ISGroup Conseil en Cybersécurité

Bon CISO / Mauvais CISO

Un bon CISO est un dirigeant qui gère le risque technologique.
Un mauvais CISO est un responsable informatique qui se limite à gérer des outils de sécurité.

Un bon CISO définit une stratégie claire : comment battre les adversaires.
Un mauvais CISO confond une liste de projets et de fournisseurs avec une stratégie.

Un bon CISO construit des mécanismes qui génèrent de la valeur dans le temps (effet volant/flywheel).
Un mauvais CISO éteint des incendies, toujours dans l’urgence.

Un bon CISO fait en sorte que les mauvaises nouvelles circulent rapidement.
Un mauvais CISO est le dernier à en être informé.

Un bon CISO gère activement les fournisseurs, les logiciels et les chaînes d’approvisionnement.
Un mauvais CISO continue simplement à acheter de nouveaux produits de sécurité.

Un bon CISO investit dans des relations de long terme avec des personnes de long terme.
Un mauvais CISO a une approche purement transactionnelle.

Traduction et adaptation d'après un article de Phil Venables et Mike Aiello (philvenables.com – 20 septembre 2025).

Dans une organisation moderne, un programme de sécurité efficace est l’un des leviers les plus puissants pour favoriser l’innovation, renforcer la résilience et créer une confiance durable avec les clients et les partenaires. Pourtant, le rôle du Chief Information Security Officer (CISO) est souvent mal interprété et sous-estimé.

Après des décennies passées à construire et à observer des programmes de sécurité dans des contextes variés, Phil Venables et Mike Aiello sont arrivés à une conclusion claire : la différence entre un bon CISO et un mauvais CISO n’est pas une question de budget ou de technologies, mais de mentalité, de vision stratégique et de responsabilité.

[Callforaction-VCISO]

Tout comme il existe de bons et de mauvais chefs de produit, il existe de bons et de mauvais CISO. Voici comment les reconnaître.

Une mentalité de dirigeant, pas de technicien

Un bon CISO est, avant tout, un dirigeant. Il se comporte comme le PDG du programme de sécurité, assumant l’entière responsabilité des résultats et se mesurant en termes d’impact sur l’entreprise. Il connaît le modèle économique de l’entreprise, sa culture et ses priorités. Il ne se limite pas à « gérer la sécurité », mais construit et dirige une stratégie de gestion des risques cohérente avec les objectifs de l’entreprise.

À l’inverse, un mauvais CISO a une approche plus réactive et limitée : il gère des outils, accumule les excuses, se sent entravé par les utilisateurs, les développeurs, les dirigeants et le budget. Il ne prend jamais l’entière responsabilité et a tendance à considérer les problèmes comme extérieurs à son périmètre.

Stratégie claire vs liste de tâches

Le bon CISO sait qu’un plan opérationnel n’est pas une stratégie. Il définit une vision cohérente sur la manière de vaincre les adversaires et de renforcer la résilience dans le temps. Sa stratégie est génératrice : elle inspire les autres fonctions, crée un travail utile et simplifie les choix. Il définit clairement le « quoi », tout en laissant de la flexibilité sur le « comment ».

Le mauvais CISO, en revanche, présente de longues listes de projets, d’initiatives et d’achats, mais ne parvient pas à expliquer une direction unique. Son mode opératoire est épuisant : il gaspille l’énergie de l’équipe, use les relations internes et brûle du capital politique sans générer de valeur.

De l’artisanat à l’échelle industrielle

Le bon CISO construit des mécanismes vertueux qui s’auto-alimentent : des processus qui réduisent le coût unitaire du contrôle, des solutions évolutives, des environnements où la voie sécurisée est aussi la plus simple. Il transforme la sécurité d’un travail artisanal en une capacité industrielle. Il sait anticiper les risques systémiques et construire des solutions durables.

Le mauvais CISO travaille toujours dans l’urgence. Il court d’un incident à l’autre, mesure la productivité au nombre de tickets fermés et vit dans un état de crise permanent. Son approche est réactive, inefficace et laisse toujours les problèmes structurels en suspens.

Gestion stratégique des fournisseurs

Le bon CISO ne se contente pas d’acheter des outils de sécurité, il sélectionne des produits sécurisés dès leur conception. Il utilise son pouvoir d’achat pour influencer positivement les fournisseurs et construire des chaînes d’approvisionnement plus robustes. Il travaille à réduire la demande de solutions réactives en agissant sur la cause, et non seulement sur les effets.

Le mauvais CISO voit chaque nouvel outil comme une panacée. Il réagit aux pressions commerciales, se fie aux promesses des vendeurs et considère la technologie comme une réponse automatique aux problèmes de processus ou de personnes.

Communication efficace

Le bon CISO parle la langue de l’entreprise : risque, capital, opportunité. Il est capable de quantifier les risques, diffuse des documents clairs et structurés (livres blancs, FAQ, notes de position) pour faire évoluer sa communication et construire un consensus. Il sait que la perception du risque est tout aussi importante que le risque lui-même. C’est un bâtisseur de récit.

Le mauvais CISO communique dans un jargon technique, s’appuie sur des métriques confuses et se plaint de ne pas être écouté. Il ne communique qu’à l’oral, évite de prendre position par écrit et reste désemparé lorsque de petits incidents déclenchent de grandes réactions de la part des parties prenantes.

Compétence technique utilisée avec empathie

Un bon CISO possède des bases techniques solides, mais les utilise pour comprendre les contraintes opérationnelles, faciliter le dialogue avec les ingénieurs et construire des solutions réalistes. Sa compétence génère de la confiance, pas de l’autoritarisme.

Un mauvais CISO peut ne pas avoir assez de compétences techniques pour dialoguer avec ses collègues ou, s’il en a, il les utilise comme un levier pour imposer des solutions. Il entrave l’innovation, crée des frictions et s’isole.

Culture du feedback

Le bon CISO veut connaître les problèmes avant les autres. Il crée un climat de confiance où les gens se sentent libres de dire la vérité, même lorsqu’elle est inconfortable. Il favorise la transparence, la responsabilisation et une prise de conscience généralisée.

Le mauvais CISO est souvent le dernier informé, car il a construit un environnement où signaler des problèmes est risqué. Il reste piégé dans le filtre des mauvaises nouvelles.

Autonomisation de l’équipe

Le bon CISO construit une équipe autonome, valorise les leaders émergents et distribue les responsabilités via des modèles fédérés comme les « champions de la sécurité ». Il n’est pas un goulot d’étranglement, mais un multiplicateur.

Le mauvais CISO centralise tout, prend toutes les décisions et se rend indispensable. Cela fait de lui un point de défaillance unique.

Relation avec le conseil d’administration

Le bon CISO aide le conseil à mieux gouverner. Il enseigne quelles questions poser, transforme le reporting en dialogue stratégique et construit une responsabilité partagée.

Le mauvais CISO se limite à « faire le point » et cherche uniquement à obtenir plus de budget. Il n’aide pas le conseil à approfondir sa compréhension du risque.

Réseau et collaboration

Le bon CISO investit dans le long terme, construit des relations basées sur la confiance et contribue à son réseau autant qu’il en reçoit. Il travaille pour le succès de l’organisation et crée les conditions nécessaires à la vitesse et à l’autonomie.

Le mauvais CISO est opportuniste : il n’active son réseau que lorsqu’il a besoin de quelque chose, demande sans donner, veut le contrôle mais pas le partage. Ce faisant, il freine tout le système.

Les bons CISO sont des figures techniques, pratiques et orientées vers le business. Ils inspirent les équipes, collaborent avec les parties prenantes et assument la responsabilité réelle du changement. Ils savent équilibrer stratégie et tactique, sans laisser l’une écraser l’autre.

Les mauvais CISO, tout simplement, ne font rien de tout cela. Ou ils le font trop tard. Pour les organisations qui n’ont pas encore une figure de ce niveau en interne, s’appuyer sur un service de Virtual CISO peut être le moyen le plus concret de combler le fossé sans attendre de trouver le profil idéal sur le marché. Pour approfondir le rôle et les responsabilités de cette figure, il est également utile de consulter le guide sur ce que fait un Virtual Chief Information Security Officer.

Questions fréquentes

  • Quelle est la différence principale entre un bon CISO et un mauvais CISO ?
  • La différence ne réside pas dans le budget ou les outils à disposition, mais dans la mentalité : un bon CISO se comporte comme un dirigeant, assume la responsabilité des résultats et construit une stratégie cohérente avec les objectifs de l’entreprise. Un mauvais CISO gère des outils et réagit aux événements sans jamais s’attaquer aux problèmes structurels.
  • Une entreprise sans CISO interne peut-elle tout de même avoir une gouvernance de la sécurité efficace ?
  • Oui. De nombreuses organisations, surtout de taille moyenne, ont recours à un Virtual CISO externe pour obtenir la même orientation stratégique sans les coûts et les délais d’une recherche sur le marché. Le modèle fonctionne bien lorsque le vCISO a un accès direct au conseil d’administration et peut agir avec une pleine responsabilité sur le programme de sécurité.
  • Comment reconnaître un bon CISO lors d’un processus de sélection ou d’évaluation ?
  • Un bon CISO sait expliquer sa stratégie en termes de risque et d’impact sur l’entreprise, et pas seulement en termes techniques. Il parle de mécanismes évolutifs, de la manière dont il a construit une culture du feedback dans l’équipe et de la façon dont il a géré la relation avec le conseil d’administration. Quiconque répond uniquement avec des listes d’outils adoptés ou de certifications obtenues est probablement encore dans une logique opérationnelle, et non stratégique.

[Callforaction-VCISO-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *