Quels droits de décision du CISO doivent être régis par écrit
Vendredi, 02 h 47. Le SOC signale un mouvement latéral dans le segment ERP et propose une isolation. Le responsable de service de l’exploitation IT s’y oppose : la clôture mensuelle est en cours jusqu’à 06 h 00. Le CISO est au téléphone, mais la politique d’incident ne prévoit que la coordination et le conseil. La question de savoir qui peut arrêter le système de production n’est pas, à 02 h 47, le bon moment pour un débat de principe.
L’essentiel en bref
- Écart entre attentes et pouvoirs : Le CISO est perçu comme l’autorité en matière de sécurité, mais son mandat se limite souvent en pratique à la politique et au conseil. Sans pouvoir écrit, c’est celui qui crie le plus fort qui décide en situation critique.
- Six domaines : L’acceptation des risques, les exceptions aux politiques, l’approbation des changements, l’isolation d’urgence, le budget et les droits d’audit doivent figurer dans le mandat avec des seuils concrets.
- La direction générale reste responsable : Le paragraphe 38 du BSIG et l’article 20 de la NIS2 laissent la responsabilité finale à la direction générale. Le CISO agit dans le cadre d’un mandat délégué qui comble cette lacune.
- Ligne hiérarchique séparée : Celui qui doit contrôler l’exploitation IT ne doit pas lui être subordonné. Le BSI recommande un rattachement direct à la direction.
En lien :Loi-cadre KRITIS : Quand la résilience devient une obligation pour le CISO / Pourquoi le certificat ISO ne suffit pas seul au BSI
Sans mandat écrit, c’est celui qui crie le plus fort qui décide
Qu’est-ce qu’un mandat CISO ? Un mandat CISO, souvent appelé charte, est l’accord écrit entre la direction générale et le CISO qui définit son rôle, sa ligne hiérarchique, ses droits de décision et de veto, les voies d’escalade et les ressources. Il traduit l’attente abstraite « responsable de la sécurité » en pouvoirs concrets et exploitables en situation critique.
La plupart des organisations considèrent le CISO comme l’autorité suprême en matière de sécurité. En pratique, son mandat se limite souvent à la stratégie et à la politique, sans droits d’exécution opérationnels. Ce fossé entre attentes et pouvoirs n’est pas un cas isolé : il est structurel.
Le NIST Framework nomme clairement le cœur du problème. La catégorie Gouvernance, rôles et responsabilités du Cybersecurity Framework 2.0 exige que les rôles soient dotés de l’autorité nécessaire. La version révisée de la directive sur la réponse aux incidents, NIST SP 800-61r3 d’avril 2025, précise en recommandation : les rôles et responsabilités doivent être documentés. Les acteurs concernés ont besoin de l’autorité pour accomplir leurs tâches. Le conflit entre clôture mensuelle et isolation n’est pas un problème technique. C’est un vide de gouvernance lorsque la chaîne d’escalade n’a pas été consignée par écrit à l’avance.
Six domaines de décision à intégrer au mandat
Un mandat n’a pas besoin de tout régler. Il doit clarifier à l’avance les conflits qui escaladent régulièrement dans le quotidien et lors d’incidents. Six domaines reviennent systématiquement.
Acceptation des risques avec seuils. Le CISO évalue les risques et décrit les contrôles compensatoires. Il ne devrait pas accepter le risque métier final. Le mandat fixe des seuils, par exemple selon la gravité, la classification des données ou la criticité des processus, à partir desquels le service métier ou la direction générale contresigne formellement. La signature du CISO atteste de l’exactitude de l’analyse de sécurité. La décision métier, elle, ne la prend pas.
Exceptions aux politiques. Le CISO qualifie si une exception est admissible, la limite dans le temps et exige des mesures compensatoires. Un suivi silencieux via des tickets sans acceptation documentée doit être exclu. Lorsqu’il refuse, le chemin conduit à l’escalade. Un contournement n’est pas une option.
Approbation des changements pour les déploiements à risque. L’exploitation IT veut respecter la date de release, le CISO identifie des findings ouverts ou une approbation Pen-Test manquante. Le mandat définit des niveaux : les changements standards passent sans le CISO, les changements à haut risque nécessitent son approbation ou son veto, un blocage est transmis à la direction générale ou à un comité cyber.
Isolation d’urgence. La phrase la plus importante du mandat. Qui peut isoler des segments réseau, verrouiller des comptes et mettre hors ligne des systèmes de production sans approbation préalable de la direction générale et dans quelles limites. Un incident actif avec compromission confirmée est un cas différent d’un simple soupçon. C’est précisément cette limite qui doit être tracée à l’avance.
Budget et ressources. Pas de chèque en blanc, mais des pouvoirs minimaux : un budget sécurité propre, un seuil d’approbation pour les dépenses d’urgence comme la forensique ou le soutien externe, et un droit de regard sur les achats à impact sécurité. Le BSI mentionne explicitement pour le responsable de la sécurité des ressources suffisantes et une voie hiérarchique directe.
Droits de contrôle et d’audit. Sans visibilité, pas de veto. Le CISO a besoin d’un accès en lecture et d’audit sur les logs, les règles de pare-feu, les rapports de vulnérabilités et les tests de restauration de sauvegardes, indépendamment de l’exploitation IT. Ce pouvoir doit être limité dans le temps et juridiquement, mais être exécutoire dans le mandat.
Le tableau suivant illustre le modèle, sans développer une matrice RACI complète.
| Décision | Qui décide | Escalade en cas de blocage |
|---|---|---|
| Accepter le risque final | Service métier ou direction générale, le CISO valide l’analyse | Direction générale |
| Approuver un changement à haut risque | Approbation ou veto du CISO | Direction générale ou comité cyber |
| Isoler un système de production | CISO ou CSIRT en cas d’incident actif | Notification immédiate à la direction générale sans approbation préalable |
| Exception à la politique | CISO pour une durée limitée, avec compensation | Direction générale en cas de refus par le service métier |
CISO et CIO : pourquoi la même ligne hiérarchique masque le conflit
La disponibilité et la sécurité sont deux objectifs légitimes qui s’opposent régulièrement. L’exploitation IT veut livrer, le CISO veut sécuriser. Lorsque les deux rôles dépendent de la même ligne hiérarchique, la direction IT contrôle précisément ce que le CISO doit contrôler : correctifs, identités, journalisation, sauvegardes. C’est une rupture de la séparation des fonctions.
Le BSI recommande donc, pour préserver l’indépendance, de rattacher directement le responsable de la sécurité de l’information (ISB) à la plus haute direction. Une intégration au sein du département IT peut générer des conflits de rôles. Les analyses de gouvernance pointent dans la même direction : lorsque la fonction sécurité est placée sous la direction IT, des déficits d’information et des intérêts propres silencieux apparaissent facilement dans la chaîne.
La réponse pratique n’est pas un débat de statut sur l’appartenance du CISO au C-Level. C’est une règle d’escalade : un blocage technique entre la direction IT et le CISO est transmis à la direction générale dans un délai défini. Celle-ci décide du risque métier, le CISO documente sa position sécurité, les deux par écrit dans le procès-verbal.
Le cadre juridique trace la frontière entre responsabilité et pouvoir
La loi et les normes définissent la responsabilité de direction. Elles ne règlent pas le cahier des décisions opérationnelles du CISO. C’est précisément cette lacune que comble le mandat. Le paragraphe 38 du BSIG oblige la direction générale à mettre en œuvre les mesures de gestion des risques et à en surveiller la mise en œuvre. En cas de manquement fautif à ses obligations, elle engage sa responsabilité selon les règles du droit des sociétés. L’article 20 de la NIS2 formule au niveau européen la même ligne : les organes de direction approuvent les mesures, les surveillent et peuvent être tenus responsables en cas de violation.
Le BSI-Grundschutz clarifie la conséquence. La direction suprême porte la responsabilité globale. La délégation des tâches opérationnelles ne l’en dispense pas. Il en découle une répartition claire des rôles : la direction générale reste la décideuse finale pour l’acceptation des risques et les arbitrages stratégiques. Le CISO reçoit des pouvoirs délégués pour l’exploitation sécurité, un veto dans des domaines définis et une obligation d’escalade. L’ordre est important : la loi ne précise pas quels droits le CISO possède. C’est une question d’organisation. C’est pourquoi elle doit être tranchée par écrit.
Ce qui doit figurer dans un mandat CISO et par où commencer
Un mandat est un contrat compact entre la direction générale et le CISO, pas un bundle de politiques de 40 pages. Huit éléments suffisent : le rôle et le périmètre avec délimitation par rapport au CIO et à la protection des données, la voie hiérarchique avec fréquence minimale et rapport de conflit non filtré, les pouvoirs de décision avec seuils, les droits de veto énumérés, le chemin d’escalade avec fenêtre temporelle et joignabilité, les ressources y compris l’approbation d’urgence, les droits de contrôle et d’exécution ainsi qu’un cycle de revue avec signature de la direction générale.
Le démarrage ne nécessite pas une grande réorganisation. Trois étapes suffisent pour commencer. Premièrement : répondre à l’avance aux trois questions d’incident, à savoir qui isole, qui informe la direction générale et les autorités, qui peut sacrifier la disponibilité. Deuxièmement : consigner ces réponses de manière identique dans le mandat et le plan d’incident. Troisièmement : jouer une fois le scénario d’isolation du segment ERP sous forme d’exercice sur table, avec la direction IT, le directeur financier et la direction générale à la table, au-delà du SOC. Celui qui a réalisé cet exercice une fois ne se disputera plus à 02 h 47 sur les responsabilités.
Dans les très petites organisations, le rôle coïncide parfois avec la direction IT. Il faut alors des mesures compensatoires : un principe des quatre yeux, des revues externes et une voie hiérarchique directe vers la direction générale en cas d’incident, clairement limitée dans le temps. C’est la deuxième meilleure solution, mais une solution documentée.
Questions fréquentes
Chaque question est fermée. Un clic révèle la réponse.
Quelle est la différence entre une description de poste et un mandat CISO ?
Une description de poste énumère les tâches et les exigences. Un mandat définit les pouvoirs : ce que le CISO peut décider, où il a un veto, quand il escalade et quelles ressources lui reviennent. Lors d’un incident, c’est le mandat qui compte, car il régit le pouvoir d’action.
Le BSIG prescrit-il les droits d’un CISO ?
Non. Le paragraphe 38 du BSIG régit la responsabilité de la direction générale. Il ne régit pas les pouvoirs du CISO. Quels droits sont délégués relève d’une décision d’organisation. C’est précisément pour cela qu’elle doit être prise par écrit, sinon la lacune entre responsabilité légale et action opérationnelle reste ouverte.
Le CISO doit-il être subordonné au CIO ?
Le BSI déconseille de le rattacher à la direction IT pour préserver l’indépendance. Celui qui doit contrôler l’exploitation IT et, en cas de doute, la freiner ne doit pas lui être subordonné. Lorsqu’une ligne directe n’est pas possible, il faut au moins une voie d’escalade non filtrée vers la direction générale.
Un CISO peut-il arrêter un système de production de sa propre initiative ?
Seulement si le mandat l’y autorise. Il est judicieux de définir clairement un pouvoir d’isolation en cas d’incident actif avec compromission confirmée, assorti d’une notification immédiate à la direction générale. Sans cette règle écrite, le retard se produit, celui qui coûte le plus cher en situation critique.
À quelle fréquence un mandat doit-il être révisé ?
Au moins une fois par an et après chaque incident de sécurité majeur. Un incident révèle rapidement là où les pouvoirs n’ont pas tenu en pratique. Chaque révision se termine par une nouvelle signature de la direction générale, afin que le mandat reste actuel et autorisé.
Les choix de la rédaction
À lirePourquoi le certificat ISO ne suffit pas au BSI à lui seulÀ lireLe risque de la chaîne d’approvisionnement est un programme, pas une liste d’auditÀ lireLoi-cadre KRITIS : Quand la résilience devient une obligation pour le CISO
Plus du réseau MBF Media
Digital ChiefsG?opolitique et datacenters : ce que les DSI s?curisentMyBusinessFutureAI Act de l’UE à partir d’août 2026 : ce que les PME doivent étiqueter maintenantcloudmagazinXFS4IoT rencontre le Cloud : le distributeur automatique de billets devient une plateforme





