Chief Information Security Officer (CISO)

Le CISO est le dirigeant en charge de la gouvernance de la cybersécurité. Il doit aligner les enjeux de sécurité avec les objectifs business de l'entreprise (ou de la scale-up). C'est un expert du domaine cyber, avec de fortes compétences de communication et mise en oeuvre de projets complexes.

On peut également parler de RSSI (Responsable de la Sécurité des Systèmes d'Information), qui peut désigner en français le même poste, ou bien un manager intermédiaire entre les équipes sécurités et le CISO.

Le quotidien et la journée du CISO s'articulent autour des missions suivantes :

• Définition de la stratégie de sécurité (PSSI) : Élaborer la Politique de Sécurité des Systèmes d'Information et s'assurer qu'elle est appliquée à tous les niveaux (tech, produit, RH).
• Gestion des risques (GRC) : Cartographier les risques cyber pesant sur l'entreprise et décider des mesures à prendre.
• Pilotage de la conformité : Garantir que l'entreprise respecte les lois et standards en vigueur (RGPD, ISO 27001, SOC2, DORA).
• Gestion de crise : En cas de cyberattaque majeure, le CISO est le commandant de bord. Il coordonne la réponse aux incidents, la communication interne/externe et la reprise d'activité.
• Management et budget : Recruter et diriger les équipes sécurité (Ingénieurs, Analystes SOC, Pentesters) et défendre le budget cybersécurité auprès du comité de direction (Comex).

👉 A la recherche d'un candidat pour un poste de CISO ? Retrouvez notre page cabinet de recrutement Cybersécurité.

‍

À qui reporte le CISO au sein d'une entreprise ?

Le rattachement hiérarchique du CISO est un sujet politique majeur. Historiquement, ce poste est rattaché au DSI (CIO) ou au Chief Technology Officer (CTO). Une tendance peut viser à le est de le rattacher directement au CEO (Directeur Général) ou au COO (Directeur des Opérations), afin d'inclure ce poste au COMEX et mettre les enjeux de sécurité au centre de l'entreprise.

Ce rattachement direct à la direction générale lui garantit l'indépendance nécessaire pour auditer la DSI et arbitrer les conflits entre performance des développements et sécurité.

‍

Quelles sont les équipes encadrées par un CISO ?

Les équipes sécurités peuvent être assez variés en termes de profils. Voici un aperçu des principaux membres et métiers de ce type d'équipe au sein d'une entreprise.

Il s'appuie principalement sur l'Ingénieur Cybersécurité, véritable architecte technique qui déploie les solutions de protection, durcit les infrastructures et assure le maintien en condition de sécurité opérationnelle. Il travaille également avec des Pentester, internes ou externalisés, qui travaillent à détecter des failles dans les systèmes de sécurité. Enfin, il peut également travailler avec des Chargé de Conformité (GRC Specialist / Consultant GRC). C'est le profil le moins technique qui gère les audits (ISO 27001, SOC2), répond aux questionnaires de sécurité des clients exigeants et pilote la sensibilisation des employés.

Pour aligner vitesse de développement et robustesse, le CISO manage également des profils DevSecOps, ou collabore étroitement avec les équipes DevOps. Enfin, selon la maturité de l'entreprise, le CISO complète son effectif avec des analystes SOC pour la surveillance des menaces et des spécialistes de la conformité pour gérer les aspects réglementaires.

👉 Intéressé par ces profils ? Consultez notre page cabinet de recrutement DevOps.

‍

Avec qui le CISO collabore-t-il au sein d'une entreprise ?

C'est un poste très transverse dans une organisation. Le CISO ne reste pas enfermé dans la salle serveur ; il évangélise la sécurité partout.

Il travaille quotidiennement avec le CTO et les équipes Tech/DevOps pour sécuriser le cycle de développement (DevSecOps). Il collabore étroitement avec le département Data et le département Juridique sur les sujets de données personnelles et de contrats clients.

Il échange également avec les RH pour gérer la sensibilisation des employés (campagnes de phishing, onboarding) et vérifier les antécédents si nécessaire. Enfin, il est en lien direct avec le CEO et le Comité de Direction (Comex) pour rapporter l'état de la menace et justifier les investissements.

‍

Quelles sont les perspectives d'évolution pour un CISO ?

Le poste de CISO est souvent considéré comme un aboutissement dans la filière technique, mais plusieurs voies s'offrent pour la suite. La voie du "Group CISO" permet de prendre la responsabilité de la sécurité pour un grand groupe international ou une holding, avec des enjeux géopolitiques et managériaux importants. La voie du CIO / DSI est naturelle pour un CISO qui souhaite élargir son spectre à l'ensemble des systèmes d'information, et pas seulement leur protection.

La demande pour du conseil est importante sur ces métiers. Le CISO pourra évoluer en Freelance ou dans un cabinet de conseil, sur une mission part-time au sein d'une entreprise.

Le CISO allie expertise technique, forte capacité de communication et vision business :

• Une culture technique solide : Compréhension fine des architectures Cloud, réseaux, et des techniques d'attaque, même s'il ne code plus au quotidien.
• La maîtrise de la Gouvernance et des Normes : ISO 27001, RGPD, SOC2....
• Des compétences en Gestion de crise : Sang-froid, capacité à décider dans l'urgence et à communiquer clairement sous pression.
• Une capacité de vulgarisation : Savoir expliquer le ROI d'un investissement sécurité à un directeur financier ou les risques d'une faille à un directeur marketing.
• Des soft skills de leadership : Management d'équipe, négociation, diplomatie, gestion de projet et conduite du changement.

Le poste de CISO est accessible après 10 à 15 ans d'expérience, en fonction de la taille de l'entreprise. Les candidats sur ce poste sont généralement issus de formations à bac+5, soit dans une école d'ingénieur, ou bien sur un master dans l'informatique et/ou les systèmes d'information. Le diplôme en école d'ingénieur ou à un niveau master avec une spécialisation en informatique, télécom et réseaux, est la voie royale pour atteindre ce métier dans sa carrière.

Après les études, les candidats ont évolué sur des rôles de contributeurs individuels dans différents postes dans l'informatique. Ils ont progressivement évolué pour prendre des fonctions stratégiques et managériales, potentiellement sur des postes de RSSI dans des PME ou bien sur un périmètre donné d'une grande entreprise.

C'est après ce type d'expérience qu'est généralement accessible le poste de CISO au sein des entreprises qui recrutent sur ce poste.

👉 Notre article comparatif des formations dans la cybersécurité pourra vous intéresser si vous cherchez à renforcer les compétences de vos équipes.

Tableau du salaire d'un Chief Information Security Officer en fonction de l'expérience :

‍

Le salaire d'un CISO est élevé, reflétant la rareté des profils et le niveau de responsabilité. Ce sont des postes que l'on trouve dans des grands groupes ou des scale-ups de taille internationale. Pour un profil CISO junior, avec une dizaine d'années d'expérience, il faut compter environ 100 000 euros annuel brut. Les salaires peuvent grimper rapidement avec l'expérience et l'envergure du rôle occupé. Pour un Group CTO d'une entreprise du CAC40, on parle de salaires pouvant monter jusqu'à 200 voir 250 k€ annuel brut en package.

Un "Fractional CISO" (CISO à temps partagé) en Freelance peut facturer entre 800 € et 1 500 € par jour. Pour des profils très capés, le TJM peut même monter à 2000 euros par jour et les entreprises sont prêtes à payer ce prix pour se faire accompagner sur ces sujets d'expertises.

👉 Notre étude sur les salaires en cybersécurité pourra vous intéresser pour étayer ce point.

‍

Vous êtes un candidat à la recherche d'une offre d'emploi pour un poste de CISO ? Retrouvez toutes nos offres d'emploi sur la plateforme Licorne Society. Les offres de nos clients sont disponibles en France (Paris, Lyon, Bordeaux...), mais aussi dans certains pays d'Europe.

Nous accompagnons nos clients sur des recrutements en CDI et en Freelance pour des postes de CISO et RSSI.