{"id":20904,"date":"2026-06-23T11:00:00","date_gmt":"2026-06-23T11:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=20904"},"modified":"2026-07-09T16:16:08","modified_gmt":"2026-07-09T16:16:08","slug":"quels-droits-de-decision-du-ciso-doivent-etre-reglementes-par-ecrit","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/06\/23\/quels-droits-de-decision-du-ciso-doivent-etre-reglementes-par-ecrit\/","title":{"rendered":"Quels droits de d\u00e9cision du CISO doivent \u00eatre r\u00e9gis par \u00e9crit"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">6 min de lecture<\/p>\n<p><strong>Vendredi, 02 h 47. Le SOC signale un mouvement lat\u00e9ral dans le segment ERP et propose une isolation. Le responsable de service de l\u2019exploitation IT s\u2019y oppose : la cl\u00f4ture mensuelle est en cours jusqu\u2019\u00e0 06 h 00. Le CISO est au t\u00e9l\u00e9phone, mais la politique d\u2019incident ne pr\u00e9voit que la coordination et le conseil. La question de savoir qui peut arr\u00eater le syst\u00e8me de production n\u2019est pas, \u00e0 02 h 47, le bon moment pour un d\u00e9bat de principe.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">L\u2019essentiel en bref<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li><strong style=\"color:#69d8ed;\">\u00c9cart entre attentes et pouvoirs :<\/strong> Le CISO est per\u00e7u comme l\u2019autorit\u00e9 en mati\u00e8re de s\u00e9curit\u00e9, mais son mandat se limite souvent en pratique \u00e0 la politique et au conseil. Sans pouvoir \u00e9crit, c\u2019est celui qui crie le plus fort qui d\u00e9cide en situation critique.<\/li>\n<li><strong style=\"color:#69d8ed;\">Six domaines :<\/strong> L\u2019acceptation des risques, les exceptions aux politiques, l\u2019approbation des changements, l\u2019isolation d\u2019urgence, le budget et les droits d\u2019audit doivent figurer dans le mandat avec des seuils concrets.<\/li>\n<li><strong style=\"color:#69d8ed;\">La direction g\u00e9n\u00e9rale reste responsable :<\/strong> Le paragraphe 38 du BSIG et l\u2019article 20 de la NIS2 laissent la responsabilit\u00e9 finale \u00e0 la direction g\u00e9n\u00e9rale. Le CISO agit dans le cadre d\u2019un mandat d\u00e9l\u00e9gu\u00e9 qui comble cette lacune.<\/li>\n<li><strong style=\"color:#69d8ed;\">Ligne hi\u00e9rarchique s\u00e9par\u00e9e :<\/strong> Celui qui doit contr\u00f4ler l\u2019exploitation IT ne doit pas lui \u00eatre subordonn\u00e9. Le BSI recommande un rattachement direct \u00e0 la direction.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#b8c5ce;margin:20px 0 32px 0;border-top:1px solid rgba(230,227,218,0.12);border-bottom:1px solid rgba(230,227,218,0.12);padding:10px 0;\"><span style=\"color:#69d8ed;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">En lien :<\/span><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/20\/loi-sur-les-toits-resilience-physique-ciso\/\" style=\"color:#333;text-decoration:underline;\">Loi-cadre KRITIS : Quand la r\u00e9silience devient une obligation pour le CISO<\/a>&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/19\/pourquoi-le-certificat-iso-seul-ne-suffit-pas-au-bsi\/\" style=\"color:#333;text-decoration:underline;\">Pourquoi le certificat ISO ne suffit pas seul au BSI<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Sans mandat \u00e9crit, c\u2019est celui qui crie le plus fort qui d\u00e9cide<\/h2>\n<p><strong>Qu\u2019est-ce qu\u2019un mandat CISO ?<\/strong> Un mandat CISO, souvent appel\u00e9 charte, est l\u2019accord \u00e9crit entre la direction g\u00e9n\u00e9rale et le CISO qui d\u00e9finit son r\u00f4le, sa ligne hi\u00e9rarchique, ses droits de d\u00e9cision et de veto, les voies d\u2019escalade et les ressources. Il traduit l\u2019attente abstraite \u00ab responsable de la s\u00e9curit\u00e9 \u00bb en pouvoirs concrets et exploitables en situation critique.<\/p>\n<p>La plupart des organisations consid\u00e8rent le CISO comme l\u2019autorit\u00e9 supr\u00eame en mati\u00e8re de s\u00e9curit\u00e9. En pratique, son mandat se limite souvent \u00e0 la strat\u00e9gie et \u00e0 la politique, sans droits d\u2019ex\u00e9cution op\u00e9rationnels. Ce foss\u00e9 entre attentes et pouvoirs n\u2019est pas un cas isol\u00e9 : il est structurel.<\/p>\n<p>Le NIST Framework nomme clairement le c\u0153ur du probl\u00e8me. La cat\u00e9gorie Gouvernance, r\u00f4les et responsabilit\u00e9s du Cybersecurity Framework 2.0 exige que les r\u00f4les soient dot\u00e9s de l\u2019autorit\u00e9 n\u00e9cessaire. La version r\u00e9vis\u00e9e de la directive sur la r\u00e9ponse aux incidents, NIST SP 800-61r3 d\u2019avril 2025, pr\u00e9cise en recommandation : les r\u00f4les et responsabilit\u00e9s doivent \u00eatre document\u00e9s. Les acteurs concern\u00e9s ont besoin de l\u2019autorit\u00e9 pour accomplir leurs t\u00e2ches. Le conflit entre cl\u00f4ture mensuelle et isolation n\u2019est pas un probl\u00e8me technique. C\u2019est un vide de gouvernance lorsque la cha\u00eene d\u2019escalade n\u2019a pas \u00e9t\u00e9 consign\u00e9e par \u00e9crit \u00e0 l\u2019avance.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Six domaines de d\u00e9cision \u00e0 int\u00e9grer au mandat<\/h2>\n<p>Un mandat n\u2019a pas besoin de tout r\u00e9gler. Il doit clarifier \u00e0 l\u2019avance les conflits qui escaladent r\u00e9guli\u00e8rement dans le quotidien et lors d\u2019incidents. Six domaines reviennent syst\u00e9matiquement.<\/p>\n<p><strong>Acceptation des risques avec seuils.<\/strong> Le CISO \u00e9value les risques et d\u00e9crit les contr\u00f4les compensatoires. Il ne devrait pas accepter le risque m\u00e9tier final. Le mandat fixe des seuils, par exemple selon la gravit\u00e9, la classification des donn\u00e9es ou la criticit\u00e9 des processus, \u00e0 partir desquels le service m\u00e9tier ou la direction g\u00e9n\u00e9rale contresigne formellement. La signature du CISO atteste de l\u2019exactitude de l\u2019analyse de s\u00e9curit\u00e9. La d\u00e9cision m\u00e9tier, elle, ne la prend pas.<\/p>\n<p><strong>Exceptions aux politiques.<\/strong> Le CISO qualifie si une exception est admissible, la limite dans le temps et exige des mesures compensatoires. Un suivi silencieux via des tickets sans acceptation document\u00e9e doit \u00eatre exclu. Lorsqu\u2019il refuse, le chemin conduit \u00e0 l\u2019escalade. Un contournement n\u2019est pas une option.<\/p>\n<p><strong>Approbation des changements pour les d\u00e9ploiements \u00e0 risque.<\/strong> L\u2019exploitation IT veut respecter la date de release, le CISO identifie des findings ouverts ou une approbation Pen-Test manquante. Le mandat d\u00e9finit des niveaux : les changements standards passent sans le CISO, les changements \u00e0 haut risque n\u00e9cessitent son approbation ou son veto, un blocage est transmis \u00e0 la direction g\u00e9n\u00e9rale ou \u00e0 un comit\u00e9 cyber.<\/p>\n<p><strong>Isolation d\u2019urgence.<\/strong> La phrase la plus importante du mandat. Qui peut isoler des segments r\u00e9seau, verrouiller des comptes et mettre hors ligne des syst\u00e8mes de production sans approbation pr\u00e9alable de la direction g\u00e9n\u00e9rale et dans quelles limites. Un incident actif avec compromission confirm\u00e9e est un cas diff\u00e9rent d\u2019un simple soup\u00e7on. C\u2019est pr\u00e9cis\u00e9ment cette limite qui doit \u00eatre trac\u00e9e \u00e0 l\u2019avance.<\/p>\n<p><strong>Budget et ressources.<\/strong> Pas de ch\u00e8que en blanc, mais des pouvoirs minimaux : un budget s\u00e9curit\u00e9 propre, un seuil d\u2019approbation pour les d\u00e9penses d\u2019urgence comme la forensique ou le soutien externe, et un droit de regard sur les achats \u00e0 impact s\u00e9curit\u00e9. Le BSI mentionne explicitement pour le responsable de la s\u00e9curit\u00e9 des ressources suffisantes et une voie hi\u00e9rarchique directe.<\/p>\n<p><strong>Droits de contr\u00f4le et d\u2019audit.<\/strong> Sans visibilit\u00e9, pas de veto. Le CISO a besoin d\u2019un acc\u00e8s en lecture et d\u2019audit sur les logs, les r\u00e8gles de pare-feu, les rapports de vuln\u00e9rabilit\u00e9s et les tests de restauration de sauvegardes, ind\u00e9pendamment de l\u2019exploitation IT. Ce pouvoir doit \u00eatre limit\u00e9 dans le temps et juridiquement, mais \u00eatre ex\u00e9cutoire dans le mandat.<\/p>\n<p>Le tableau suivant illustre le mod\u00e8le, sans d\u00e9velopper une matrice RACI compl\u00e8te.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:560px;border-collapse:collapse;margin:0;font-size:0.95em;\">\n<thead>\n<tr style=\"border-bottom:2px solid #69d8ed;\">\n<th style=\"text-align:left;padding:10px 12px;\">D\u00e9cision<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Qui d\u00e9cide<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Escalade en cas de blocage<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Accepter le risque final<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Service m\u00e9tier ou direction g\u00e9n\u00e9rale, le CISO valide l\u2019analyse<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direction g\u00e9n\u00e9rale<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Approuver un changement \u00e0 haut risque<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Approbation ou veto du CISO<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direction g\u00e9n\u00e9rale ou comit\u00e9 cyber<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Isoler un syst\u00e8me de production<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">CISO ou CSIRT en cas d\u2019incident actif<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Notification imm\u00e9diate \u00e0 la direction g\u00e9n\u00e9rale sans approbation pr\u00e9alable<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Exception \u00e0 la politique<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">CISO pour une dur\u00e9e limit\u00e9e, avec compensation<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direction g\u00e9n\u00e9rale en cas de refus par le service m\u00e9tier<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">CISO et CIO : pourquoi la m\u00eame ligne hi\u00e9rarchique masque le conflit<\/h2>\n<p>La disponibilit\u00e9 et la s\u00e9curit\u00e9 sont deux objectifs l\u00e9gitimes qui s\u2019opposent r\u00e9guli\u00e8rement. L\u2019exploitation IT veut livrer, le CISO veut s\u00e9curiser. Lorsque les deux r\u00f4les d\u00e9pendent de la m\u00eame ligne hi\u00e9rarchique, la direction IT contr\u00f4le pr\u00e9cis\u00e9ment ce que le CISO doit contr\u00f4ler : correctifs, identit\u00e9s, journalisation, sauvegardes. C\u2019est une rupture de la s\u00e9paration des fonctions.<\/p>\n<p>Le BSI recommande donc, pour pr\u00e9server l\u2019ind\u00e9pendance, de rattacher directement le responsable de la s\u00e9curit\u00e9 de l\u2019information (ISB) \u00e0 la plus haute direction. Une int\u00e9gration au sein du d\u00e9partement IT peut g\u00e9n\u00e9rer des conflits de r\u00f4les. Les analyses de gouvernance pointent dans la m\u00eame direction : lorsque la fonction s\u00e9curit\u00e9 est plac\u00e9e sous la direction IT, des d\u00e9ficits d\u2019information et des int\u00e9r\u00eats propres silencieux apparaissent facilement dans la cha\u00eene.<\/p>\n<p>La r\u00e9ponse pratique n\u2019est pas un d\u00e9bat de statut sur l\u2019appartenance du CISO au C-Level. C\u2019est une r\u00e8gle d\u2019escalade : un blocage technique entre la direction IT et le CISO est transmis \u00e0 la direction g\u00e9n\u00e9rale dans un d\u00e9lai d\u00e9fini. Celle-ci d\u00e9cide du risque m\u00e9tier, le CISO documente sa position s\u00e9curit\u00e9, les deux par \u00e9crit dans le proc\u00e8s-verbal.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Le cadre juridique trace la fronti\u00e8re entre responsabilit\u00e9 et pouvoir<\/h2>\n<p>La loi et les normes d\u00e9finissent la responsabilit\u00e9 de direction. Elles ne r\u00e8glent pas le cahier des d\u00e9cisions op\u00e9rationnelles du CISO. C\u2019est pr\u00e9cis\u00e9ment cette lacune que comble le mandat. Le paragraphe 38 du BSIG oblige la direction g\u00e9n\u00e9rale \u00e0 mettre en \u0153uvre les mesures de gestion des risques et \u00e0 en surveiller la mise en \u0153uvre. En cas de manquement fautif \u00e0 ses obligations, elle engage sa responsabilit\u00e9 selon les r\u00e8gles du droit des soci\u00e9t\u00e9s. L\u2019article 20 de la NIS2 formule au niveau europ\u00e9en la m\u00eame ligne : les organes de direction approuvent les mesures, les surveillent et peuvent \u00eatre tenus responsables en cas de violation.<\/p>\n<p>Le BSI-Grundschutz clarifie la cons\u00e9quence. La direction supr\u00eame porte la responsabilit\u00e9 globale. La d\u00e9l\u00e9gation des t\u00e2ches op\u00e9rationnelles ne l\u2019en dispense pas. Il en d\u00e9coule une r\u00e9partition claire des r\u00f4les : la direction g\u00e9n\u00e9rale reste la d\u00e9cideuse finale pour l\u2019acceptation des risques et les arbitrages strat\u00e9giques. Le CISO re\u00e7oit des pouvoirs d\u00e9l\u00e9gu\u00e9s pour l\u2019exploitation s\u00e9curit\u00e9, un veto dans des domaines d\u00e9finis et une obligation d\u2019escalade. L\u2019ordre est important : la loi ne pr\u00e9cise pas quels droits le CISO poss\u00e8de. C\u2019est une question d\u2019organisation. C\u2019est pourquoi elle doit \u00eatre tranch\u00e9e par \u00e9crit.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Ce qui doit figurer dans un mandat CISO et par o\u00f9 commencer<\/h2>\n<p>Un mandat est un contrat compact entre la direction g\u00e9n\u00e9rale et le CISO, pas un bundle de politiques de 40 pages. Huit \u00e9l\u00e9ments suffisent : le r\u00f4le et le p\u00e9rim\u00e8tre avec d\u00e9limitation par rapport au CIO et \u00e0 la protection des donn\u00e9es, la voie hi\u00e9rarchique avec fr\u00e9quence minimale et rapport de conflit non filtr\u00e9, les pouvoirs de d\u00e9cision avec seuils, les droits de veto \u00e9num\u00e9r\u00e9s, le chemin d\u2019escalade avec fen\u00eatre temporelle et joignabilit\u00e9, les ressources y compris l\u2019approbation d\u2019urgence, les droits de contr\u00f4le et d\u2019ex\u00e9cution ainsi qu\u2019un cycle de revue avec signature de la direction g\u00e9n\u00e9rale.<\/p>\n<p>Le d\u00e9marrage ne n\u00e9cessite pas une grande r\u00e9organisation. Trois \u00e9tapes suffisent pour commencer. Premi\u00e8rement : r\u00e9pondre \u00e0 l\u2019avance aux trois questions d\u2019incident, \u00e0 savoir qui isole, qui informe la direction g\u00e9n\u00e9rale et les autorit\u00e9s, qui peut sacrifier la disponibilit\u00e9. Deuxi\u00e8mement : consigner ces r\u00e9ponses de mani\u00e8re identique dans le mandat et le plan d\u2019incident. Troisi\u00e8mement : jouer une fois le sc\u00e9nario d\u2019isolation du segment ERP sous forme d\u2019exercice sur table, avec la direction IT, le directeur financier et la direction g\u00e9n\u00e9rale \u00e0 la table, au-del\u00e0 du SOC. Celui qui a r\u00e9alis\u00e9 cet exercice une fois ne se disputera plus \u00e0 02 h 47 sur les responsabilit\u00e9s.<\/p>\n<p>Dans les tr\u00e8s petites organisations, le r\u00f4le co\u00efncide parfois avec la direction IT. Il faut alors des mesures compensatoires : un principe des quatre yeux, des revues externes et une voie hi\u00e9rarchique directe vers la direction g\u00e9n\u00e9rale en cas d\u2019incident, clairement limit\u00e9e dans le temps. C\u2019est la deuxi\u00e8me meilleure solution, mais une solution document\u00e9e.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Questions fr\u00e9quentes<\/h2>\n<p class=\"st-faq-hint\">Chaque question est ferm\u00e9e. Un clic r\u00e9v\u00e8le la r\u00e9ponse.<\/p>\n<details>\n<summary><strong>Quelle est la diff\u00e9rence entre une description de poste et un mandat CISO ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Une description de poste \u00e9num\u00e8re les t\u00e2ches et les exigences. Un mandat d\u00e9finit les pouvoirs : ce que le CISO peut d\u00e9cider, o\u00f9 il a un veto, quand il escalade et quelles ressources lui reviennent. Lors d\u2019un incident, c\u2019est le mandat qui compte, car il r\u00e9git le pouvoir d\u2019action.<\/p>\n<\/details>\n<details>\n<summary><strong>Le BSIG prescrit-il les droits d\u2019un CISO ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Non. Le paragraphe 38 du BSIG r\u00e9git la responsabilit\u00e9 de la direction g\u00e9n\u00e9rale. Il ne r\u00e9git pas les pouvoirs du CISO. Quels droits sont d\u00e9l\u00e9gu\u00e9s rel\u00e8ve d\u2019une d\u00e9cision d\u2019organisation. C\u2019est pr\u00e9cis\u00e9ment pour cela qu\u2019elle doit \u00eatre prise par \u00e9crit, sinon la lacune entre responsabilit\u00e9 l\u00e9gale et action op\u00e9rationnelle reste ouverte.<\/p>\n<\/details>\n<details>\n<summary><strong>Le CISO doit-il \u00eatre subordonn\u00e9 au CIO ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Le BSI d\u00e9conseille de le rattacher \u00e0 la direction IT pour pr\u00e9server l\u2019ind\u00e9pendance. Celui qui doit contr\u00f4ler l\u2019exploitation IT et, en cas de doute, la freiner ne doit pas lui \u00eatre subordonn\u00e9. Lorsqu\u2019une ligne directe n\u2019est pas possible, il faut au moins une voie d\u2019escalade non filtr\u00e9e vers la direction g\u00e9n\u00e9rale.<\/p>\n<\/details>\n<details>\n<summary><strong>Un CISO peut-il arr\u00eater un syst\u00e8me de production de sa propre initiative ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Seulement si le mandat l\u2019y autorise. Il est judicieux de d\u00e9finir clairement un pouvoir d\u2019isolation en cas d\u2019incident actif avec compromission confirm\u00e9e, assorti d\u2019une notification imm\u00e9diate \u00e0 la direction g\u00e9n\u00e9rale. Sans cette r\u00e8gle \u00e9crite, le retard se produit, celui qui co\u00fbte le plus cher en situation critique.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00c0 quelle fr\u00e9quence un mandat doit-il \u00eatre r\u00e9vis\u00e9 ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Au moins une fois par an et apr\u00e8s chaque incident de s\u00e9curit\u00e9 majeur. Un incident r\u00e9v\u00e8le rapidement l\u00e0 o\u00f9 les pouvoirs n\u2019ont pas tenu en pratique. Chaque r\u00e9vision se termine par une nouvelle signature de la direction g\u00e9n\u00e9rale, afin que le mandat reste actuel et autoris\u00e9.<\/p>\n<\/details>\n<p><!--ST-LOWER-CARDS lang=fr--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Les choix de la r\u00e9daction<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/19\/pourquoi-le-certificat-iso-seul-ne-suffit-pas-au-bsi\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/iso-27001-nis2-bsig-zertifikat-luecken-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Pourquoi le certificat ISO ne suffit pas au BSI \u00e0 lui seul<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/21\/le-risque-de-la-chaine-dapprovisionnement-est-un-programme-et-non-une-liste\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/tprm-lieferkettenrisiko-nis2-dora-programm-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Le risque de la cha\u00eene d\u2019approvisionnement est un programme, pas une liste d\u2019audit<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/20\/loi-sur-les-toits-resilience-physique-ciso\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/06\/kritis-dachgesetz-physische-resilienz-ciso-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Loi-cadre KRITIS : Quand la r\u00e9silience devient une obligation pour le CISO<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Plus du r\u00e9seau MBF Media<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/fr\/geopolitique-datacenters-dsi-securisent\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-geopolitik-datacenter-roadmap-lieferkett-8054517-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">G?opolitique et datacenters : ce que les DSI s?curisent<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/fr\/loi-eu-sur-lia-act-a-partir-daout-2026-ce-que-la-classe-moyenne-doit-etiqueter\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-eu-ai-act-2026-kennzeichnungspflichten-m-35346140-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">AI Act de l\u2019UE \u00e0 partir d\u2019ao\u00fbt 2026 : ce que les PME doivent \u00e9tiqueter maintenant<\/span><\/span><\/a><a href=\"https:\/\/www.cloudmagazin.com\/fr\/2026\/06\/16\/xfs4iot-rencontre-le-cloud-le-distributeur-automatique-de-billets-devient-une\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-xfs4iot-cloud-geldautomat-plattform-syna-61345494.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">XFS4IoT rencontre le Cloud : le distributeur automatique de billets devient une plateforme<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"Mandat du CISO 2026 : Quels droits de d\u00e9cision, de veto et d&rsquo;escalade doivent \u00eatre r\u00e9glement\u00e9s par \u00e9crit afin qu&rsquo;il soit clair en cas d&rsquo;incident qui peut\u2026","protected":false},"author":10,"featured_media":18187,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Mandat du DSI","_yoast_wpseo_title":"Quels droits de d\u00e9cision du CISO doivent \u00eatre r\u00e9glement\u00e9s par \u00e9crit","_yoast_wpseo_metadesc":"Mandat du CISO 2026 : Quels droits de d\u00e9cision, de veto et d'escalade doivent \u00eatre r\u00e9glement\u00e9s par \u00e9crit pour que les actions soient claires en cas\u2026","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/ciso-mandat-entscheidungsrechte-eskalation-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/ciso-mandat-entscheidungsrechte-eskalation-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[260,258],"tags":[],"class_list":["post-20904","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance-fr","category-strategie-governance"],"evm_reading_time_minutes":12,"wpml_language":"fr","wpml_translation_of":18186,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20904","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=20904"}],"version-history":[{"count":2,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20904\/revisions"}],"predecessor-version":[{"id":21049,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20904\/revisions\/21049"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/18187"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=20904"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=20904"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=20904"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}