Les cyberattaques et la pression réglementaire ont transformé le devoir de direction en matière de sécurité de l’information. En Europe et en Suisse, les CISOs ne se voient plus seulement comme des responsables techniques, mais comme des figures de leadership stratégique qui doivent relier budget, droit et sujets de conseil d’administration – une évolution encore accélérée par DORA, NIS2 et les prescriptions nationales.
Le nouveau rôle de direction du CISO: reporting, budget et gouvernance
L’intégration du CISO dans la direction d’entreprise progresse visiblement en Europe: selon le CISO Report 2025, 83 % des CISOs européens participent régulièrement aux réunions du conseil. Dans le même temps, seuls 29 % des conseils disposent d’une expertise cyber avérée. Cette lacune façonne la manière dont les CISOs doivent remplir leur rôle de pont entre technique et direction.
En Suisse, l’analyse PwC Global Digital Trust Insights 2025 montre qu’une entreprise sur six seulement planifie ses budgets cyber de manière orientée risques. Les responsables budgétaires – souvent les CFOs – et les CISOs sont donc confrontés à des questions fondamentales: comment traduire les investissements de sécurité en indicateurs économiques? Et comment le CISO obtient-il le niveau de décision souhaité? Des exemples pratiques en Suisse montrent des voies possibles: chez des lauréats des Swiss CISO Awards, plusieurs CISOs reportent directement à la direction, créant ainsi des lignes de décision et de budget plus claires (Swiss CISO Awards, 2024).
CISO et CFO: l’allocation budgétaire comme champ de tension
La relation entre CISO et CFO est devenue un élément central d’une cyber‑gouvernance efficace. Les études montrent que les conseils souhaitent considérer le cyber comme un risque business et non plus uniquement IT: 52 % des conseils voient le CISO comme un Business Enabler, mais seuls 34 % des CISOs partagent cette vision (CISO Report 2025). Cela a des conséquences pratiques: les projets de sécurité se disputent des ressources limitées avec d’autres investissements. Un modèle budgétaire orienté risques exige donc des CISOs qu’ils traduisent les investissements en indicateurs monétaires – par exemple l’évitement de pertes attendues, les risques de réputation ou les coûts de sanctions réglementaires.
Des exemples de bonnes pratiques en Suisse illustrent la réussite de cette traduction: chez SMG Swiss Marketplace Group, le Group CISO rapporte directement à la direction et a établi des Key Risk Indicators (KRIs) qui fournissent au CFO et au conseil des bases décisionnelles concrètes. Cette approche a amélioré la transparence et accéléré les validations budgétaires (Swiss CISO Awards / SMG, 2024).
CISO et service juridique: responsabilité, obligations de signalement et conformité
Avec DORA, NIS2 et la loi suisse révisée sur la protection des données (LPD 2023), la responsabilité réglementaire des CISOs augmente. La collaboration étroite avec Legal et Compliance est donc incontournable: les CISOs doivent traduire les risques techniques en incidents juridiquement pertinents, coordonner les obligations de signalement et assurer la préservation des preuves ainsi que la documentation.
La pratique montre des recoupements clairs: les CISOs sont de plus en plus responsables du respect des normes ISO, des exigences en matière de protection des données et des processus de notification. Des contributions spécialisées sur la pratique des CISOs en Suisse soulignent la nécessité d’une délimitation claire des rôles et de processus entre technique et service juridique, afin de minimiser les risques de responsabilité personnelle et de respecter les exigences réglementaires dans les délais (Wirz & Partners, Pratique CISO Suisse, 2024).
Cadres réglementaires: DORA, NIS2, FINMA et LPD
La législation européenne durcit visiblement les exigences de gouvernance. DORA impose aux institutions financières dès 2025 des frameworks de gestion des risques ICT, des tests de résilience et des obligations de notification; NIS2 étend les exigences de gouvernance et de gestion de la chaîne d’approvisionnement. Les institutions suisses s’alignent sur ces prescriptions et les complètent par des circulaires de la FINMA et des recommandations nationales du NCSC. Une vue d’ensemble consolidée des impacts sur la gouvernance, le risque tiers et le reporting est disponible dans l’analyse de Baggenstos (Baggenstos, 2024).
Concrètement pour les CISOs: une implication renforcée dans les processus décisionnels stratégiques, des obligations de reporting formalisées envers le conseil et les régulateurs, ainsi que des exigences accrues en matière de due diligence des tiers et de testabilité des mesures de résilience. Les banques et assurances suisses sont en outre soumises à la surveillance de la FINMA, qui exige la gestion des risques ICT au niveau de la direction et professionnalise ainsi davantage la position de CISO.
Communication au Board: ce que le conseil d’administration et le CEO attendent
Les conseils d’administration exigent aujourd’hui des informations concises et orientées business: quantification des risques, indicateurs de tendance, scénarios d’impact et recommandations actionnables. Les CISOs doivent traduire les contenus techniques en Key Risk Indicators (KRIs), analyses de scénarios et options de décision. L’absence de traduction mène à des divergences de perception – le montre l’écart entre attentes du conseil et auto‑perception des CISOs dans le CISO Report 2025.
Des instruments pratiques pour la communication au conseil sont des tableaux de bord standardisés, des reportings gradués (opérationnel, tactique, stratégique) et des points de décision préformulés avec analyses coûts‑bénéfices. Des lauréats suisses soulignent en outre l’efficacité de briefings réguliers et plus courts plutôt que de rapports longs et rares – un format qui retient mieux l’attention des CEOs et des responsables financiers (Swiss CISO Awards, 2024).
Vue d’ensemble factuelle: messages clés avec sources
– 83 % des CISOs européens participent régulièrement aux réunions de conseil; seuls 29 % des conseils disposent d’une expertise cyber (CISO Report 2025, 2024).
– Seule 1 entreprise suisse sur 6 alloue ses budgets cyber de manière orientée risques; les CISOs suisses sont moins intégrés dans les décisions opérationnelles (PwC Global Digital Trust Insights 2025, juillet 2024).
– Les rôles de CISO en Suisse montrent davantage de lignes de reporting directes vers la direction/CEO et établissent des KRIs pour soutenir la décision (dossiers Swiss CISO Awards; Swiss Cyber Institute / Computerworld, 2024).
– DORA et NIS2 augmentent les obligations de gouvernance, de reporting et de gestion des tiers; Baggenstos résume les effets sur CH/UE pour les CISOs (Baggenstos, 2024).
Exemples pratiques Suisse / Europe
– Logitech (Swiss CISO of the Year 2024): la CISO Tana Dubel a instauré une stratégie Zero Trust, obtenu la certification ISO 27001 et renforcé l’intégration au conseil ainsi que la diversité au sein de l’équipe cyber. Source: Swiss CISO Awards / Computerworld et Swiss Cyber Institute.
– SMG Swiss Marketplace Group: le Group CISO Mostafa Hassanin reporte directement à la direction, a établi des KRIs et amélioré la coordination avec Legal/Compliance. Source: Swiss CISO Awards.
– Secteur financier européen: DORA/NIS2 obligent banques et assurances à réaliser des tests de résilience, des frameworks de gestion des risques ICT et des obligations de notification rapides, ce qui renforce l’intégration du CISO dans la gouvernance et les obligations de reporting (Baggenstos, 2024).
Défis actuels et recommandations d’action
Les études et cas permettent de dégager des recommandations pragmatiques:
– Ancrage au sein de la direction: les CISOs devraient viser une ligne de reporting directe vers le CEO ou la direction afin d’améliorer la qualité des décisions et l’accès au budget (exemple SMG).
– Traduction économique des risques: mettez en place des KRIs et des modèles d’impact monétaire pour fournir au CFO et au conseil des bases décisionnelles tangibles (PwC, 2024).
– Alignement juridique: établissez des interfaces formelles avec Legal/Compliance pour les processus de notification et la documentation; des définitions claires des rôles et responsabilités réduisent les risques de responsabilité (Wirz & Partners, 2024).
– Feuille de route réglementaire: planifiez la conformité DORA/NIS2 comme une tâche de gouvernance à long terme; investissez dans la gestion des risques tiers et les tests de résilience.
Conclusion
Le rôle du CISO s’est transformé en Europe et en Suisse, passant d’une fonction purement technique à une mission de leadership multidimensionnelle. Les lignes de reporting, la responsabilité budgétaire et la coordination étroite avec CFO et Legal sont aujourd’hui des exigences clés. Des prescriptions comme DORA, NIS2 et la LPD révisée renforcent cette dynamique et rendent indispensables des structures de gouvernance claires. Les entreprises qui ancrent les CISOs comme partenaires stratégiques au sein de la direction et du conseil créent de meilleures conditions pour la résilience et la conformité.
CISO as a Service – votre prochain pas
Lorsque des ressources internes ou des obstacles structurels compliquent un ancrage direct, des modèles externes offrent une alternative. L’expertise pour la gouvernance, le reporting au conseil, la quantification des risques et les feuilles de route réglementaires peut aussi être obtenue de manière flexible auprès de prestataires expérimentés. Pour un premier échange sur des modèles possibles et des mesures concrètes, nous sommes à votre disposition comme fournisseur spécialisé.
Key Take-away – relier maintenant gouvernance, budget et conformité
Ancrez la fonction CISO au sein de la direction, traduisez les risques en indicateurs économiques, établissez des interfaces contraignantes avec Legal/Compliance et planifiez les tâches DORA/NIS2 sur le long terme. Ce n’est qu’ainsi que le rôle de CISO devient une mission de leadership stabilisatrice – et non une instance technique isolée.
