Qu'est ce qu'un CISO (Chief Information Security Officer) ?

Le CISO (Chief Information Security Officer), équivalent du RSSI en français, est le responsable exécutif de la cybersécurité d'une entreprise. Il définit la stratégie sécurité, pilote l'équipe de défense (SOC, AppSec, GRC), gère les incidents critiques et porte le sujet sécurité au COMEX et au board.

Le CISO n'est pas qu'un technicien : c'est un dirigeant qui parle au CEO, négocie le budget sécurité, et endosse une responsabilité juridique en cas de breach majeur.

Pourquoi recruter un CISO ?

Toute scale-up qui dépasse 100-200 personnes ou qui manipule des données sensibles (santé, finance, défense, données B2B) a besoin d'un CISO dédié. Les exigences client (SOC2, ISO 27001), la pression réglementaire (RGPD, NIS2, DORA, AI Act) et la menace cyber (ransomwares, phishing ciblé, supply chain attacks) ne peuvent plus être gérées en mode "best effort par le CTO".

Sans CISO, les certifications traînent, les budgets sécurité sont sous-investis, et le risque cyber est porté par défaut par le CEO seul.

Quel rôle joue le CISO ?

Le CISO reporte typiquement au CEO, au COO ou au DG. Il manage une équipe sécurité (variable selon la taille : SOC, AppSec engineers, GRC analysts) et coordonne avec les équipes IT, Tech et Legal. C'est lui qui définit le plan de sécurité, sponsorise les certifications, et coordonne la réponse aux incidents.

Il est aussi le point de contact externe sur la sécurité : auditeurs, clients dans les questionnaires sécu, autorités (CNIL, ANSSI), assureurs cyber.

Quelles sont les missions du CISO ?

• Définir la stratégie sécurité : roadmap 3-5 ans, modèle de maturité (NIST CSF, ISO 27001).
• Gérer les certifications : SOC2, ISO 27001, HDS, PCI DSS, selon les secteurs.
• Piloter le SOC et la réponse à incident : détection, investigation, remédiation, communication de crise.
• Conduire la gouvernance des risques : risk assessment, treatment plan, comité sécurité.
• Manager l'équipe sécurité : recrutement, organisation, montée en compétences.
• Assurer la conformité : RGPD, NIS2, DORA, AI Act, sectoral compliance.
• Sensibiliser l'entreprise : training, phishing tests, culture sécurité.

Quelles compétences clés ?

• 10+ ans d'expérience en cybersécurité, dont 3+ en management
• Maîtrise des standards et frameworks (ISO 27001, NIST CSF, SOC2, RGPD)
• Connaissance technique réelle (offensive et défensive : pentest, IR, AppSec, IAM)
• Expérience de gestion de crise (un breach, un ransomware, un audit externe)
• Compétences managériales et budgétaires
• Sensibilité juridique et régulatoire

Les soft skills

Communication exécutive (parler au board, à un journaliste après un incident), sang-froid en crise, capacité à dire non au business (refuser un raccourci risqué), pédagogie pour faire grandir la culture sécurité interne, et leadership sous pression réglementaire.

Quel salaire pour un CISO ?

Le CISO en France gagne typiquement 90K€-150K€ brut annuel + variable 15-25%. Dans un secteur sensible (banque, défense, santé, infra critique) ou une licorne, on dépasse 180K€ fixe. Equity en contexte startup/scale-up.

Comment évolue la carrière d'un CISO ?

Évolution vers Group CISO dans un grand groupe, COO, ou board advisor sécurité. Certains rejoignent un cabinet de conseil (Wavestone, Mazars, Big4) en tant que Partner cyber, ou deviennent Consultant indépendant à TJM élevé. Quelques-uns sortent en startup security (CEO d'une boîte cyber).