Métier cyber
CISO : Chief Information Security Officer
Le CISO (Chief Information Security Officer) est le dirigeant en charge de la sécurité des systèmes d'information au sein d'une organisation. Il supervise la sécurité de l'information, la cybersécurité et la protection des technologies. En France, le terme équivalent est RSSI (Responsable de la Sécurité des Systèmes d'Information). Le CISO élabore, déploie et pilote le programme de sécurité de l'information, de la politique aux réponses aux incidents.
Rôle et responsabilités
Le CISO pilote les équipes dans l'identification, le développement, la mise en œuvre et la maintenance de processus visant à réduire les risques informationnels, gère les technologies de sécurité, déploie les politiques et assure la conformité aux cadres réglementaires tels que le RGPD, NIS2 ou ISO 27001.
Le rôle a évolué des contrôles techniques vers la gestion des risques d'entreprise, la gouvernance, la confidentialité et l'engagement au niveau du conseil d'administration. Le CISO travaille en lien étroit avec le CIO (directeur informatique), le CTO (directeur technique) et de plus en plus directement avec la direction générale. En 2019, seulement 24 % des CISO rapportaient au CIO, tandis que 40 % rapportaient directement au CEO, pour éviter les conflits d'intérêt et élargir leur périmètre au-delà de l'IT.
Le CISO est aussi responsable de la sensibilisation, de la communication des risques cyber à la direction et de la gestion des fournisseurs critiques. La connaissance des cadres de sécurité comme NIST, ISO 27001 et CIS est attendue.
Lien avec NIS2
NIS2 marque un tournant pour le rôle du CISO. La directive constitue une opportunité majeure pour renforcer la position du CISO, avec une notion de responsabilité de la direction pour la gestion des risques et des sanctions lourdes. Les obligations de l'Article 21 de NIS2 imposent des mesures techniques, opérationnelles et organisationnelles appropriées, incluant la gestion des risques, le reporting strict d'incidents et la formation obligatoire de tous les collaborateurs.
Il revient notamment au CISO de clarifier auprès de la direction les sanctions prévues par NIS2, permettant ainsi de débloquer budgets et décisions. Le CISO est désormais légalement responsable des standards de sécurité de ses fournisseurs, devant exercer une diligence raisonnable et inclure des clauses cyber dans les contrats.
Pour les entités régulées NIS2, le CISO devient un acteur incontournable de la gouvernance cyber, responsable du pilotage de la conformité, du signalement d'incidents en 24h et de la documentation continue.