CISO à temps partiel : Ce qui peut être externalisé, ce qui doit rester interne
Le constructeur de machines comptant 120 collaborateurs n’a pas besoin d’un poste de CISO à temps plein. Ce dont il a besoin depuis la nouvelle BSIG, c’est de quelqu’un qui prépare et documente les mesures de risque et fournit à la direction des propositions de décision. Un CISO à temps partiel externe pour deux jours par mois semble être la solution pragmatique. De nombreuses offres passent sous silence le point décisif : le prestataire est autorisé à effectuer le travail de sécurité. La responsabilité organisationnelle de la direction reste néanmoins au sein de l’entreprise.
L’essentiel en bref
- Le travail spécialisé est délégable : Un vCISO peut prendre en charge la stratégie, la mise en place de l’ISMS, l’analyse des risques, la préparation des audits et le reporting. En tant que terme de marché, ce rôle n’est pas défini par la loi.
- L’obligation d’organe n’est pas délégable : Le paragraphe 38 BSIG oblige la direction des établissements particulièrement importants et importants à mettre en œuvre les mesures de risque et à en surveiller la mise en œuvre. La propre formation reste également à la charge de la direction.
- Le libellé compte : La loi allemande parle de mettre en œuvre et de surveiller. L’exigence d’approbation provient de l’article 20 de la directive NIS2. Celui qui mélange les deux cite la mauvaise norme lors de l’audit.
- Le modèle échoue à l’interface : Sans ancrage interne, escalade claire et plan d’offboarding, l’expertise externe se transforme en faille de gouvernance qui ressort lors de l’audit.
Connexe :Quels droits de décision du CISO doivent être réglementés par écrit / Pourquoi le certificat ISO ne suffit pas seul au BSI
Ce qu’un vCISO fournit et ce que le terme de marché ne réglemente pas
Qu’est-ce qu’un vCISO ? Un vCISO ou CISO-as-a-Service est l’occupation externe de la fonction de CISO par un prestataire de services, généralement dans le cadre d’un contingent mensuel ou sur la base d’un taux journalier plutôt qu’en contrat à durée indéterminée. Il assume la gestion stratégique de la sécurité de l’information au niveau de la direction, sans faire partie de la direction générale.
En pratique, le mandat couvre un périmètre de tâches clair. Le vCISO met en place ou développe davantage le système de management de la sécurité de l’information, rédige des directives, effectue des analyses de risques et prépare les audits internes comme externes. S’y ajoutent les concepts de sensibilisation, les playbooks d’incident et le reporting régulier à la direction. À titre indicatif approximatif sans norme fixe, l’ampleur se situe entre un demi et quelques jours-personnes par mois, facturé en forfait ou selon le temps passé. Il n’existe pas de prix de marché fixes, les indications des prestataires varient fortement.
La distinction conceptuelle est importante. Le délégué à la sécurité de l’information externe gère l’ISMS de manière opérationnelle, le vCISO pilote stratégiquement au niveau de la direction. Dans les petites structures, cela se confond, car une seule personne porte les deux casquettes. Pour la gouvernance, ce n’est pas le titre qui compte, mais le profil de tâches et la question de savoir qui, en fin de compte, répond devant l’autorité de surveillance.
Paragraphe 38 BSIG : Ce que la direction ne peut pas acheter
La nouvelle BSIG est entrée en vigueur le 6 décembre 2025 et a remplacé l’ancienne version de 2009. Pour la question des rôles, le paragraphe 38 est le levier décisif. Il oblige les directions des établissements particulièrement importants et importants, conformément au paragraphe 30, à mettre en œuvre les mesures de gestion des risques à prendre et à en surveiller la mise en œuvre. Le paragraphe 30 énumère à cet effet les dix mesures minimales, de l’analyse des risques à la cryptographie en passant par la sécurité de la chaîne d’approvisionnement.
À ce stade, un examen précis du libellé s’impose. La loi allemande parle de mettre en œuvre et de surveiller. Le terme d’approuver, utilisé par de nombreux commentaires, provient de l’article 20 de la directive NIS2 et correspond à l’anglais approve. Le législateur a donc volontairement formulé de manière plus forte que la norme européenne. Mettre en œuvre signifie plus qu’approuver : la direction doit veiller à ce que les mesures soient introduites et exploitées efficacement avec des ressources et un ancrage. Elle garde en permanence un œil sur leur efficacité. Un prestataire externe peut préparer cela. La responsabilité en incombe à la direction.
Deux autres alinéas clarifient clairement les limites de la délégation. Le paragraphe 38 alinéa 2 lie une violation fautive des obligations à la responsabilité des membres de la direction envers leur propre établissement, selon les règles du droit des sociétés applicable. Et l’alinéa 3 exige que les membres de la direction participent régulièrement personnellement à des formations afin de pouvoir identifier et évaluer les risques cyber. Un externe peut assurer la mise en œuvre, mais la participation des organes reste obligatoire. Un vCISO peut former, mais il ne peut pas remplacer la participation. Celui qui pense qu’avec le contrat de service la conformité est externalisée, a manqué le cœur de la norme.
La répartition des rôles : externe pour l’opérationnel, interne pour la responsabilité
La séparation propre suit une ligne simple. Tout ce qui relève du travail spécialisé peut être externalisé. Tout ce qui concerne la décision, l’allocation de ressources et la preuve de la surveillance reste à l’interne. Le tableau suivant attribue les tâches typiques.
| Tâche | Délégable à l’externe ? | Reste en interne | Justification |
|---|---|---|---|
| Analyse des risques et catalogue de mesures | Oui, élaboration et maintenance | Direction : évaluation, décision de mise en œuvre, preuve de surveillance | La mise en œuvre et la surveillance selon le paragraphe 38 incombent à la direction |
| ISMS, directives, documentation | Oui, conception et modèles | Direction : ancrage, application | Un document sans application interne ne passe pas l’audit |
| Reporting à la direction | Partiellement, création du rapport | Direction : examen, ajustement | La surveillance est une obligation de la direction et doit être démontrable |
| Réaction initiale aux incidents (opérationnelle) | Oui, en tant que service IR contractuellement réalisable | Interne : décision, escalade | La réaction opérationnelle est délégable, le pouvoir de décision reste au sein de l’entreprise |
| Déclaration en cas d’incident significatif | Partiellement, soumission supportable | Établissement et direction : obligation et approbation | L’obligation de déclaration selon le paragraphe 32 incombe à l’établissement, pas au consultant |
| Budget et investissements | Non | Direction | Les ressources et l’acceptation des risques relèvent de la direction de l’entreprise |
| Formation de la direction | Non, seulement réalisation | Direction personnellement | Le paragraphe 38 attribue la formation personnellement à la direction |
Un point de la théorie des organisations s’y ajoute. La fonction de sécurité ne devrait pas dépendre du service informatique, car sinon le même service construit et contrôle. Le BSI qualifie précisément cette délégation au service informatique d’anti-modèle et rend la direction responsable. Une fonction de sécurité indépendante est ainsi une bonne pratique, pas une ligne hiérarchique prescrite par la loi. Un vCISO qui rend directement compte à la direction s’inscrit dans cette logique. Un vCISO qui est affecté au responsable informatique ne fait que reproduire le conflit de rôles avec du personnel externe.
Où le modèle se brise lors de l’audit et en cas d’urgence
Les points faibles d’un modèle vCISO se situent rarement dans la compétence technique. Ils se situent aux interfaces. Cinq points de rupture typiques reviennent sans cesse.
Pas de légitimité interne. S’il n’y a pas de personne de contact interne avec autorité désignée, personne sur place n’est autorisé à décider en cas d’incident. L’expert externe reste au téléphone, alors qu’un incident est déjà en cours dans le système.
Disponibilité à la limite. Un contrat de service de huit heures sur cinq jours ne couvre pas un incident à 22 heures. L’obligation de déclaration selon le paragraphe 32 exige une première déclaration sans délai, au plus tard dans les 24 heures après connaissance d’un incident significatif, dès que la voie de déclaration commune est opérationnelle. Cette horloge tourne pour l’établissement, pas pour le prestataire.
Conflit d’intérêts. Le même prestataire agit en tant que vCISO et vend en même temps des tests d’intrusion, des audits ou des projets de mise en œuvre. Conseil et évaluation se trouvent alors dans les mêmes mains. Un examen indépendant ou une séparation claire des rôles résout cela.
Lacune de surveillance malgré l’expertise. Le vCISO signale un risque, la direction ne réagit pas, personne ne documente la décision. Lors de l’audit, la lacune apparaît au niveau de la direction, bien que tout ait été présenté sur le plan technique.
Perte de connaissances à la fin du contrat. Lorsque le mandat prend fin, il manque souvent la documentation ISMS, le registre des risques et les logs de décision. Le successeur ou le prochain auditeur voit un vide là où il y avait encore du pilotage.
Pour quelles entreprises le CISO à temps partiel convient
Le modèle n’est pas un outil universel. Il convient très bien dans certaines configurations et mal dans d’autres. La comparaison suivante aide à une auto-évaluation honnête.
| Convient plutôt lorsque | Convient moins bien lorsque |
|---|---|
| 50 à 500 collaborateurs, maturité sécurité faible à moyenne | Responsabilité 24h/24 pour les incidents sans équipe interne |
| Mise en place d’un ISMS ou pression d’audit, mais pas de besoin à temps plein | Confidentialité élevée ou production OT sans ancrage interne |
| Phase de transition, jusqu’à ce qu’un rôle interne soit pourvu | Structure de groupe complexe avec reporting à la direction et filiales |
| Direction disposant d’un budget temps pour les examens et sa propre formation | Attente de conformité externalisée sans aucun effort interne |
Dans les secteurs réglementés avec des attentes de supervision propres, la combinaison d’un vCISO et d’un délégué à la sécurité interne est généralement plus viable qu’un mandat externe seul. L’un apporte le pilotage, l’autre maintient les connaissances et la capacité de réaction au sein de l’entreprise.
La mise en route : comment intégrer proprement un vCISO
Un modèle viable se construit en quelques étapes claires. Premièrement : définir le mandat par écrit, avec les tâches, les jours-personnes par mois, les temps de réaction et l’indication expresse qu’aucune représentation de la direction n’est transférée. Deuxièmement : placer la ligne hiérarchique directement auprès de la direction au lieu de la direction informatique. Troisièmement : désigner un ancrage interne pour les opérations quotidiennes et la réaction initiale aux incidents. Quatrièmement : mettre en place une matrice d’escalade et de déclaration avec les délais du paragraphe 32, dans laquelle la direction figure en tant que décideur. Cinquièmement : un examen trimestriel avec procès-verbal qui consigne l’état des mesures, les risques ouverts et les besoins budgétaires.
Deux choses doivent être planifiées séparément. La formation de la direction selon le paragraphe 38 se déroule indépendamment du contrat de service, afin que l’obligation d’organe soit visiblement remplie. Et le plan de sortie avec remise de la documentation, du registre des risques et des accès est idéalement déjà prévu dans le contrat avant d’être nécessaire. Un bon vCISO rend la direction capable d’agir. Il ne la rend pas exempte de faute. Celui qui clarifie cela lors de la conclusion du contrat s’épargne lors de l’audit la coûteuse prise de conscience que l’expertise externe ne remplace pas la responsabilité interne.
Questions fréquentes
Chaque question est fermée. Un tapotement déverrouille la réponse.
Puis-je en tant que dirigeant déléguer complètement mes obligations NIS2 à un vCISO externe ?
Non. Le paragraphe 38 BSIG oblige la direction à mettre en œuvre les mesures de risque, à en surveiller la mise en œuvre et à participer régulièrement personnellement à des formations. Un vCISO peut préparer et piloter ce travail. La responsabilité organisationnelle ultime reste à la charge de la direction. Cela ne remplace pas un conseil juridique dans le cas particulier, l’interprétation dépend de la forme juridique et de l’organisation.
Ai-je besoin d’un vCISO ou un délégué à la sécurité externe suffit-il ?
Un délégué à la sécurité de l’information convient lorsque c’est principalement l’exploitation opérationnelle de l’ISMS qui manque. Un vCISO convient lorsque l’ancrage stratégique auprès de la direction et la gouvernance font défaut. De nombreux acteurs du Mittelstand commencent par un délégué et complètent par un vCISO dès que la pression d’audit et de la direction augmente.
Le vCISO externe engage-t-il sa responsabilité personnelle selon le paragraphe 38 BSIG ?
Le paragraphe 38 s’adresse aux membres de la direction. Le vCISO engage sa responsabilité contractuelle selon son contrat de service, pas en tant qu’organe de substitution. Ce n’est qu’en cas de prise en charge expresse et efficace de fonctions de direction que cela se déplace, ce qui est inhabituel dans la pratique.
Combien coûte un vCISO dans le Mittelstand ?
Il n’existe pas de valeurs normatives contraignantes. Les prestataires facturent sous forme de forfait mensuel ou selon un taux journalier, les fourchettes diffèrent fortement selon l’ampleur et le niveau de maturité. Il est judicieux de comparer plusieurs offres sur la base du catalogue de tâches convenu plutôt que d’un prix de marché forfaitaire.
Les choix de la rédaction
À lireQuels droits de décision du CISO doivent être régis par écritÀ lireNIS2 après l’échéance : c’est maintenant que commence la supervision de la BSIÀ lireConformité NIS2 : étapes clés pour les PME
Plus du réseau MBF Media
Digital ChiefsG?opolitique et datacenters : ce que les DSI s?curisentMyBusinessFutureAI Act de l’UE à partir d’août 2026 : ce que les PME doivent étiqueter maintenantcloudmagazinXFS4IoT rencontre le Cloud : le distributeur automatique de billets devient une plateforme





