est l’esprit même du programme qui se perd. À l’inverse, mélanger lecture, participation à des événements, contribution publique (article, présentation) et mentoring construit un parcours de séniorité visible au-delà du compteur.

Étape 3 — Mettre en place un journal de bord exploitable

Un journal de bord rigoureusement tenu protège la certification en cas d’audit aléatoire. ISACA en sélectionne un échantillon chaque année (typiquement 5 à 10 % des certifiés) et demande la production des preuves. Si vous ne pouvez pas justifier les heures déclarées, la certification est révoquée — sans appel possible. Le journal de bord se tient mois par mois sur un format simple.

Date       | Activité                                    | Catégorie         | CPE | Preuve disponible
-----------|---------------------------------------------|-------------------|-----|-----------------------------
2027-01-12 | Webinaire ISACA "Zero Trust 2027"          | Webinaire ISACA   |  1  | Mail confirmation + badge
2027-01-23 | Lecture norme ISO/IEC 27001:2022 chap 1-5  | Lecture pro       |  3  | PDF acheté + notes
2027-02-08 | Conférence Cyber Africa Forum Abidjan      | Conférence        |  6  | Billet + badge nominatif
2027-02-19 | Présentation interne RACI sécurité          | Speaker première  |  4  | Slides + email RH
2027-03-15 | Article publié blog professionnel           | Publication       |  5  | URL + capture screenshot
2027-04-03 | Cours en ligne SANS SEC301 (5 jours)        | Cours formation   | 25  | Certificat de complétion
2027-04-22 | Lecture livre "How to Measure Anything..."  | Lecture pro       |  4  | Titre + résumé personnel
2027-05-10 | Mentoring 2 candidats CISM (6 sessions)     | Mentoring         |  6  | Attestation des mentorés

Chaque ligne renvoie à une preuve physique ou numérique conservée pendant 12 mois minimum après la fin du cycle. Les preuves acceptables : attestation officielle de l’organisme de formation, badge d’événement, mail de confirmation, certificat de complétion en ligne, capture de la publication. L’auto-attestation seule n’est pas suffisante pour les activités auditables.

Étape 4 — Déclarer les heures sur le portail myISACA

La déclaration se fait sur le portail myISACA, dans la section « Manage My Certifications ». Le portail accepte les saisies au fil de l’eau ou en lot annuel. La pratique la plus saine est la saisie mensuelle : 15 minutes par mois, l’information est fraîche, les preuves sont à portée. La saisie en bloc une fois par an force un travail de mémoire fastidieux et augmente le risque d’erreur ou d’oubli.

• Se connecter à myISACA avec l’identifiant utilisé pour le passage de l’examen
• Naviguer vers la rubrique CPE Reporting
• Cliquer sur Add CPE Activity et choisir la catégorie correspondante
• Renseigner la date, la description, le nombre d’heures et joindre la preuve (PDF, image)
• Valider — l’activité passe en statut « Reported » immédiatement
• Vérifier le cumul de l’année dans le récapitulatif en haut de page

Le portail conserve l’historique sur l’ensemble du cycle. À chaque changement d’année calendaire, le compteur annuel se réinitialise mais le cumul du cycle continue à monter. Au 30 novembre de l’année 3, vérifier que le cumul est bien à 120 ou au-dessus — il reste un mois pour ajouter du contenu si nécessaire (webinaires de fin d’année, lecture intense, événement de décembre).

Étape 5 — Payer la maintenance annuelle

Au-delà des CPE, la certification est conditionnée au paiement d’une maintenance annuelle. Pour un membre ISACA en 2026, le tarif est de 45 $ par an pour la première certification ; pour un non-membre, 85 $. À partir de la troisième certification ISACA détenue, le tarif des suivantes passe à 25 $ (membre) ou 50 $ (non-membre). Cette maintenance se paie en une fois lors du renouvellement annuel de l’adhésion.

Le non-paiement entraîne une période de grâce de 90 jours, durant laquelle la certification reste active. Au-delà, elle est suspendue ; au-delà d’un an, révoquée définitivement. Un certifié qui souhaite réintégrer le programme après une révocation doit repasser l’examen — il n’y a pas de procédure simple de réactivation. La règle pratique : configurer un rappel calendaire annuel pour le paiement de la cotisation et de la maintenance.

Étape 6 — Adhérer au code d’éthique professionnelle ISACA

Le code d’éthique ISACA est signé lors de l’inscription à l’examen et reste opposable pendant toute la durée de la certification. Il s’articule autour de sept principes que tout candidat doit connaître — ils peuvent être testés à l’examen, et leur respect est obligatoire dans la pratique professionnelle. Un manquement signalé et reconnu peut entraîner la révocation de la certification.

1. Soutenir la mise en place et encourager le respect des standards, procédures et contrôles pour les systèmes d’information.
2. Exercer ses fonctions avec objectivité, diligence professionnelle, et honnêteté en accord avec les standards professionnels.
3. Servir l’intérêt des parties prenantes de manière légale et honnête, sans porter atteinte à la réputation de la profession.
4. Préserver la confidentialité des informations obtenues dans l’exercice de ses fonctions, et ne pas les utiliser à des fins personnelles.
5. Maintenir un niveau de compétence et conserver les capacités à exercer ses fonctions, n’accepter que les missions pour lesquelles on est compétent.
6. Informer les parties intéressées des résultats de son travail et révéler les faits significatifs connus.
7. Soutenir l’éducation professionnelle des parties prenantes pour améliorer leur compréhension de la sécurité de l’information.

Le code se traduit concrètement par des comportements à risque à fuir : accepter une mission alors que vous savez ne pas avoir les compétences, dissimuler une vulnérabilité connue pour ne pas mettre l’employeur en difficulté, partager des informations de client à un autre client. Chacune de ces situations peut donner lieu à un signalement et à une procédure disciplinaire ISACA. La protection juridique passe par la documentation systématique des décisions et le refus explicite des situations limites.

Étape 7 — Gérer un audit aléatoire ISACA

ISACA notifie l’audit par mail au portail myISACA, généralement en début d’année suivant la fin d’un cycle. La notification donne 60 jours pour produire les preuves. Si vous avez tenu votre journal de bord avec rigueur, la procédure prend 2 à 3 heures. Si vous découvrez votre compteur à ce moment, l’audit devient une épreuve stressante avec un risque réel de révocation.

• Accuser réception de la notification dans les 7 jours et confirmer le délai de réponse
• Rassembler les preuves dans un classeur numérique structuré par catégorie
• Pour chaque activité déclarée, fournir : description, date, durée, preuve scannée ou mail
• Soumettre l’ensemble via le portail myISACA, jamais par email simple
• Garder une copie locale du dossier soumis pendant 12 mois minimum

Si une activité n’a pas de preuve, ne pas chercher à la fabriquer. Le risque d’une preuve litigieuse est infiniment supérieur au risque d’une heure non validée. Mieux vaut perdre 10 CPE et passer en année suivante avec un déficit à combler que de voir la certification révoquée pour falsification. Si le déficit est supérieur à 20 CPE, négocier directement avec ISACA un délai de mise en conformité — la procédure existe et est documentée sur le portail.

Étape 8 — Anticiper le renouvellement et la valeur dans le temps

La CISM se renouvelle automatiquement à la fin de chaque cycle de trois ans, sous réserve des 120 CPE et du paiement de la maintenance. Pas d’examen à repasser. Cette continuité est l’un des grands avantages comparés à d’autres certifications qui imposent des examens de recertification. La valeur de la certification sur le marché tient en partie à cette stabilité : un certifié actif depuis dix ans est immédiatement plus crédible qu’un certifié qui vient de réussir l’examen.

Sur le long terme, la stratégie maline consiste à viser des activités qui valident des CPE tout en construisant la trajectoire de carrière. Devenir speaker dans une conférence régionale ajoute des CPE et augmente la visibilité professionnelle. Animer une formation interne couvre les heures et renforce la légitimité. Mentorer trois candidats CISM par cycle construit un réseau et apporte 30 CPE faciles. Ces activités combinées font passer le maintien de la certification du statut de corvée administrative à celui de levier carrière.

Étape 9 — Vérifier que le dispositif tient

Trois indicateurs annuels à vérifier mécaniquement.

1. Au 30 juin de chaque année, le cumul annuel est-il à 15 CPE ou plus ? Si non, planifier deux à trois webinaires d’ici fin août pour rattraper.
2. Au 30 novembre, le cumul annuel est-il à 25 CPE ? Si non, identifier deux activités de fin d’année (lecture intensive, conférence virtuelle, écriture d’article).
3. En fin de cycle, le cumul total atteint-il 130 CPE avec une marge de 10 ? La marge protège contre l’invalidation d’une activité à l’audit.

Erreurs fréquentes

Erreur	Cause	Solution
Saisie unique fin d’année	Procrastination administrative	Rappel calendaire mensuel de 30 minutes
Lecture professionnelle non documentée	Lectures faites sans trace écrite	Journal de lecture avec titres, dates et résumés brefs
Webinaires sans preuve de présence	Connexion sans confirmation finale	Toujours rester jusqu’à la fin pour le badge ou le mail final
Falsification mineure « pour arrondir »	Pression de l’audit imminent	Jamais. Mieux vaut un déficit déclaré qu’une fraude détectée
Oubli de maintenance annuelle	Non-paiement de cotisation	Prélèvement automatique configuré sur myISACA
Activités dupliquées en mentoring	Confusion sur ce qui compte	Une session de mentoring par candidat par mois maximum

Tutoriels frères

• Préparer l’examen CISM : stratégie de révision, simulations et pièges à éviter
• Dossier d’expérience CISM : remplir l’application ISACA et activer les waivers
• Comparaison CPE CISSP (120/3 ans, minimum 40/an) : pilier CISSP détaille le cycle ISC².

Pour aller plus loin

• Retour au panorama : CISM (ISACA) : devenir Manager sécurité de l’information en 2026
• Maintenir la certification CISM — page officielle ISACA
• Code d’éthique professionnelle ISACA — texte intégral.
• Politique CPE ISACA — document PDF disponible sur le portail myISACA.

FAQ

Peut-on valider des CPE acquises dans le cadre d’une autre certification ?

Oui, à condition que l’activité soit pertinente pour la sécurité de l’information. Une formation suivie pour CISSP, CRISC ou ISO 27001 Lead Auditor compte également pour la CISM si elle traite de management de la sécurité. La même heure peut être déclarée pour plusieurs certifications ISACA, mais elle ne se compte qu’une fois par certification — pas de cumul artificiel.

Que se passe-t-il en cas de congé maternité ou maladie longue ?

ISACA prévoit une procédure d’extension de cycle pour circonstances exceptionnelles : maladie longue, congé parental, mission humanitaire, service militaire. La demande se fait sur le portail myISACA avec justificatifs. La décision est rendue au cas par cas, généralement avec une extension de 12 à 24 mois. Ne pas attendre la fin du cycle pour demander — anticiper réduit le stress et augmente les chances d’acceptation.

La certification suspendue peut-elle être réactivée ?

Suspendue oui, révoquée avec procédure d’appel. Pendant la période de suspension (jusqu’à 12 mois après l’expiration), il est possible de produire les CPE manquantes et de payer un rattrapage. Au-delà, une procédure formelle d’appel auprès d’ISACA reste possible avec frais de réinscription (typiquement 50 $) ; si l’appel échoue, seul un nouveau passage de l’examen permet de retrouver la certification. La règle est de ne jamais laisser une certification dériver en suspension — la régularisation coûte toujours moins cher que la révocation.

Le mentoring se déclare comment ?

Avec une attestation signée par le mentoré indiquant les dates des sessions et leur durée. Une heure de mentoring effective rapporte 1 CPE pour le mentor, jusqu’à 10 CPE par mentoré sur une année. La pratique consistant à déclarer un coaching informel sans trace écrite n’est pas auditable et expose à la révocation. Garder un planning des sessions est suffisant.

Combien de temps faut-il garder les preuves ?

ISACA exige 12 mois de conservation minimum après la fin du cycle où l’activité a été déclarée. La pratique mature est de garder l’ensemble pendant tout le cycle plus 24 mois, soit cinq ans pour le premier cycle. Un coffre-fort numérique (Dropbox dédié, OneDrive professionnel, NAS chiffré) avec une arborescence par année simplifie radicalement la gestion en cas d’audit.