{"id":20910,"date":"2026-06-24T11:00:00","date_gmt":"2026-06-24T11:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=20910"},"modified":"2026-07-09T16:15:00","modified_gmt":"2026-07-09T16:15:00","slug":"ciso-a-temps-partiel-ce-qui-peut-etre-externalise-ce-qui-doit-rester-interne","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/06\/24\/ciso-a-temps-partiel-ce-qui-peut-etre-externalise-ce-qui-doit-rester-interne\/","title":{"rendered":"CISO \u00e0 temps partiel : Ce qui peut \u00eatre externalis\u00e9, ce qui doit rester interne"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">6 min de lecture<\/p>\n<p><strong>Le constructeur de machines comptant 120 collaborateurs n&rsquo;a pas besoin d&rsquo;un poste de CISO \u00e0 temps plein. Ce dont il a besoin depuis la nouvelle BSIG, c&rsquo;est de quelqu&rsquo;un qui pr\u00e9pare et documente les mesures de risque et fournit \u00e0 la direction des propositions de d\u00e9cision. Un CISO \u00e0 temps partiel externe pour deux jours par mois semble \u00eatre la solution pragmatique. De nombreuses offres passent sous silence le point d\u00e9cisif : le prestataire est autoris\u00e9 \u00e0 effectuer le travail de s\u00e9curit\u00e9. La responsabilit\u00e9 organisationnelle de la direction reste n\u00e9anmoins au sein de l&rsquo;entreprise.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">L&rsquo;essentiel en bref<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li><strong style=\"color:#69d8ed;\">Le travail sp\u00e9cialis\u00e9 est d\u00e9l\u00e9gable :<\/strong> Un vCISO peut prendre en charge la strat\u00e9gie, la mise en place de l&rsquo;ISMS, l&rsquo;analyse des risques, la pr\u00e9paration des audits et le reporting. En tant que terme de march\u00e9, ce r\u00f4le n&rsquo;est pas d\u00e9fini par la loi.<\/li>\n<li><strong style=\"color:#69d8ed;\">L&rsquo;obligation d&rsquo;organe n&rsquo;est pas d\u00e9l\u00e9gable :<\/strong> Le paragraphe 38 BSIG oblige la direction des \u00e9tablissements particuli\u00e8rement importants et importants \u00e0 mettre en \u0153uvre les mesures de risque et \u00e0 en surveiller la mise en \u0153uvre. La propre formation reste \u00e9galement \u00e0 la charge de la direction.<\/li>\n<li><strong style=\"color:#69d8ed;\">Le libell\u00e9 compte :<\/strong> La loi allemande parle de mettre en \u0153uvre et de surveiller. L&rsquo;exigence d&rsquo;approbation provient de l&rsquo;article 20 de la directive NIS2. Celui qui m\u00e9lange les deux cite la mauvaise norme lors de l&rsquo;audit.<\/li>\n<li><strong style=\"color:#69d8ed;\">Le mod\u00e8le \u00e9choue \u00e0 l&rsquo;interface :<\/strong> Sans ancrage interne, escalade claire et plan d&rsquo;offboarding, l&rsquo;expertise externe se transforme en faille de gouvernance qui ressort lors de l&rsquo;audit.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#b8c5ce;margin:20px 0 32px 0;border-top:1px solid rgba(230,227,218,0.12);border-bottom:1px solid rgba(230,227,218,0.12);padding:10px 0;\"><span style=\"color:#69d8ed;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">Connexe :<\/span><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/23\/quels-droits-de-decision-du-ciso-doivent-etre-reglementes-par-ecrit\/\" style=\"color:#333;text-decoration:underline;\">Quels droits de d\u00e9cision du CISO doivent \u00eatre r\u00e9glement\u00e9s par \u00e9crit<\/a>&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/19\/pourquoi-le-certificat-iso-seul-ne-suffit-pas-au-bsi\/\" style=\"color:#333;text-decoration:underline;\">Pourquoi le certificat ISO ne suffit pas seul au BSI<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Ce qu&rsquo;un vCISO fournit et ce que le terme de march\u00e9 ne r\u00e9glemente pas<\/h2>\n<p><strong>Qu&rsquo;est-ce qu&rsquo;un vCISO ?<\/strong> Un vCISO ou CISO-as-a-Service est l&rsquo;occupation externe de la fonction de CISO par un prestataire de services, g\u00e9n\u00e9ralement dans le cadre d&rsquo;un contingent mensuel ou sur la base d&rsquo;un taux journalier plut\u00f4t qu&rsquo;en contrat \u00e0 dur\u00e9e ind\u00e9termin\u00e9e. Il assume la gestion strat\u00e9gique de la s\u00e9curit\u00e9 de l&rsquo;information au niveau de la direction, sans faire partie de la direction g\u00e9n\u00e9rale.<\/p>\n<p>En pratique, le mandat couvre un p\u00e9rim\u00e8tre de t\u00e2ches clair. Le vCISO met en place ou d\u00e9veloppe davantage le syst\u00e8me de management de la s\u00e9curit\u00e9 de l&rsquo;information, r\u00e9dige des directives, effectue des analyses de risques et pr\u00e9pare les audits internes comme externes. S&rsquo;y ajoutent les concepts de sensibilisation, les playbooks d&rsquo;incident et le reporting r\u00e9gulier \u00e0 la direction. \u00c0 titre indicatif approximatif sans norme fixe, l&rsquo;ampleur se situe entre un demi et quelques jours-personnes par mois, factur\u00e9 en forfait ou selon le temps pass\u00e9. Il n&rsquo;existe pas de prix de march\u00e9 fixes, les indications des prestataires varient fortement.<\/p>\n<p>La distinction conceptuelle est importante. Le d\u00e9l\u00e9gu\u00e9 \u00e0 la s\u00e9curit\u00e9 de l&rsquo;information externe g\u00e8re l&rsquo;ISMS de mani\u00e8re op\u00e9rationnelle, le vCISO pilote strat\u00e9giquement au niveau de la direction. Dans les petites structures, cela se confond, car une seule personne porte les deux casquettes. Pour la gouvernance, ce n&rsquo;est pas le titre qui compte, mais le profil de t\u00e2ches et la question de savoir qui, en fin de compte, r\u00e9pond devant l&rsquo;autorit\u00e9 de surveillance.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Paragraphe 38 BSIG : Ce que la direction ne peut pas acheter<\/h2>\n<p>La nouvelle BSIG est entr\u00e9e en vigueur le 6 d\u00e9cembre 2025 et a remplac\u00e9 l&rsquo;ancienne version de 2009. Pour la question des r\u00f4les, le paragraphe 38 est le levier d\u00e9cisif. Il oblige les directions des \u00e9tablissements particuli\u00e8rement importants et importants, conform\u00e9ment au paragraphe 30, \u00e0 mettre en \u0153uvre les mesures de gestion des risques \u00e0 prendre et \u00e0 en surveiller la mise en \u0153uvre. Le paragraphe 30 \u00e9num\u00e8re \u00e0 cet effet les dix mesures minimales, de l&rsquo;analyse des risques \u00e0 la cryptographie en passant par la s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement.<\/p>\n<p>\u00c0 ce stade, un examen pr\u00e9cis du libell\u00e9 s&rsquo;impose. La loi allemande parle de mettre en \u0153uvre et de surveiller. Le terme d&rsquo;approuver, utilis\u00e9 par de nombreux commentaires, provient de l&rsquo;article 20 de la directive NIS2 et correspond \u00e0 l&rsquo;anglais approve. Le l\u00e9gislateur a donc volontairement formul\u00e9 de mani\u00e8re plus forte que la norme europ\u00e9enne. Mettre en \u0153uvre signifie plus qu&rsquo;approuver : la direction doit veiller \u00e0 ce que les mesures soient introduites et exploit\u00e9es efficacement avec des ressources et un ancrage. Elle garde en permanence un \u0153il sur leur efficacit\u00e9. Un prestataire externe peut pr\u00e9parer cela. La responsabilit\u00e9 en incombe \u00e0 la direction.<\/p>\n<p>Deux autres alin\u00e9as clarifient clairement les limites de la d\u00e9l\u00e9gation. Le paragraphe 38 alin\u00e9a 2 lie une violation fautive des obligations \u00e0 la responsabilit\u00e9 des membres de la direction envers leur propre \u00e9tablissement, selon les r\u00e8gles du droit des soci\u00e9t\u00e9s applicable. Et l&rsquo;alin\u00e9a 3 exige que les membres de la direction participent r\u00e9guli\u00e8rement personnellement \u00e0 des formations afin de pouvoir identifier et \u00e9valuer les risques cyber. Un externe peut assurer la mise en \u0153uvre, mais la participation des organes reste obligatoire. Un vCISO peut former, mais il ne peut pas remplacer la participation. Celui qui pense qu&rsquo;avec le contrat de service la conformit\u00e9 est externalis\u00e9e, a manqu\u00e9 le c\u0153ur de la norme.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">La r\u00e9partition des r\u00f4les : externe pour l&rsquo;op\u00e9rationnel, interne pour la responsabilit\u00e9<\/h2>\n<p>La s\u00e9paration propre suit une ligne simple. Tout ce qui rel\u00e8ve du travail sp\u00e9cialis\u00e9 peut \u00eatre externalis\u00e9. Tout ce qui concerne la d\u00e9cision, l&rsquo;allocation de ressources et la preuve de la surveillance reste \u00e0 l&rsquo;interne. Le tableau suivant attribue les t\u00e2ches typiques.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:600px;border-collapse:collapse;margin:0;font-size:0.95em;\">\n<thead>\n<tr style=\"border-bottom:2px solid #69d8ed;\">\n<th style=\"text-align:left;padding:10px 12px;\">T\u00e2che<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">D\u00e9l\u00e9gable \u00e0 l&rsquo;externe ?<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Reste en interne<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Justification<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Analyse des risques et catalogue de mesures<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Oui, \u00e9laboration et maintenance<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direction : \u00e9valuation, d\u00e9cision de mise en \u0153uvre, preuve de surveillance<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">La mise en \u0153uvre et la surveillance selon le paragraphe 38 incombent \u00e0 la direction<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>ISMS, directives, documentation<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Oui, conception et mod\u00e8les<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direction : ancrage, application<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Un document sans application interne ne passe pas l&rsquo;audit<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Reporting \u00e0 la direction<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Partiellement, cr\u00e9ation du rapport<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direction : examen, ajustement<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">La surveillance est une obligation de la direction et doit \u00eatre d\u00e9montrable<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>R\u00e9action initiale aux incidents (op\u00e9rationnelle)<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Oui, en tant que service IR contractuellement r\u00e9alisable<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Interne : d\u00e9cision, escalade<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">La r\u00e9action op\u00e9rationnelle est d\u00e9l\u00e9gable, le pouvoir de d\u00e9cision reste au sein de l&rsquo;entreprise<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>D\u00e9claration en cas d&rsquo;incident significatif<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Partiellement, soumission supportable<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">\u00c9tablissement et direction : obligation et approbation<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">L&rsquo;obligation de d\u00e9claration selon le paragraphe 32 incombe \u00e0 l&rsquo;\u00e9tablissement, pas au consultant<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Budget et investissements<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Non<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direction<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Les ressources et l&rsquo;acceptation des risques rel\u00e8vent de la direction de l&rsquo;entreprise<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Formation de la direction<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Non, seulement r\u00e9alisation<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direction personnellement<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Le paragraphe 38 attribue la formation personnellement \u00e0 la direction<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p>Un point de la th\u00e9orie des organisations s&rsquo;y ajoute. La fonction de s\u00e9curit\u00e9 ne devrait pas d\u00e9pendre du service informatique, car sinon le m\u00eame service construit et contr\u00f4le. Le BSI qualifie pr\u00e9cis\u00e9ment cette d\u00e9l\u00e9gation au service informatique d&rsquo;anti-mod\u00e8le et rend la direction responsable. Une fonction de s\u00e9curit\u00e9 ind\u00e9pendante est ainsi une bonne pratique, pas une ligne hi\u00e9rarchique prescrite par la loi. Un vCISO qui rend directement compte \u00e0 la direction s&rsquo;inscrit dans cette logique. Un vCISO qui est affect\u00e9 au responsable informatique ne fait que reproduire le conflit de r\u00f4les avec du personnel externe.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">O\u00f9 le mod\u00e8le se brise lors de l&rsquo;audit et en cas d&rsquo;urgence<\/h2>\n<p>Les points faibles d&rsquo;un mod\u00e8le vCISO se situent rarement dans la comp\u00e9tence technique. Ils se situent aux interfaces. Cinq points de rupture typiques reviennent sans cesse.<\/p>\n<p><strong>Pas de l\u00e9gitimit\u00e9 interne.<\/strong> S&rsquo;il n&rsquo;y a pas de personne de contact interne avec autorit\u00e9 d\u00e9sign\u00e9e, personne sur place n&rsquo;est autoris\u00e9 \u00e0 d\u00e9cider en cas d&rsquo;incident. L&rsquo;expert externe reste au t\u00e9l\u00e9phone, alors qu&rsquo;un incident est d\u00e9j\u00e0 en cours dans le syst\u00e8me.<\/p>\n<p><strong>Disponibilit\u00e9 \u00e0 la limite.<\/strong> Un contrat de service de huit heures sur cinq jours ne couvre pas un incident \u00e0 22 heures. L&rsquo;obligation de d\u00e9claration selon le paragraphe 32 exige une premi\u00e8re d\u00e9claration sans d\u00e9lai, au plus tard dans les 24 heures apr\u00e8s connaissance d&rsquo;un incident significatif, d\u00e8s que la voie de d\u00e9claration commune est op\u00e9rationnelle. Cette horloge tourne pour l&rsquo;\u00e9tablissement, pas pour le prestataire.<\/p>\n<p><strong>Conflit d&rsquo;int\u00e9r\u00eats.<\/strong> Le m\u00eame prestataire agit en tant que vCISO et vend en m\u00eame temps des tests d&rsquo;intrusion, des audits ou des projets de mise en \u0153uvre. Conseil et \u00e9valuation se trouvent alors dans les m\u00eames mains. Un examen ind\u00e9pendant ou une s\u00e9paration claire des r\u00f4les r\u00e9sout cela.<\/p>\n<p><strong>Lacune de surveillance malgr\u00e9 l&rsquo;expertise.<\/strong> Le vCISO signale un risque, la direction ne r\u00e9agit pas, personne ne documente la d\u00e9cision. Lors de l&rsquo;audit, la lacune appara\u00eet au niveau de la direction, bien que tout ait \u00e9t\u00e9 pr\u00e9sent\u00e9 sur le plan technique.<\/p>\n<p><strong>Perte de connaissances \u00e0 la fin du contrat.<\/strong> Lorsque le mandat prend fin, il manque souvent la documentation ISMS, le registre des risques et les logs de d\u00e9cision. Le successeur ou le prochain auditeur voit un vide l\u00e0 o\u00f9 il y avait encore du pilotage.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Pour quelles entreprises le CISO \u00e0 temps partiel convient<\/h2>\n<p>Le mod\u00e8le n&rsquo;est pas un outil universel. Il convient tr\u00e8s bien dans certaines configurations et mal dans d&rsquo;autres. La comparaison suivante aide \u00e0 une auto-\u00e9valuation honn\u00eate.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:520px;border-collapse:collapse;margin:0;font-size:0.95em;\">\n<thead>\n<tr style=\"border-bottom:2px solid #69d8ed;\">\n<th style=\"text-align:left;padding:10px 12px;\">Convient plut\u00f4t lorsque<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Convient moins bien lorsque<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\">50 \u00e0 500 collaborateurs, maturit\u00e9 s\u00e9curit\u00e9 faible \u00e0 moyenne<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Responsabilit\u00e9 24h\/24 pour les incidents sans \u00e9quipe interne<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\">Mise en place d&rsquo;un ISMS ou pression d&rsquo;audit, mais pas de besoin \u00e0 temps plein<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Confidentialit\u00e9 \u00e9lev\u00e9e ou production OT sans ancrage interne<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\">Phase de transition, jusqu&rsquo;\u00e0 ce qu&rsquo;un r\u00f4le interne soit pourvu<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Structure de groupe complexe avec reporting \u00e0 la direction et filiales<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align:left;padding:10px 12px;\">Direction disposant d&rsquo;un budget temps pour les examens et sa propre formation<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Attente de conformit\u00e9 externalis\u00e9e sans aucun effort interne<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p>Dans les secteurs r\u00e9glement\u00e9s avec des attentes de supervision propres, la combinaison d&rsquo;un vCISO et d&rsquo;un d\u00e9l\u00e9gu\u00e9 \u00e0 la s\u00e9curit\u00e9 interne est g\u00e9n\u00e9ralement plus viable qu&rsquo;un mandat externe seul. L&rsquo;un apporte le pilotage, l&rsquo;autre maintient les connaissances et la capacit\u00e9 de r\u00e9action au sein de l&rsquo;entreprise.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">La mise en route : comment int\u00e9grer proprement un vCISO<\/h2>\n<p>Un mod\u00e8le viable se construit en quelques \u00e9tapes claires. Premi\u00e8rement : d\u00e9finir le mandat par \u00e9crit, avec les t\u00e2ches, les jours-personnes par mois, les temps de r\u00e9action et l&rsquo;indication expresse qu&rsquo;aucune repr\u00e9sentation de la direction n&rsquo;est transf\u00e9r\u00e9e. Deuxi\u00e8mement : placer la ligne hi\u00e9rarchique directement aupr\u00e8s de la direction au lieu de la direction informatique. Troisi\u00e8mement : d\u00e9signer un ancrage interne pour les op\u00e9rations quotidiennes et la r\u00e9action initiale aux incidents. Quatri\u00e8mement : mettre en place une matrice d&rsquo;escalade et de d\u00e9claration avec les d\u00e9lais du paragraphe 32, dans laquelle la direction figure en tant que d\u00e9cideur. Cinqui\u00e8mement : un examen trimestriel avec proc\u00e8s-verbal qui consigne l&rsquo;\u00e9tat des mesures, les risques ouverts et les besoins budg\u00e9taires.<\/p>\n<p>Deux choses doivent \u00eatre planifi\u00e9es s\u00e9par\u00e9ment. La formation de la direction selon le paragraphe 38 se d\u00e9roule ind\u00e9pendamment du contrat de service, afin que l&rsquo;obligation d&rsquo;organe soit visiblement remplie. Et le plan de sortie avec remise de la documentation, du registre des risques et des acc\u00e8s est id\u00e9alement d\u00e9j\u00e0 pr\u00e9vu dans le contrat avant d&rsquo;\u00eatre n\u00e9cessaire. Un bon vCISO rend la direction capable d&rsquo;agir. Il ne la rend pas exempte de faute. Celui qui clarifie cela lors de la conclusion du contrat s&rsquo;\u00e9pargne lors de l&rsquo;audit la co\u00fbteuse prise de conscience que l&rsquo;expertise externe ne remplace pas la responsabilit\u00e9 interne.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Questions fr\u00e9quentes<\/h2>\n<p class=\"st-faq-hint\">Chaque question est ferm\u00e9e. Un tapotement d\u00e9verrouille la r\u00e9ponse.<\/p>\n<details>\n<summary><strong>Puis-je en tant que dirigeant d\u00e9l\u00e9guer compl\u00e8tement mes obligations NIS2 \u00e0 un vCISO externe ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Non. Le paragraphe 38 BSIG oblige la direction \u00e0 mettre en \u0153uvre les mesures de risque, \u00e0 en surveiller la mise en \u0153uvre et \u00e0 participer r\u00e9guli\u00e8rement personnellement \u00e0 des formations. Un vCISO peut pr\u00e9parer et piloter ce travail. La responsabilit\u00e9 organisationnelle ultime reste \u00e0 la charge de la direction. Cela ne remplace pas un conseil juridique dans le cas particulier, l&rsquo;interpr\u00e9tation d\u00e9pend de la forme juridique et de l&rsquo;organisation.<\/p>\n<\/details>\n<details>\n<summary><strong>Ai-je besoin d&rsquo;un vCISO ou un d\u00e9l\u00e9gu\u00e9 \u00e0 la s\u00e9curit\u00e9 externe suffit-il ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Un d\u00e9l\u00e9gu\u00e9 \u00e0 la s\u00e9curit\u00e9 de l&rsquo;information convient lorsque c&rsquo;est principalement l&rsquo;exploitation op\u00e9rationnelle de l&rsquo;ISMS qui manque. Un vCISO convient lorsque l&rsquo;ancrage strat\u00e9gique aupr\u00e8s de la direction et la gouvernance font d\u00e9faut. De nombreux acteurs du Mittelstand commencent par un d\u00e9l\u00e9gu\u00e9 et compl\u00e8tent par un vCISO d\u00e8s que la pression d&rsquo;audit et de la direction augmente.<\/p>\n<\/details>\n<details>\n<summary><strong>Le vCISO externe engage-t-il sa responsabilit\u00e9 personnelle selon le paragraphe 38 BSIG ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Le paragraphe 38 s&rsquo;adresse aux membres de la direction. Le vCISO engage sa responsabilit\u00e9 contractuelle selon son contrat de service, pas en tant qu&rsquo;organe de substitution. Ce n&rsquo;est qu&rsquo;en cas de prise en charge expresse et efficace de fonctions de direction que cela se d\u00e9place, ce qui est inhabituel dans la pratique.<\/p>\n<\/details>\n<details>\n<summary><strong>Combien co\u00fbte un vCISO dans le Mittelstand ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Il n&rsquo;existe pas de valeurs normatives contraignantes. Les prestataires facturent sous forme de forfait mensuel ou selon un taux journalier, les fourchettes diff\u00e8rent fortement selon l&rsquo;ampleur et le niveau de maturit\u00e9. Il est judicieux de comparer plusieurs offres sur la base du catalogue de t\u00e2ches convenu plut\u00f4t que d&rsquo;un prix de march\u00e9 forfaitaire.<\/p>\n<\/details>\n<p><!--ST-LOWER-CARDS lang=fr--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Les choix de la r\u00e9daction<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/23\/quels-droits-de-decision-du-ciso-doivent-etre-reglementes-par-ecrit\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/ciso-mandat-entscheidungsrechte-eskalation-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Quels droits de d\u00e9cision du CISO doivent \u00eatre r\u00e9gis par \u00e9crit<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/16\/nis2-apres-lecheance-cest-maintenant-que-commence-la-supervision-de-la-bsi\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/06\/nis2-apres-lecheance-cest-maintenant-que-commence-la-supervision-de-la-bsi-cover-fr-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">NIS2 apr\u00e8s l\u2019\u00e9ch\u00e9ance : c\u2019est maintenant que commence la supervision de la BSI<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/05\/18\/conformite-nis2-dans-les-entreprises-de-taille-moyenne-etapes-realisables\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/nis2-compliance-mittelstand-umsetzung-praxis-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Conformit\u00e9 NIS2 : \u00e9tapes cl\u00e9s pour les PME<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Plus du r\u00e9seau MBF Media<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/fr\/geopolitique-datacenters-dsi-securisent\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-geopolitik-datacenter-roadmap-lieferkett-8054517-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">G?opolitique et datacenters : ce que les DSI s?curisent<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/fr\/loi-eu-sur-lia-act-a-partir-daout-2026-ce-que-la-classe-moyenne-doit-etiqueter\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-eu-ai-act-2026-kennzeichnungspflichten-m-35346140-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">AI Act de l\u2019UE \u00e0 partir d\u2019ao\u00fbt 2026 : ce que les PME doivent \u00e9tiqueter maintenant<\/span><\/span><\/a><a href=\"https:\/\/www.cloudmagazin.com\/fr\/2026\/06\/16\/xfs4iot-rencontre-le-cloud-le-distributeur-automatique-de-billets-devient-une\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-xfs4iot-cloud-geldautomat-plattform-syna-61345494.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">XFS4IoT rencontre le Cloud : le distributeur automatique de billets devient une plateforme<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"Un vCISO (Chief Information Security Officer virtuel) assume les t\u00e2ches de s\u00e9curit\u00e9 sp\u00e9cialis\u00e9es dans les PME, mais la responsabilit\u00e9 selon l&rsquo;article 38\u2026","protected":false},"author":50,"featured_media":18193,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"vCISO est un sigle qui signifie \"Virtual Chief Information Security Officer\". La traduction en fran\u00e7ais est : vDSSI","_yoast_wpseo_title":"CISO \u00e0 temps partiel : ce qui peut \u00eatre externalis\u00e9, ce qui doit rester interne","_yoast_wpseo_metadesc":"Un vCISO assume les t\u00e2ches de s\u00e9curit\u00e9 sp\u00e9cialis\u00e9es dans les PME, mais quelle responsabilit\u00e9 selon l'article 38 du BSIG reste obligatoirement chez la\u2026","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/teilzeit-ciso-vciso-delegierbar-bsig-cover-hero-1.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/teilzeit-ciso-vciso-delegierbar-bsig-cover-hero-1.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[260,258],"tags":[],"class_list":["post-20910","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance-fr","category-strategie-governance"],"evm_reading_time_minutes":13,"wpml_language":"fr","wpml_translation_of":18191,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20910","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=20910"}],"version-history":[{"count":2,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20910\/revisions"}],"predecessor-version":[{"id":21038,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20910\/revisions\/21038"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/18193"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=20910"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=20910"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=20910"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}