Le rôle du CISO évolue en profondeur: en Europe et en Suisse, une combinaison de pression réglementaire, d’exigences du marché et de gouvernance interne place les responsables de la sécurité au cœur de la stratégie. Selon les PwC Global Digital Trust Insights 2025 et le CISO Report 2025, les CISOs participent plus souvent aux réunions du conseil — tandis que les exigences liées à DORA, NIS2 et aux prescriptions nationales se renforcent.
Pourquoi le leadership du CISO devient une priorité de direction
L’intégration du CISO dans la gouvernance d’entreprise n’est plus un simple sujet formel. Les études le montrent: 83 % des CISOs européens participent régulièrement aux réunions du board, mais seuls 29 % des instances de surveillance disposent d’une expertise cyber avérée (Bitkom CISO Report 2025). En Suisse, des analyses comme celles de PwC indiquent que les CISOs sont présents, mais plus rarement impliqués dans les décisions opérationnelles. Cette discordance nourrit des tensions clés — de la responsabilité budgétaire à la communication du risque.
Dans ce premier volet de la série, je dresse l’état des lieux en Europe et en Suisse, avec chiffres vérifiables et cas concrets — les prochains volets traiteront en profondeur des relations CISO–CFO, CISO–juridique ainsi que des effets concrets de DORA et NIS2.
Participation au board versus responsabilité opérationnelle
La présence à la table ne suffit pas: les données montrent que l’assistance ne vaut pas influence. Si 83 % des CISOs participent aux réunions du conseil, seuls 52 % des administrateurs considèrent le CISO comme un catalyseur business — contre seulement 34 % des CISOs qui partagent cette vision (CISO Report 2025). En Suisse, l’étude de PwC ajoute: à peine un sixième des entreprises structurent les budgets cyber selon le risque; les processus budgétaires se déroulent souvent sans l’implication complète du responsable sécurité (PwC Global Digital Trust Insights 2025).
Il en résulte des ruptures de communication répétées: le CISO mesure des risques techniques, alors que le conseil attend des indicateurs pertinents pour le business. Des approches éprouvées — comme la traduction des indicateurs techniques en Key Risk Indicators — sont dès lors essentielles et déjà appliquées dans des exemples suisses réussis (voir cas pratiques ci‑dessous).
Mutation réglementaire comme moteur: DORA, NIS2 et contexte national
Le cadre réglementaire pousse les responsabilités vers le sommet. DORA et NIS2 imposent des exigences contraignantes en matière de gouvernance, de gestion des risques ICT, de gestion des risques tiers et d’obligations de notification; DORA entre, pour les institutions financières dès 2025, dans une phase pratiquement contraignante (Baggenstos – aperçu NIS2/DORA).
Pour les organisations suisses s’ajoutent des exigences nationales: la loi révisée sur la protection des données (2023), les circulaires de la FINMA pour les établissements financiers et les recommandations du BACS renforcent les obligations de signalement et de documentation. Les CISOs doivent en conséquence collaborer plus étroitement avec le juridique et la compliance et adapter les modèles de gouvernance afin de clarifier les voies d’alerte, les responsabilités et les questions de responsabilité civile.
Responsabilité financière et question du ROI des investissements cyber
Un champ de tension central oppose CISO et CFO: rareté des budgets et exigence de justifier économiquement les investissements cyber. Les données de PwC montrent que l’allocation des budgets orientée risque demeure lacunaire dans nombre d’entreprises suisses — seule une sur six procède ainsi (PwC Suisse, 2025).
La réponse réside dans des KRIs mesurables, des analyses de scénarios et des mesures d’impact business: les CISOs qui traduisent la sécurité en indicateurs économiques (coûts évités, temps de rétablissement, impact financier des interruptions) obtiennent plus facilement le soutien budgétaire recherché. Cette compétence est devenue un critère de qualité managériale dans la fonction.
Cas pratiques en Suisse: intégration au board et gouvernance
Des exemples concrets et vérifiables illustrent les responsabilités aujourd’hui:
Logitech (Swiss CISO Awards 2024): Tana Dubel a été distinguée pour l’introduction d’une stratégie Zero‑Trust, la focalisation sur ISO‑27001 et l’alignement étroit avec la direction et le board (Swiss CISO Awards / Computerworld; Swiss Cybersecurity).
SMG Swiss Marketplace Group (Swiss CISO Awards 2024): Mostafa Hassanin rapporte directement à la direction et a instauré un reporting fondé sur des KRIs ainsi que des processus coordonnés avec le juridique/compliance — un cas exemplaire de gouvernance cyber transparente (Swiss CISO Awards / Computerworld).
Ces cas le prouvent: lorsque les CISOs rapportent directement au CEO ou au board et que des mécanismes de gouvernance tels que des KRIs et des interfaces claires avec le juridique et la finance sont en place, la transparence — et donc la capacité d’action de l’entreprise — s’accroît.
Ce que les conseils d’administration et les CEOs attendent — et ce qui manque
Les conseils exigent de plus en plus deux choses: des indicateurs clairs, pertinents pour le business, et la preuve que, par exemple, des tests de résilience sont réalisés. La réalité reste marquée par des écarts de perception: seule une partie des administrateurs voit le CISO comme un facilitateur, tandis que les CISOs endossent plus rarement cette auto‑perception (CISO Report 2025).
Les meilleures pratiques au niveau du conseil incluent des tableaux de décision courts et réguliers, des briefings fondés sur des scénarios, des responsabilités clairement définies en matière d’obligations de notification et l’intégration d’audits externes (tests de résilience). Ces éléments répondent aux enjeux de gouvernance et de responsabilité que NIS2/DORA et les prescriptions nationales accentuent.
