Chief Information Security Officer (CISO)

Métier

Le Chief Information Security Officer (CISO) définit et étaye la politique de sécurité de l’information de sa structure. Il est garant de la mise en œuvre de cette stratégie et en assure également le suivi précis. C’est aussi au CISO qu’incombe la responsabilité de communiquer sur les normes de sécurité cyber auprès de tous les collaborateurs. Pour les aider à s’emparer de ces sujets et à intégrer les points de vigilance, il accompagne la mise en œuvre d’outils comme des chartes numériques ou des guidelines de sécurité.  Cette transmission et cette sensibilisation passent aussi par un certain nombre d’actions de communication dont il a la charge.

Missions

De manière globale, le Chief Information Security Officer est tenu de piloter la démarche de cybersécurité en prenant en compte tous les impératifs de prévention, de protection, de détection, de résilience et de correction ayant trait aux systèmes d’information. C’est en partie à lui que revient la tâche de proposer des outils concrets et des processus précis, mais aussi de s’assurer de leur juste compréhension et de leur bonne application par les équipes. Son obsession au quotidien : la sécurité des données.

À ce titre, le CISO assure à la fois un rôle de conseil, d’assistance, d’information, de formation et de mise en alerte, tout particulièrement auprès des directions et des directeurs métiers. Son rôle de préconisation et de supervision sera plus ou moins important en fonction de la taille de l’entreprise au sein de laquelle il opère.

De manière plus détaillée, au jour le jour, le Chief Information Security Officer devra assurer un très grand nombre de tâches, selon quatre grands objectifs.

Identifier

Il s’agira en premier lieu :

1. de décliner les axes et les objectifs stratégiques cyber pour son périmètre et obtenir la validation de la ou des directions compétentes ;
2. d’identifier les enjeux et les risques de sécurité majeurs sur un périmètre donné ;
3. de décliner et maintenir la politique de sécurité des SI en collaboration avec les parties prenantes ;
4. de définir un plan d’actions annuel ou pluriannuel sur son périmètre ;
5. de proposer une politique d’investissement concernant les objectifs de sécurité ;
6. d’assurer une veille sur les évolutions réglementaires et techniques de son domaine ;
7. et d’assurer les relations avec les acteurs de son secteur d’activité autour de la cybersécurité ;

Protéger

Sur ce deuxième volet, il s’agira notamment :

1. d’organiser les structures de pilotage des plans d’actions de sécurité au sein des entités concernées ;
2. de définir les mesures organisationnelles et techniques à mettre en œuvre pour atteindre les objectifs de sécurité
3. de fournir un catalogue de services pour la mise en application de la politique cyber ;
4. de déployer une culture SSI à destination des utilisateurs et décideurs ;
5. d’assurer la promotion des chartes de sécurité informatique ;
6. de conduire des audits périodiques pour évaluer le niveau de sécurité de différents périmètres ;
7. de vérifier la bonne application par les tiers et sous-traitants des règles de sécurité s’appliquant au système informatique de l’entreprise ;
8. d’aider à répondre aux questions des clients éventuels sur les points de cybersécurité, notamment lors d’appels d’offre.

Détecter

Ici, l’objectif est :

1. de prendre les mesures techniques et/ou organisationnelles permettant la surveillance des événements de sécurité ;
2. d’appréhender les incidents de sécurité et les possibilités de réaction face aux attaques ;
3. et d’assurer la mise en place d’un SOC (Security Operation Center).

Répondre

Le CISO doit aussi :

1. veiller à ce que le dispositif de gestion de crise de sécurité soit bien opérationnel ;
2. contribuer au pilotage de la gestion des incidents et des crises de sécurité, en s’appuyant si besoin sur le CSIRT (Computer Security Incident Response Team) ;
3. préparer et déployer un plan de continuité informatique, dans le cadre du plan de continuité des activités (PCA) ;
4. préparer et déployer, si besoin, un plan de reprise informatique, dans le cadre du plan de reprise des activités (PRA) ;
5. et proposer une stratégie de cyber-résilience.

Rendre compte

Enfin, le CISO doit être prêt à :

1. livrer des rapports réguliers à sa hiérarchie concernant le degré de couverture des risques de sécurité SI ;
2.  et représenter l’organisation dans les relations avec les autorités de régulation.

Responsabilités du Chief Information Security Officer

Après avoir occupé successivement plusieurs postes de Responsable de projet sécurité, Arun V. a été promu, début 2020, CISO au sein d’un petit groupe d’assurance basé au Royaume-Uni. Avant même sa prise de fonction, il avait une idée claire des attentes à son égard.

« Le Chief Information Security Officer, c’est un peu le pilote de fusée dans la galaxie un peu folle des sujets cyber. Comme tous les pilotes, il a la lourde tâche de définir un cap. C’est sa phase de travail actif. Mais il y a une autre dimension à sa mission, en quelque sorte passive, mais tout aussi importante : il doit avoir, comme dans un avion, les yeux sur toute une série d’indicateurs, en permanence. C’est le travail de veille, qui est une composante essentielle du CISO. »

Compétences

On peut identifier deux types de compétences fondamentales qui forment la base du métier de CISO.

Tout d’abord, toute une série de compétences cœur de métier sont à prendre en compte. Un bon CISO doit faire preuve :

• d’une bonne connaissance des métiers et des enjeux propres à son entreprise ;
• d’une capacité à élaborer des stratégies pointues et cohérentes, et cependant compréhensibles par le plus grand nombre ; à ce titre, ce sont ses compétences pédagogiques qui seront également évaluées ;
• d’une compréhension approfondie des problématiques de cybersécurité et d’une compréhension technique suffisante des types de menace existants ;
• de même, d’une compréhension technique satisfaisante des outils de réponse aux cyberattaques ;
• d’une bonne maîtrise des principes d’architecture réseau et de la construction des systèmes d’information ;
• d’une familiarité avec les principaux domaines des systèmes d’information ;
• d’une aptitude à la gestion des risques cyber et des situations de crise ;
• de bases juridiques en matière de droit informatique, avec une spécialisation en sécurité des systèmes d’information et en protection des données ;
• de connaissances solides en matière de gouvernance, de normes et de standards propres à la cybersécurité, comme les normes ISO 2700X ou les normes sectorielles de type PCI-DSS).

En parallèle, le Chief Information Security Officer doit faire preuves de compétences comportementales, centrées essentiellement sur la capacité de convaincre et le sens de l’intérêt général.

Qualités

Arun V. perçoit la fonction de CISO comme une mission très complète : « Le Chief Information Security Officer doit avoir deux grandes qualités, plus complémentaires que contradictoires : il doit à la fois faire preuve d’autorité pour imposer sa vision, parce que c’est comme ça que l’on embarque tout le monde sur une stratégie de sécurité efficace, et il doit être dans le même temps, en continu, un artiste du dialogue. Il doit, à 80 % du temps, se mettre au même niveau que chaque expert technique de la chaîne cyber pour percevoir les adaptations nécessaires dans l’arsenal de défense, vérifier que ses propositions sont bien appliquées ou pressentir les défis à venir. »

Aussi, le Chief Information Security Officer doit principalement faire preuve :

• d’une rigueur à toute épreuve, aussi bien dans l’analyse des éléments techniques que dans la transmission de ses directives et des grandes lignes de sa stratégie ;
• d’une aisance de contact et d’une grande facilité d’approche pour obtenir rapidement les informations dont il a besoin auprès de ses équipes et communiquer efficacement ses analyses ;
• d’une aptitude avérée au management et à la gestion d’une grande équipe.

Niveau d’études nécessaire

La détention d’un Bac +5 est un prérequis minimum pour se positionner sur un emploi de Chief Information Security Officer. Les formations alliant bases techniques et aptitude à la gestion de projet seront largement valorisées dans les processus de recrutement. Les cursus intégrant les compétences managériales seront par ailleurs un plus non négligeable.

Quelle formation ?

Comme nous l’avons montré, la mission de Chief Information Security Officer sollicite à la fois une compréhension des rouages techniques de la cybersécurité et une aptitude managériale plus générale. Le métier de CISO est, à ce titre, l’un des plus transversaux qui soit dans le champ cyber. La Guardia School se donne justement pour tâche de former des experts cyber de haut niveau, capable de naviguer en toute aisance entre des tâches d’analyse et de préconisation et un rôle de transmission et d’organisation. Au sein de nos cursus de niveau Bachelor et Master, les étudiants sont en permanence amenés à combiner les deux types d’approche. L’objectif est de former des professionnels aussi à l’aise dans les approches générales que dans le travail de détail. À ce titre, la formation globale de la Guardia School est une très bonne base pour les jeunes talents qui, à terme, espèrent pouvoir évoluer vers un poste de CISO.

Bachelor (3 ans – titre RNCP niveau 6)

Master Expert cybersécurité (2 ans – titre RNCP niveau 7)

Quel bac ?

Tout baccalauréat peut mener à ce métier, même s’il faut une affinité pour le numérique et les mathématiques.

Dans quel secteur travailler ?

Sans grande surprise, en raison de leur contribution stratégique, les professionnels préparés aux fonctions de Chief Information Security Officer peuvent viser des horizons professionnels larges. Ils sont devenus essentiels au sein des grands groupes, dès lors que ces derniers se frottent à la réalité des données. Les CISO trouveront de nombreuses opportunités auprès des acteurs du secteur bancaire notamment, auprès des assureurs en tous genres (des assureurs cyber aux assureurs santé, en passant par toute la panoplie des assurances existantes). Les grands groupes industriels, qu’ils officient dans le secteur automobile, de l’aérospatiale ou de la vente d’appareils électroniques, par exemple, sont tout aussi en demande.

Il faut aussi penser à tous les acteurs du e-commerce, aux start-ups lançant des applications et aux GAFAM développant de nouveaux services. Les opportunités sont larges et toutes les pistes doivent être explorées.

Le CISO freelance

Il est tout à fait envisageable de proposer ses talents de Chief Information Security Officer sous statut indépendant ou en rejoignant un cabinet externe d’experts en cybersécurité. Il faudra, avant de sauter ce pas, pouvoir justifier de plusieurs années en tant que CISO au sein d’une ou, de préférence, plusieurs structures. Pour un freelance, le tarif journalier moyen oscille entre 700 euros bruts environ et 1300 euros.

Les entreprises qui recrutent

Parmi les entreprises en recherche active de CISO, au cours de la période récente, on trouve notamment :

• le Groupe Crédit Agricole, AXA Banque, Dogfinance et le groupe BPCE du côté banque et investissement ;
• Adsearch ;
• Air France ;
• Thales ;
• Atos ;
• Airbus ;
• EY ;
• KPMG ;
• AXA ;
• HeadMind Partners ;
• SQUAD ;
• et Orange Cyberdefense.

Les offres sont facilement repérables sur des pages classiques, comme :

• Monster.fr ;
• Cyberjobs.fr ;
• LinkedIn ;
• Glassdoor.fr ; 
• Wizbii.com ;
• Indeed.com ;
• ou le site de l’Apec, parmi tant d’autres.

Salaire

En moyenne, un Chief Information Security Officer peut prétendre à un salaire de 5 850 euros mensuels bruts dès sa première prise de poste. La maîtrise de certains aspects techniques spécifiques, notamment des langages informatiques clés pour la compréhension de l’environnement cyber de la structure, peut justifier une révision de ce salaire à la hausse. C’est le nombre d’années d’expérience qui permettra de grimper sur l’échelle de salaires, jusqu’à atteindre un plafond aujourd’hui situé à un peu plus de 16 000 euros mensuels bruts en France.

Source salaires : enquête interne auprès des professionnels + étude cabinet Michael Page + étude cabinet Hays.

NB : les métiers de la cybersécurité sont récents. L’estimation du salaire se base sur peu de données. Le salaire peut être parfois surévalué ou sous-évalué. Nous affinerons sa pertinence lors de la prochaine édition du Guide des Métiers de la cybersécurité.

Evolution de carrière

Le CISO en besoin de changement peut tout d’abord envisager de changer de périmètre d’action au sein de son entreprise. De CISO en charge du périmètre industriel, par exemple, il sera possible de passer sans encombre au poste de CISO pour le périmètre commercial. 

Pour un changement de poste plus radical, l’évolution naturelle consiste à viser un poste de Directeur de la cybersécurité. Au sein des grandes entreprises et de certaines administrations, le CISO et le Directeur cybersécurité partage d’ailleurs déjà certaines tâches et sont amenés à travailler en étroite collaboration.

Les avantages et inconvénients

Pour Arun V., le principal inconvénient de la fonction de CISO peut aussi être perçu comme une motivation : « Il existe un certain niveau de stress facilement compréhensible, du fait de l’importance stratégique du poste. Le CISO porte une responsabilité majeure dans la mise en place de l’arsenal de cyberdéfense. Sa mission suppose un degré de concentration intellectuelle et d’organisation particulièrement élevés et il doit, malgré les situations délicates, rester un parfait diplomate dans son contact avec les équipes, pour ne pas bloquer les processus. L’avantage qui en découle, c’’est un sentiment fort d’utilité et de valorisation pour celui ou celle qui a la chance de piloter les projets cyber à ce niveau ».

Métiers proches de Chief Information Security Officer (CISO)

Continuez vos recherches autour des métiers de la cybersécurité :

Chef de projets sécurité

Pentester

Responsable du SOC