La vision de Cyber Academy
Le CISO est le dirigeant responsable de la stratégie de sécurité de l'information. Il pilote le registre des risques, dirige la réponse aux incidents, informe le conseil d'administration et valide le risque résiduel. Sous NIS 2 et DORA, la responsabilité est désormais explicite et personnelle. La fonction relève de la gouvernance, non de l'implémentation ; la partie la plus difficile reste la traduction vers les instances dirigeantes.
Ce dont le CISO est réellement responsable
Le CISO est le dirigeant responsable de la stratégie de sécurité de l'information, et l'accent porte sur le mot responsable. Comme le résume la shortDefinition, le métier relève de la gouvernance, pas de la mise en œuvre. Un CISO ne configure pas les pare-feux et n'écrit pas les règles de détection ; il décide où l'organisation dépense son budget de sécurité limité, quels risques elle traite et lesquels elle accepte, et comment elle répond lorsqu'un incident survient. Les livrables quotidiens de la fonction sont un registre des risques, une feuille de route de programme, un plan de réponse aux incidents et un ensemble de rapports destinés au conseil d'administration, pas un terminal.
Cette distinction compte parce que le leadership en sécurité est souvent compris à tort comme un poste d'ingénierie senior. Ce n'en est pas un. Le CISO se situe à la frontière entre les équipes techniques qui font fonctionner les contrôles et les dirigeants qui les financent et en assument les conséquences. La partie la plus difficile du métier, comme le note la shortDefinition, est la traduction en conseil d'administration : transformer une réalité technique tentaculaire en un petit nombre de décisions qu'un conseil peut réellement prendre. Un CISO incapable d'expliquer le risque résiduel en termes métier ne peut pas faire ce travail, aussi solide soit sa formation technique.
Responsabilité sous NIS 2 et DORA
Pendant des années, la fonction de CISO a porté la responsabilité sans grande redevabilité formelle. Cela a changé. La shortDefinition est explicite : sous NIS 2 et DORA, la redevabilité est désormais personnelle. NIS 2, la directive européenne sur la sécurité des réseaux et de l'information, fait remonter la supervision de la cybersécurité jusqu'à l'organe de direction des entités concernées et rend cet organe responsable de l'approbation et de la supervision des mesures de gestion des risques de sécurité.
DORA, le Digital Operational Resilience Act, fait l'équivalent pour le secteur financier de l'UE, plaçant fermement la redevabilité en matière de résilience opérationnelle au niveau de l'organe de direction. L'effet pratique est que « la fonction sécurité fait de son mieux » n'est plus une posture défendable ; un dirigeant nommément désigné doit assumer les décisions de risque par écrit.
C'est pourquoi un CISO moderne consacre tant de temps à la documentation et à la cadence de reporting. Valider le risque résiduel, informer le conseil sur le paysage des menaces et prouver que les mesures de gestion des risques ont été approuvées au bon niveau ne sont plus des compléments de bonne pratique. C'est ainsi que l'organisation démontre qu'elle a respecté ses obligations légales. La fonction est passée de « diriger l'équipe sécurité » à « rendre la gouvernance défendable ».
En quoi le CISO diffère des fonctions voisines
Le CISO est souvent confondu avec les personnes et les fonctions qui l'entourent. Un responsable de la sécurité ou un propriétaire de programme certifié CISM dirige le programme de sécurité et peut faire rapport au CISO ; le CISO définit la stratégie et en porte la redevabilité exécutive. Un responsable de SOC est propriétaire des opérations de détection et de réponse ; le CISO est propriétaire de la décision sur le niveau de capacité de détection que l'organisation financera et sur ce qu'elle fera lorsque le SOC fait remonter un incident majeur. Et lorsque l'organisation exploite un SMSI ISO 27001, le CISO en est généralement le sponsor exécutif plutôt que l'opérateur quotidien.
| Fonction | Prisme principal | Rend compte à |
|---|---|---|
| CISO | Stratégie de sécurité, acceptation des risques, redevabilité devant le conseil | CEO ou conseil d'administration |
| Responsable de la sécurité | Pilotage du programme et de l'équipe sécurité | Souvent au CISO |
| Responsable de SOC | Détection, surveillance, opérations de réponse aux incidents | CISO ou responsable de la sécurité |
| DPO | Conformité à la protection des données et droits des personnes | Indépendant, accès au conseil |
Un binôme qu'il vaut la peine de distinguer nettement est le CISO et le Délégué à la protection des données. Ils se recoupent sur les incidents impliquant des données personnelles, mais ce sont des métiers différents. Le DPO est une fonction de conformité et de contrôle dotée d'une indépendance protégée par la loi ; le CISO est un dirigeant qui porte la stratégie de sécurité et est évalué sur elle. Dans beaucoup d'organisations, ils collaborent en permanence et rendent compte par des lignes différentes, précisément parce que le DPO doit pouvoir contester l'activité, y compris la fonction sécurité.
Pour les praticiens en route vers ce siège, le cadrage honnête est que la fonction de CISO récompense le jugement et la communication plus que les outils. Le socle technique est présupposé ; ce qui fait recruter les gens et les rend efficaces, c'est la capacité à porter le risque, à informer un conseil et à rendre la redevabilité défendable sous des cadres comme NIS 2 et DORA.
Frequently asked questions
01Le CISO est-il une fonction technique ?
Pas principalement. Le CISO porte la stratégie de sécurité, l'acceptation des risques et le reporting au conseil. Une formation technique aide, mais le cœur du métier est la gouvernance et la traduction du risque en décisions que les dirigeants peuvent prendre, pas la mise en œuvre des contrôles.
02Qu'est-ce qui a changé pour les CISO sous NIS 2 et DORA ?
La redevabilité est devenue explicite et personnelle. Les deux cadres font remonter la supervision de la sécurité et de la résilience opérationnelle jusqu'à l'organe de direction, de sorte que les mesures de gestion des risques doivent être formellement approuvées et supervisées au niveau exécutif. « L'équipe a fait de son mieux » n'est plus une position défendable.
03Quelle est la différence entre un CISO et un responsable de la sécurité ?
Le responsable de la sécurité dirige le programme et l'équipe et rend souvent compte au CISO. Le CISO définit la stratégie, valide le risque résiduel et porte la redevabilité exécutive pour la fonction sécurité dans son ensemble.
04Le CISO est-il propriétaire de la réponse aux incidents ?
Le CISO dirige la réponse aux incidents au niveau exécutif : il est propriétaire du plan, prend les décisions majeures pendant une crise et informe le conseil. La détection et le confinement au quotidien relèvent généralement d'un SOC ou d'une équipe sécurité qui fait remonter au CISO.
05En quoi le CISO diffère-t-il du DPO ?
Le CISO est un dirigeant redevable qui porte la stratégie de sécurité. Le DPO est une fonction de contrôle dotée d'une indépendance protégée par la loi, centrée sur la conformité à la protection des données. Ils collaborent sur les incidents touchant les données personnelles mais répondent à des mandats différents.