Les cyberrisques relèvent de la direction CISO: le rôle du CISO en matière de gouvernance, de finances et de droit évolue rapidement. En Europe, NIS2 et DORA imposent des obligations de reporting plus strictes; en Suisse, les circulaires de la FINMA et la loi révisée sur la protection des données (LPD 2023) précisent la responsabilité des responsables de la sécurité.
Pourquoi la direction CISO doit aujourd’hui s’inscrire davantage dans le reporting au management
La fonction de CISO passe de l’expert technologique au médiateur entre risque, droit et financement. Selon le CISO Report 2025, 83% des CISOs européens participent régulièrement aux séances du conseil. Pourtant, seuls 29% des conseils disposent d’une véritable expertise cyber, ce décalage souligne donc la nécessité d’une communication claire et directement liée au business.
En Suisse, l’analyse de PwC montre que seule environ une entreprise sur six attribue ses budgets cyber selon une logique de risque. Par ailleurs, les CISOs sont moins souvent associés aux décisions opérationnelles qu’au niveau mondial (PwC Global Digital Trust Insights 2025). Il en découle une conclusion simple pour les conseils d’administration et les CEO: sans une intégration claire du CISO, les décisions financières et les mesures de conformité restent fragmentées, et la direction CISO perd en impact.
Responsabilité budgétaire et zones de tension avec le CFO
La traduction des risques techniques en indicateurs de gestion constitue une zone de tension centrale entre CISO et CFO. PwC constate que, dans de nombreuses entreprises suisses, les investissements cyber ne sont pas priorisés sur la base d’évaluations de risques (PwC, 2024). Or, sans une économie du risque solide, le CFO manque d’une base fiable pour libérer les moyens de manière ciblée, ce qui affaiblit la direction CISO.
Approche de best practice: les CISOs développent des Key Risk Indicators (KRIs) et des modèles de Total Cost of Risk, qui monétisent des scénarios de pertes et rendent ainsi les décisions d’investissement possibles. Un exemple concret vient de SMG Swiss Marketplace Group: le Group CISO Mostafa Hassanin rend compte directement à la direction et a mis en place un système de reporting fondé sur des KRIs. Ainsi, l’alignement avec Finance et Legal s’en trouve facilité (Swiss CISO Awards / SMG), et la direction CISO gagne en crédibilité.
Responsabilité juridique: coopération avec Legal et questions de responsabilité
Les exigences réglementaires accroissent la charge d’interface entre CISO et service juridique. Les CISOs partagent désormais la responsabilité du respect des règles de protection des données et des obligations de notification (LPD/RGPD), ainsi que de standards de conformité comme ISO 27001. Par conséquent, une articulation étroite avec Legal devient indispensable, notamment pour les obligations de déclaration et l’examen des contrats avec des prestataires tiers, ce qui structure la direction CISO.
La pratique le montre: CISOs, Legal et Compliance doivent définir de façon contraignante les circuits de notification, les règles d’escalade et les rôles dans l’Incident Response. En outre, l’agenda réglementaire l’exige, car DORA et NIS2 imposent des structures de gouvernance formalisées et des délais de notification clairs, qui superposent responsabilités techniques et juridiques. Dans ce cadre, la direction CISO ne peut plus fonctionner en silo.
Pression réglementaire: DORA, NIS2, FINMA et LPD
Les règles européennes modifient substantiellement les exigences de gouvernance. DORA entrera en vigueur dès 2025 pour les institutions financières et exigera notamment des frameworks obligatoires de gestion des risques ICT, des tests de résilience et des obligations de notification strictes. Parallèlement, NIS2 étend les devoirs des opérateurs de services essentiels et de leurs fournisseurs.
En Suisse, les circulaires de la FINMA complètent les exigences pour les banques et les assurances, tandis que la loi révisée sur la protection des données (LPD 2023), en vigueur depuis septembre 2023, définit des obligations renforcées de transparence et de notification. Pris ensemble, ces régimes augmentent la charge opérationnelle des CISOs. De ce fait, ils exigent un ancrage plus net dans la direction et au niveau du conseil, autrement dit une direction CISO pleinement reconnue.
Board Communication: ce que les conseils attendent réellement
Une bonne communication au conseil signifie: traduire le risque en indicateurs business, formuler des recommandations claires et expliciter les marges de décision. Or, les études montrent des écarts de perception importants: 52% des administrateurs voient le CISO comme un Business Enabler, alors que seuls 34% des CISOs partagent ce point de vue (CISO Report 2025). Pour combler cet écart, la direction CISO doit cadrer son message.
Attentes concrètes envers les rapports au conseil: – Vue d’ensemble à court terme des KRIs critiques, – Évaluation des impacts financiers possibles (Loss Scenarios), – Statut des mesures de conformité (DORA/NIS2/LPD), – Décisions à valider avec implications budgétaires et de risque.
Exemples de terrain: des entreprises suisses en modèle
En Suisse, des distinctions et des cas concrets montrent comment des fonctions CISO s’intègrent efficacement à la gouvernance. La CISO de Logitech, Tana Dubel, distinguée Swiss CISO of the Year 2024, a introduit une stratégie Zero Trust, atteint la conformité ISO 27001 et instauré des updates réguliers au conseil, tout en renforçant la diversité de l’équipe. Ainsi, la conformité et la résilience se sont améliorées simultanément (Swiss CISO Awards / Logitech), ce qui consolide la direction CISO.
De manière comparable, SMG Swiss Marketplace Group décrit des lignes de reporting directes vers la direction et un reporting fondé sur des KRIs. En conséquence, la collaboration avec Finance et Legal s’est renforcée et les temps de réaction face aux exigences réglementaires se sont raccourcis (Swiss CISO Awards / SMG). Là aussi, la direction CISO gagne en efficacité.
Recommandations d’action pour CISO, CFO et Legal
À partir des études et des exemples de terrain, on peut en tirer des étapes concrètes:
- Mettre en place un framework de reporting contraignant: standardiser les KRIs, les Loss Scenarios et le statut de conformité.
- Intégrer des indicateurs financiers: utiliser le Total Cost of Risk et le Return-on-Security-Investment (RoSI) pour les discussions budgétaires.
- Ancrer la gouvernance: aligner le reporting du CISO idéalement sur le CEO ou le conseil, complété par des briefings réguliers pour le CFO et Legal. Ainsi, la direction CISO reste au cœur des arbitrages.
- Établir une feuille de route réglementaire: traduire les exigences DORA/NIS2/FINMA en plans de projet et prioriser les risques liés aux prestataires tiers.
- Clarifier les rôles internes: documenter avec Legal les circuits de notification d’incident, les niveaux d’escalade et les questions de responsabilité.
Conclusion
La fonction CISO est devenue une tâche de direction qui touche à la fois la gouvernance, les finances et le droit. La réglementation européenne (DORA, NIS2) et les exigences suisses (FINMA, LPD 2023) accélèrent encore cette évolution. Toutefois, les entreprises qui engagent tôt CISO, CFO et Legal vers un langage commun et des mécanismes de reporting structurés réduisent les risques de conformité. Elles créent ainsi les conditions de décisions d’investissement mieux fondées, et renforcent durablement la direction CISO.
CISO, CFO et Legal: votre prochaine étape
Si vous voulez renforcer la fonction CISO: commencez par un reporting fondé sur des KRIs et une gap analysis réglementaire pour DORA/NIS2/LPD. Pour vous orienter, vous pouvez vous appuyer sur les PwC Global Digital Trust Insights 2025 et le CISO Report 2025. Dans ce contexte, la direction CISO peut rapidement produire des résultats visibles.
Key Take-away – Régler dès maintenant la responsabilité convergente
Ancrez la fonction CISO dans la direction, standardisez le reporting de crise et de conformité (KRIs, Loss Scenarios, feuille de route DORA/NIS2) et établissez des processus de coordination clairs avec le CFO et Legal. C’est à cette condition que vous piloterez efficacement les obligations réglementaires, les impacts financiers et les risques opérationnels, tout en consolidant la direction CISO.
