Le CISO est un bouc émissaire – Pourquoi le rôle doit être fondamentalement réformé

Lorsque cela explose, c’est le CISO qui trinque. Chez SolarWinds, chez Uber, chez Capital One – après chaque gros incident de sécurité, c’est la même tête qui tombe. Le Chief Information Security Officer porte la responsabilité, mais n’a ni le budget, ni l’autorité, ni le siège au conseil d’administration pour accomplir sa mission. Une analyse d’une structure de rôle toxique.

L’essentiel

• La durée moyenne d’un CISO est de 26 mois – la plus courte de toutes les fonctions de niveau C
• Seulement 12 % des CISO rendent directement compte au PDG – la majorité relève du CIO ou du CTO et ne dispose pas d’autorité budgétaire propre
• Après un incident de sécurité, le CISO est remplacé dans 60 % des cas – même si la cause réside dans une sous-investissement ou dans des décisions commerciales
• Les taux d’épuisement professionnel chez les CISO dépassent 50 % – les plus élevés de toutes les fonctions de direction informatique

Responsabilité sans pouvoir

Imaginez que vous êtes le responsable de la sécurité incendie d’un immeuble de grande hauteur. Vous savez que l’installation de sprinklers est obsolète, que les issues de secours sont bloquées et que les portes coupe-feu ne se ferment pas. Vous rédigez des rapports. Vous escaladez les problèmes. Mais la gestion de l’immeuble répond : « C’est trop cher. Nous ferons cela l’année prochaine. » Ensuite, il y a un incendie. Et on vous licencie parce que la sécurité incendie a échoué.

C’est la réalité de la plupart des CISO. Ils identifient les risques, les documentent, les escaladent – et se font outrepasser. Par des unités commerciales qui veulent livrer plus rapidement. Par le CIO, qui a besoin du budget pour d’autres projets. Par le conseil d’administration, qui voit la sécurité comme un centre de coûts. Jusqu’à ce que l’attaque arrive.

Le problème structurel

Ligne de reporting : Un CISO qui rend compte au CIO a un conflit d’intérêts inhérent. Le CIO optimise pour la vitesse et l’efficacité. La sécurité génère de la friction. Dans cette configuration, la sécurité perd systématiquement – non pas par mauvaise intention, mais par infériorité structurelle.

Réalité budgétaire : La part moyenne de la cybersécurité dans le budget informatique se situe entre 5 et 10 %. Dans les secteurs réglementés, elle est légèrement supérieure. Autrement dit : pour chaque euro dépensé par l’informatique, 90 centimes vont à des projets que le CISO doit sécuriser – avec les 10 centimes restants.

Piège de carrière : Le rôle est une position perdant-perdant. Si rien ne se passe, la cybersécurité était « inutilement coûteuse ». Si quelque chose se produit, la cybersécurité a « échoué ». Aucun résultat n’est positivement visible pour le CISO. Les meilleurs CISO sont invisibles – et sont les premiers à être supprimés dès qu’il s’agit de réaliser des économies.

Ce que Joe Sullivan chez Uber a montré

Le cas Joe Sullivan est paradigmatique. En tant que CISO d’Uber, il a dissimulé un vol de données – et en a été condamné pénalement. Cette condamnation était juridiquement fondée. Mais elle a aussi révélé ceci : le CISO agissait seul. La décision de dissimulation avait été prise dans un environnement où les incidents de sécurité étaient traités comme un risque commercial à gérer – et non comme un problème exigeant une communication transparente.

Depuis l’affaire Sullivan, chaque CISO se demande : « Si cela tourne mal, je finirai devant les tribunaux. » Ce climat ne renforce pas la sécurité, mais crée des CISO défensifs, qui privilégient la documentation comme bouclier plutôt que l’anticipation active des risques.

Comment le rôle devrait fonctionner

Reporting au niveau du conseil d’administration : Le CISO doit rendre compte directement au conseil d’administration ou au conseil de surveillance – et non au CIO. Dans les secteurs réglementés, NIS2 et DORA l’exigent déjà. Cela doit devenir la norme.

Budget propre : La cybersécurité nécessite un budget autonome, non réaffectable par le CIO. Référence : au moins 10 % du budget informatique global, et 15 % pour les entreprises KRITIS.

Responsabilité partagée : NIS2 va dans la bonne direction : les dirigeants sont personnellement responsables de la cybersécurité. Pas seulement le CISO – mais l’ensemble du conseil d’administration. Lorsque le PDG est autant tenu pour responsable que le CISO, les budgets dédiés à la sécurité sont négociés différemment.

Conclusion : Sauver le rôle, pas la tête

L’épuisement professionnel des CISO n’est pas un problème individuel, mais systémique. Tant que le rôle associe responsabilité et absence d’autorité, il perdra les meilleurs talents – et les entreprises deviendront moins sûres, et non plus sûres. La réforme commence par la ligne de reporting et se termine par la répartition des responsabilités.

Key Facts

Durée de vie du CISO : 26 mois en moyenne – comparé à 72 mois pour le CFO et 54 mois pour le CIO.

Épuisement professionnel : 54 % des CISO signalent une surcharge chronique, 24 % ont activement cherché un poste en dehors de la cybersécurité au cours des 12 derniers mois (IANS Research, 2024).

Questions fréquentes

Chaque entreprise a-t-elle besoin d’un CISO ?

À partir d’une certaine taille – oui. Pour moins de 200 employés, un vCISO (Chief Information Security Officer virtuel) externe suffit souvent, qui conseille stratégiquement et délègue la sécurité opérationnelle à des prestataires gérés. L’essentiel est que la responsabilité soit clairement attribuée et étayée par une autorité réelle.

Comment NIS2 modifie-t-il le rôle du CISO ?

NIS2 rend les dirigeants personnellement responsables. Cela change la dynamique : la cybersécurité passe d’une affaire de CISO à une priorité du conseil d’administration. Les CISO gagnent en autorité, car le conseil d’administration est désormais personnellement tenu pour responsable et écoute activement.

Combien gagne un CISO en Allemagne ?

Entre 120 000 et 250 000 euros, selon la taille de l’entreprise et le secteur d’activité. Comparé aux salaires américains (300 000 à 600 000 dollars), ce niveau est faible – une autre raison de la pénurie de talents qualifiés sur ce poste en Europe.

Articles connexes

• NIS2 et responsabilité des dirigeants : pourquoi la cybersécurité est une affaire de chef
• Cybersécurité 2025 : l’année en revue
• DORA en pratique : premières expériences du secteur financier

Mais du réseau MBF Media

• Perspectives de niveau C sur la sécurité informatique sur digital-chiefs.de
• Leadership et digitalisation sur mybusinessfuture.com

Source de l’image : Pexels

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow