Les cyberattaques font depuis longtemps partie du quotidien des entreprises, des autorités et des infrastructures critiques. Selon le Global Digital Trust Insights 2025, les dirigeantes et dirigeants suisses signalent toujours une gestion des budgets cyber insuffisamment axée sur les risques – une entreprise sur six seulement alloue systématiquement ses budgets selon des priorités de risque. Résultat: des lacunes de gouvernance, de communication et de ressources au plus haut niveau.
Pourquoi la fonction CISO doit désormais relier direction générale et responsabilité financière (Partie 2)
Dans la Partie 1, nous avons esquissé le déplacement évolutif de la fonction CISO d’une responsabilité purement technique vers une gouvernance stratégique et la qualifions désormais de rôle de direction du CISO. Dans ce deuxième article de la série, nous nous concentrons sur les interfaces où les CISOs doivent aujourd’hui produire le plus d’effet: reporting au conseil d’administration et à la direction, négociation budgétaire avec le CFO ainsi que coopération étroite avec le service juridique. Point de départ: constats empiriques en Europe et en Suisse et exemples pratiques concrets.
Thème central de cet article: la fonction CISO ne peut plus poursuivre un agenda technique isolé – elle doit traduire risques, coûts et obligations juridiques en indicateurs économiques compréhensibles.
Reporting au board: présence ne rime pas avec influence
Les études récentes dressent un tableau nuancé: 83 % des CISOs européens participent régulièrement aux réunions du conseil, mais seulement 29 % des boards disposent d’une expertise cyber dédiée, comme le constate le CISO Report 2025. En Suisse, les analyses de PwC confirment que les CISOs sont certes invités plus souvent, mais qu’ils sont moins intégrés aux décisions opérationnelles.
Ce décalage s’explique en partie par des lacunes de communication: les conseils attendent des déclarations claires et fondées économiquement – sur les risques résiduels, les probabilités de perte et les coûts en cas de sinistre. Beaucoup de CISOs continuent toutefois de rapporter via des métriques techniques ou des logiques IT. Il en résulte des perceptions divergentes: 52 % des conseils voient le CISO comme un facilitateur business, mais seulement 34 % des CISOs partagent cette vision (rapport Splunk/Bitkom).
Éléments de bonnes pratiques pour un reporting au board efficace:
– Traduction des risques techniques en indicateurs financiers (impact business, Annualized Loss Expectancy).
– Utilisation de Key Risk Indicators (KRIs) liés aux objectifs d’entreprise.
– Mises à jour régulières et structurées avec options d’action et conséquences budgétaires claires.
CISO et CFO: la négociation budgétaire comme dialogue stratégique
La discussion budgétaire est un champ de tension central dans nombre d’entreprises suisses. Selon PwC Suisse, une entreprise sur six seulement alloue ses moyens cyber de manière réellement axée sur les risques. Cela crée des frictions avec le CFO, qui mesure les investissements à l’aune d’indicateurs de gestion. Les CISOs doivent donc traduire les besoins d’investissement en notions de ROI et en potentiels de réduction du risque, afin d’établir des priorités.
Des approches concrètes, déjà éprouvées dans la pratique, l’ont été au sein d’entreprises suisses: Mostafa Hassanin de la SMG Swiss Marketplace Group rapporte directement à la direction et a mis en place des KRIs qui montrent un bénéfice clair aux parties prenantes opérationnelles comme financières. De telles métriques permettent au CFO d’intégrer les dépenses cyber au budget global et d’évaluer les risques en termes de capital.
Recommandations pour la coopération CISO‑CFO:
– Développez des métriques orientées business (p. ex. dommage financier attendu par scénario).
– Fixez des priorités avec un modèle de score‑card basé sur les risques.
– Concluez des cycles de revue où l’impact et les KPIs sont examinés en toute transparence.
CISO et service juridique: obligations de notification et questions de responsabilité
Les nouveautés réglementaires intensifient la collaboration entre CISO et Legal. DORA et NIS2 élargissent les obligations de gouvernance et de notification dans l’UE; les institutions suisses doivent en outre respecter les prescriptions de la FINMA et la révision du DSG 2023. Baggenstos propose un aperçu compact des cadres juridiques pertinents dans sa synthèse sur NIS2/DORA/FINMA/DSG.
Conséquence: les CISOs assument de plus en plus la responsabilité opérationnelle des contrôles de conformité, tandis que la responsabilité juridique et les questions contractuelles restent chez Legal. Une collaboration efficace exige donc des rôles clairs (modèles RACI), des playbooks d’incident communs et des processus de notification harmonisés – incluant une matrice de communication graduée pour les autorités de surveillance et les personnes concernées.
Exemple pratique chez Logitech: sous la direction de Tana Dubel (lauréate des Swiss CISO Awards), la stratégie cyber, y compris la certification ISO et les processus de gouvernance, a été conçue de manière à articuler de façon cohérente conformité, mesures techniques et reporting au board. L’exemple montre comment une coordination étroite avec Legal facilite la mise en œuvre des exigences réglementaires (Swiss Cyber Institute, 2024).
Conséquences réglementaires pour la gouvernance et les ressources
DORA et NIS2 obligent les entreprises dans l’UE et celles en relation d’affaires avec l’UE à renforcer leurs structures de gouvernance: cadres obligatoires de gestion des risques ICT, évaluations des risques des tiers et tests de résilience. Pour les établissements financiers, DORA entre en vigueur dès 2025; en Suisse, la FINMA complète cela par des circulaires sectorielles. Baggenstos a bien synthétisé les exigences clés pour la Suisse et l’UE.
Impacts pratiques:
– Besoin accru de ressources: tests prudentiels, documentation et monitoring des tiers exigent budget et personnel supplémentaires.
– Responsabilité accrue du board: les conseils doivent pouvoir décider de manière traçable au sujet des risques cyber.
– Implication renforcée du CISO dans la planification stratégique, afin de détecter tôt les lacunes de conformité.
Ce qu’il faut faire maintenant, avec pragmatisme
À partir des études et d’exemples suisses, des mesures à court terme se dégagent pour renforcer gouvernance et responsabilité financière:
– Standardisez un tableau de bord avec 6–8 KRIs adressant direction et CFO (impact business, Mean Time to Detect, exposition aux tiers, statut de conformité).
– Formalisez les rythmes de reporting: revues stratégiques trimestrielles et briefs d’incident ad hoc au conseil et au CEO.
– Établissez un incident playbook harmonisé entre CISO, CFO et Legal couvrant les obligations de notification (DSG/NIS2/DORA).
– Investissez dans les compétences de storytelling des CISOs: les présentations doivent expliciter clairement risques business et effets de coûts.
Conclusion
Le rôle du CISO est aujourd’hui largement un rôle de direction: il exige une communication stratégique au conseil, une rationalité économique face au CFO et une collaboration conforme au droit avec Legal. Les constats européens et suisses – par exemple du CISO Report 2025 et des PwC Global Digital Trust Insights 2025 – le confirment: la simple présence à la table ne suffit pas. Les CISOs doivent monétiser les risques, opérationnaliser les processus de gouvernance et gérer de manière proactive les obligations réglementaires.
Gouvernance CISO: votre prochaine étape
Si votre organisation souhaite renforcer sa cyber‑résilience, commencez par des responsabilités claires: définissez des KRIs, ancrez des rythmes de reporting et harmonisez les voies de notification des incidents avec le CFO et Legal. Des exemples comme Logitech et SMG montrent que cela crée à la fois de la valeur de conformité et de la valeur business (Swiss Cyber Institute; Computerworld). Pour une analyse approfondie et une mise en œuvre opérationnelle, nous proposons un accompagnement pragmatique – du design de gouvernance jusqu’à l’implémentation des KRIs.
Key take‑away – Alignez risques, coûts et droit
Ancrez la fonction CISO de manière organisationnelle afin qu’elle atteigne à parts égales direction, CFO et Legal. Mesures concrètes: budgétisation fondée sur les risques, reporting appuyé par des KRIs et processus de notification harmonisés (DSG / NIS2 / DORA). Sources fiables et exemples pratiques: PwC Global Digital Trust Insights 2025, CISO Report 2025, Swiss CISO Awards / Computerworld, Baggenstos – aperçu NIS2/DORA/FINMA/DSG.
