La nouvelle fonction de leadership CISO résulte d’un durcissement réglementaire, d’une attention accrue des conseils d’administration et de la pression sur l’allocation des ressources. Selon le PwC Global Digital Trust Insights 2025, en Suisse, seule une entreprise sur six alloue réellement ses budgets cyber en fonction du risque. Cela indique clairement que la gouvernance et la responsabilité financière restent, trop souvent, insuffisamment reliées.
Pourquoi le final: leadership CISO comme trait d’union entre risque, droit et finances
Dans ce cinquième et dernier volet de notre série, nous synthétisons les enseignements clés et proposons des recommandations concrètes et opérationnelles pour le conseil d’administration, la direction et les CISOs. Les faits sont clairs: les CISOs sont nettement plus présents dans les réunions du board (selon le CISO Report 2025, 83 % des CISOs européens participent régulièrement au conseil). Pourtant, dans de nombreux organes, des expertes et experts cyber spécifiques font défaut. Par conséquent, un problème très pratique persiste: les décisions budgétaires se prennent encore souvent sans intégrer systématiquement les responsables de la sécurité (PwC Suisse), ce qui affaiblit, de facto, le leadership CISO.
Recommandations concrètes pour le conseil d’administration, afin de renforcer le leadership CISO
Le conseil d’administration doit comprendre les cyberrisques comme un risque stratégique de l’entreprise et définir les conditions-cadres dans lesquelles le CISO peut agir efficacement. Ainsi, le leadership CISO devient mesurable et pilotable:
1. Ligne de reporting et mandat clairs: Ancrez formellement la fonction CISO dans la gouvernance (reporting direct au CEO ou à un committee du board). Les exemples suisses, notamment la voie de reporting directe chez SMG Swiss Marketplace Group (Swiss CISO Awards / SMG), montrent que la transparence et la vitesse de décision augmentent lorsque la ligne de reporting est courte. En outre, ce dispositif crédibilise le leadership CISO face aux arbitrages internes.
2. Compléter les compétences du board: Assurez-vous que le conseil d’administration dispose d’une expertise en cyber et en risque IT, au besoin via des conseillers externes ou des committees dédiés. Selon le CISO Report, seuls 29 % des boards disposent de cette expertise. Dès lors, des lacunes de gouvernance s’ouvrent, et le leadership CISO se heurte à des décisions prises sans référentiel technique.
3. Exiger une validation budgétaire orientée risque: Demandez au management et au CISO un modèle budgétaire fondé sur le risque, avec des KPIs clairs. L’analyse de PwC montre que l’allocation orientée risque reste rare en Suisse. Par conséquent, le conseil d’administration doit actionner ce levier de manière active (PwC Global Digital Trust Insights 2025), sinon le leadership CISO demeure cantonné à l’exécution.
Recommandations pour CEO, CFO et CISO: rendre la collaboration du leadership CISO opérationnelle
Les interfaces CISO–CFO et CISO–Legal sont souvent des zones de tension. Toutefois, des mesures pratiques réduisent les frictions et stabilisent le leadership CISO dans la durée:
1. Définir des indicateurs économiques pour les investissements cyber: CFOs et CISOs devraient fixer des KPIs communs (p. ex. réduction des pertes attendues, Mean Time to Recovery, coût par Incident). Ce n’est qu’ainsi que les mesures cyber peuvent être évaluées de manière factuelle dans le processus budgétaire. De plus, cela répond à un résultat central de l’étude PwC et renforce le leadership CISO par des arguments chiffrés.
2. Régime courant: reporting mensuel Finance–Security: Des rapports courts et standardisés pour le CFO et le controlling (coûts, respect des Service Level Agreement, risques Third-Party) créent de la transparence et, par conséquent, évitent les surprises. En parallèle, ils structurent la relation entre finance et leadership CISO.
3. Impliquer Legal tôt, pas seulement lors d’Incidents: La coopération avec le service juridique n’est pas un addendum. Les nouvelles obligations de notification sous NIS2/DORA et la LPD suisse révisée exigent un alignement continu (voir l’aperçu réglementaire de Baggenstos). Ainsi, le leadership CISO gagne en sécurité juridique au lieu de réagir dans l’urgence.
Garde-fous opérationnels: gouvernance, risque Third-Party et tests de résilience
Les exigences réglementaires (DORA, NIS2, circulaires FINMA) imposent des obligations concrètes. Par conséquent, les entreprises devraient prioriser les mesures suivantes afin d’ancrer durablement le leadership CISO:
1. Introduire un framework de gestion des risques ICT: Mettez en œuvre un framework qui réunit gouvernance, évaluation des risques, KRIs et reporting. DORA exige de telles structures pour les institutions financières dès 2025. NIS2 impose, quant à elle, des obligations étendues de notification et de chaîne d’approvisionnement (Baggenstos, 2024).
2. Rendre le Third-Party‑Risk‑Management opérationnel: Les risques de chaîne d’approvisionnement constituent un point central de NIS2/DORA. Des Third‑Party‑Assessments standardisés, des modèles de scoring dynamiques et des Service Level Agreement contractuels doivent figurer dans les catalogues d’obligations de la gouvernance et des achats. En outre, ces instruments donnent au leadership CISO une base de décision partagée.
3. Réaliser régulièrement des tests de résilience et des Tabletop‑Tests: Les contrôles des capacités d’Incident Response, y compris les chaînes de communication vers le board, le CFO et le service juridique, doivent se dérouler selon un plan. Par ailleurs, la mise en œuvre européenne de DORA accroît l’attente de tests documentés et de preuves.
Exemples de terrain: ce qui fonctionne en Suisse
Les Swiss CISO Awards et des cas de 2024 montrent comment une mise en œuvre réussit. Ainsi, le leadership CISO devient visible dans l’organisation:
Logitech (Tana Dubel): Approche Zero Trust, certification ISO‑27001 et intégration étroite au board ont conduit à une résilience renforcée et à une meilleure compliance. Il s’agit d’un modèle qui illustre comment gouvernance, mesures techniques et diversité interagissent (Swiss CISO Awards / Logitech).
SMG Swiss Marketplace Group (Mostafa Hassanin): Reporting direct à la direction, introduction de KRIs et coordination étroite avec Legal ont amélioré la transparence et les processus de décision. De plus, cet exemple montre comment des standards de reporting peuvent être mis en œuvre au niveau opérationnel, au bénéfice du leadership CISO (Swiss CISO Awards / SMG).
Vue d’ensemble des faits: points clés vérifiables
– 83 % des CISOs européens participent régulièrement aux réunions du board; seuls 29 % des boards disposent d’une expertise cyber (CISO Report 2025), 2024.
– Seule 1 entreprise suisse sur 6 alloue les budgets cyber en fonction du risque (PwC Global Digital Trust Insights 2025), juillet 2024.
– DORA entre en vigueur pour les institutions financières dès 2025; les exigences en matière de gestion des risques ICT, de tests de résilience et d’obligations de notification sont contraignantes (Baggenstos, 2024).
Conclusion: ce qu’il faut faire maintenant
Le rôle du CISO a évolué d’une fonction purement technique vers une tâche de direction à part entière. L’ancrage dans la gouvernance, des responsabilités financières clairement définies et une collaboration étroite avec le CFO et Legal ne sont plus des éléments «nice‑to‑have». Au contraire, ils conditionnent la compliance réglementaire et la résilience opérationnelle. Les organisations qui tardent s’exposent à des coûts réglementaires et économiques élevés. Dans ce contexte, le leadership CISO devient un facteur de compétitivité, et non un centre de coûts.
Pratique CISO: prochaines étapes (check-list)
– Ancrez formellement le rôle du CISO dans la gouvernance (reporting au CEO / board‑committee).
– Exigez un modèle budgétaire fondé sur le risque avec des KPIs clairs (implication du CFO).
– Implémentez un framework de gestion des risques ICT dans l’esprit de DORA/NIS2.
– Rendez opérationnels les Third‑Party‑Risk‑Assessments et les Service Level Agreement contractuels.
– Réalisez régulièrement des tests de résilience et des Tabletop‑Tests, puis communiquez les résultats au board et à Legal.
Sources complémentaires et conseils de lecture
Pour approfondir et soutenir la mise en œuvre, nous recommandons: PwC Global Digital Trust Insights 2025, le CISO Report 2025 (Bitkom / Splunk) ainsi que l’aperçu réglementaire de Baggenstos. Pour des exemples suisses, les rapports sur les Swiss CISO Awards 2024 sont particulièrement utiles. Enfin, si vous souhaitez discuter de votre leadership CISO et de sa mise en place, vous pouvez nous joindre via https://www.techway.ch/fr/contact/.
Key Take-away – Agissez maintenant
Le conseil d’administration et la direction doivent ancrer stratégiquement la fonction CISO, tandis que le CFO et le CISO doivent établir un reporting commun, économiquement robuste, et impliquer Legal précocement. De ce fait, la réglementation européenne (DORA, NIS2) rend ces étapes urgentes. La question n’est donc plus de savoir si une entreprise a besoin d’un CISO, mais comment le leadership CISO est piloté, financé et sécurisé sur le plan juridique.
