Comment le secteur bancaire, mene par la frontiere crypto, demantele silencieusement l’un des titres les plus puissants de la cybersecurite, et ce que ce silence revele sur ceux qui controlent vraiment le risque numerique.
Un Titre N’est Jamais Seulement un Titre
Dans la longue histoire du pouvoir institutionnel, peu d’instruments ont ete aussi revelateurs que l’intitule de poste. Lorsque Napoleon reorganisa l’Etat francais apres 1799, il ne se contenta pas de renommer les ministeres par souci de clarte administrative. Il comprenait que les titres portent en eux la juridiction, que le nom d’un role definit la frontiere de son autorite, et que changer un nom est parfois la facon la plus elegante de deplacer une frontiere sans tirer un coup de feu. L’Empire romain le savait aussi, bien entendu. La transition de «Dictateur» a «Princeps» sous Auguste n’etait pas un simple travail semantique. C’etait une restructuration de la legitimite, habillee dans le langage de la modestie.
Quelque chose de cette meme logique discrete se joue aujourd’hui au sein des structures de gouvernance des banques, des gestionnaires d’actifs et des institutions financieres numeriques a travers l’Europe et le monde. Presque sans annonce, et sans rien de la ceremonie que l’on pourrait attendre d’un changement d’une telle portee, le titre de Chief Information Security Officer, le CISO, disparait des organigrammes. A sa place, avec une frequence croissante, s’installe une nouvelle designation : Head of ICT Risk and Security. Le changement semble cosmetique. Il ne l’est pas.
Les titres portent en eux la juridiction. Changer un nom est parfois la facon la plus elegante de deplacer une frontiere sans tirer un coup de feu.
Le phenomene est le plus visible, et le plus significatif, dans le monde du crypto banking et de l’infrastructure des actifs numeriques, ou la pression reglementaire et l’experimentation operationnelle coexistent dans un equilibre instable et perpetuellement mouvant. Mais il ne s’y limite pas. Les banques traditionnelles operant sous la supervision de la Banque Centrale Europeenne, les etablissements de paiement naviguant dans les obligations labyrinthiques du DORA, et les intermediaires financiers hybrides se situant a l’intersection du TradFi et du DeFi effectuent tous, chacun a leur maniere et a leur propre rythme, le meme mouvement. Le CISO devient autre chose. La question qui merite d’etre posee serieusement, et sans la defensive reflexive qui tend a entourer ce sujet dans les milieux de la cybersecurite, est de savoir ce qu’est exactement cet autre chose, et pourquoi cela se produit maintenant.
L’Architecte d’une Autre Epoque
Le role de CISO est, selon les normes de la gouvernance d’entreprise, extraordinairement jeune. Ses origines sont generalement retracees au debut des annees 1990, Citibank etant souvent citee comme l’institution qui formalisa la premiere ce poste en reponse a un incident de piratage ayant expose des vulnerabilites fondamentales dans son systeme de virement international. Steve Katz, nomme en 1995, est frequemment decrit comme le premier veritable CISO de l’histoire, et les paralleles avec notre moment actuel ne sont pas anodins. Le probleme de Citibank en 1994 n’etait pas purement technique. Un pirate russe nomme Vladimir Levin avait exploite les failles entre systemes, juridictions et silos organisationnels pour soustraire environ dix millions de dollars. La reponse fut la creation d’un role dont le mandat etait explicitement transversal, quelqu’un capable de se placer au-dessus de l’equipe technologique et de parler le langage du risque aux metiers.
Pendant deux decennies, le modele CISO tint bon. Il tint parce que le paysage des menaces etait domine par des adversaires exterieurs dont les methodes etaient techniques, et dont les motivations etaient financieres ou ideologiques d’une maniere qui s’inscrivait clairement dans le paradigme de la securite. Les pare-feu, les systemes de detection des intrusions, la gestion des correctifs et la reponse aux incidents constituaient la grammaire de la discipline, et le CISO en etait le grammairien en chef. Le role gagna en legitimite, puis en prestige, puis finalement une place a la table qui lui avait ete refusee pendant des annees.
Mais quelque chose changea. Ce changement ne se produisit pas brusquement, et n’eut pas de cause unique. Ce fut l’effet cumulatif de trois pressions convergentes, chacune arrivant a peu pres au meme moment, chacune poussant dans la meme direction.
La premiere fut reglementaire. Le Digital Operational Resilience Act de l’Union europeenne, le DORA, devenu applicable aux etablissements financiers en janvier 2025, introduisit un cadre qui refuse explicitement de traiter la cybersecurite comme une discipline technique confinee dans un silo technique. Le DORA exige que le risque informatique soit gouverne au niveau de l’organe de direction, que le risque de concentration vis-a-vis des tiers soit cartographie et communique avec la meme rigueur que le risque de credit ou de marche, et que les tests de resilience soient integres dans la gouvernance operationnelle courante plutot que traites comme des exercices de conformite periodiques. Le reglement ne mentionne pas le CISO par son nom. Son silence sur ce point est ce qu’il a de plus eloquent.
La deuxieme pression fut structurelle. L’explosion des architectures cloud-natives, la proliferation des ecosystemes API et la migration des fonctions bancaires essentielles vers des infrastructures a registre distribue avaient rendu le perimetre traditionnel, cette ligne imaginaire claire entre l’interieur et l’exterieur que le modele classique de securite defendait, non seulement poreux, mais conceptuellement obsolete. Dans un monde ou votre systeme bancaire central tourne sur AWS, ou les rails de paiement sont des infrastructures partagees et ou les donnees clients transitent par dix-sept processeurs tiers avant d’atteindre votre propre environnement, l’idee d’un Chief Security Officer gardant un perimetre a autant de sens que de nommer un gardien de pont-levis pour un batiment qui n’a pas de murs.
La troisieme, et peut-etre la plus philosophiquement interessante, fut l’essor de la crypto. Le secteur des actifs numeriques n’herita pas des traditions de gouvernance de la finance conventionnelle. Il construisit les siennes, improvisant sous la pression reglementaire, absorbant des talents issus des entreprises technologiques plutot que des banques, et apportant avec lui une conception fondamentalement differente de ce que signifie le risque lorsque votre actif vit sur une blockchain et que votre arrangement de conservation est un contrat intelligent. Dans ce contexte, le modele CISO, avec son emphase sur la confidentialite, l’integrite et la disponibilite comme trois piliers de la reflexion sur la securite, semblait non seulement insuffisant, mais mal aligne.
Les Laboratoires Crypto
Si vous voulez comprendre une tendance de gouvernance avant qu’elle ne devienne courante, observez les crypto-banques. Non pas les plateformes d’echange, qui operent dans un univers reglementaire different et ont leurs propres pathologies de gouvernance particulieres, mais les institutions qui ont obtenu des licences bancaires et proposent des services sur actifs numeriques sous la supervision des autorites nationales competentes dans l’UE et au Royaume-Uni. Ces organisations sont, en termes de gouvernance, les laboratoires les plus interessants du moment actuel.
Des institutions telles que Sygnum Bank en Suisse, Anchorage Digital aux Etats-Unis, et les diverses entites titulaires d’une licence MiCA en cours d’etablissement au Luxembourg, en Irlande et en Allemagne ont toutes, de differentes manieres, fait face a la meme question : comment gouverner le risque informatique dans une institution ou l’actif lui-meme est un artefact cryptographique, ou la cle privee est simultanement l’objet de securite et l’instrument operationnel, et ou la frontiere entre une defaillance de securite et une perte financiere n’est pas une frontiere du tout, mais un evenement unique ?
La reponse a laquelle plusieurs d’entre elles sont parvenues est celle qui donne a cet article sa premisse. Le titre de Head of ICT Risk and Security accomplit quelque chose que le titre de CISO n’a jamais pu faire. Il nomme explicitement le risque comme concept directeur, placant la securite dans ce cadre plutot que de permettre a la securite de se presenter comme une discipline autonome. La difference n’est pas purement semantique. Elle represente un realignement fondamental de la logique organisationnelle sous-tendant la fonction.
Dans les crypto-banques, la cle privee est simultanement l’objet de securite et l’instrument operationnel. Le modele CISO avait ete concu pour un autre type de menace.
Dans une banque traditionnelle, securite et risque sont des fonctions paralleles qui communiquent, collaborent et se disputent parfois les budgets et l’influence. Le CISO possede la securite. Le Chief Risk Officer possede le risque. Les deux se retrouvent dans des comites, dans des constats d’audit, dans des communications reglementaires. Le systeme fonctionne raisonnablement bien tant que les menaces sont externes et les actifs conventionnels. Mais dans un etablissement d’actifs numeriques, cette separation n’est pas simplement inefficace. Elle est dangereuse. Une defaillance dans la gestion des cles est simultanement un incident de securite, un evenement de risque operationnel, une perte financiere et une violation reglementaire. Elle ne peut pas etre aiguilee vers la file d’attente du CISO le lundi et vers le registre des risques du CRO le mardi. Elle est tout cela a la fois, et la reponse de gouvernance doit etre tout aussi integree.
C’est cette intuition qui motive le changement de titre, et elle commence maintenant a migrer de la frontiere crypto vers les banques conventionnelles, portee par le cadre integre de gestion du risque informatique du DORA et acceleree par la nature de plus en plus hybride de l’infrastructure des services financiers.
Ce que Veulent Vraiment les Regulateurs
Il vaut la peine de lire attentivement le texte reglementaire, car le changement de langage au niveau reglementaire a precede, et dans une certaine mesure provoque, le changement de titres au niveau institutionnel. Les lignes directrices de l’Autorite Bancaire Europeenne sur la gestion des risques informatiques et de securite, qui ont precede le DORA et ont ete incorporees dans son cadre, parlent systematiquement de risque informatique plutot que de cybersecurite. Cette distinction est deliberee. Le risque informatique, dans le lexique reglementaire, est une categorie qui inclut les menaces informatiques mais englobe egalement la disponibilite des systemes, l’integrite des donnees, la dependance vis-a-vis des tiers, les defaillances dans la gestion des changements et tout le spectre des perturbations operationnelles pouvant survenir de la technologie sans qu’aucun acteur adverse soit implique.
L’article 5 du DORA, qui etablit les exigences de gouvernance pour la gestion du risque informatique, place la responsabilite explicitement au niveau de l’organe de direction. Il exige que l’organe de direction definisse, approuve et supervise le cadre de gestion du risque informatique. Il exige qu’il reste informe des principaux incidents lies aux technologies de l’information. Il exige qu’il alloue un budget adequat a la resilience informatique. A aucun moment le texte ne cree un role de gouvernance appele CISO ni ne suggere qu’un tel role soit requis ou meme particulierement pertinent. Ce qu’il cree, en fait, c’est la demande organisationnelle d’une figure capable de traduire le risque informatique dans le langage de la gouvernance manageriale, et cette figure, dans les institutions qui repondent le plus serieusement aux exigences du DORA, est le Head of ICT Risk and Security.
Le parallelisme avec ce qui s’est passe pour le role de Chief Compliance Officer dans les annees suivant la crise financiere de 2008 est instructif. Avant la crise, la conformite dans beaucoup de banques etait une fonction juridique habilee d’un titre de direction. Apres la crise, sous la pression de Bale III, du processus SREP et de l’elargissement plus general des attentes reglementaires, la conformite se transforma en une veritable discipline de deuxieme ligne de defense dotee d’une reelle capacite analytique et d’une genuinele influence manageriale. Le CCO cessa d’etre un juriste qui lisait des reglements pour devenir un professionnel du risque qui gouvernait les comportements. Quelque chose d’analogue se produit maintenant pour la fonction de securite, et le changement de titre est la surface visible de cette transformation plus profonde.
La Geometrie du Pouvoir dans le Nouveau Role
Il existe une dimension politique dans tout cela qui merite d’etre reconnue, meme si elle tend a mettre mal a l’aise les praticiens. Le titre de CISO, avec tout son prestige dans la communaute de la cybersecurite, presente une faiblesse structurelle visible depuis des annees pour quiconque y preterait attention. Dans la majorite des etablissements financiers, le CISO rapporte au CTO ou au CIO. Dans certaines organisations plus eclairees, il existe un lien en pointille vers le PDG ou le Conseil d’administration. Mais en pratique, l’autorite du CISO est une autorite technologique, ce qui signifie qu’elle est delimitee par les memes contraintes structurelles que toute autre fonction technologique : la tendance a etre convoque apres que la decision commerciale a ete prise, la difficulte d’exercer un droit de veto sur les priorites commerciales, et le defi fondamental de traduire le risque technique dans un langage qui resonne au niveau du conseil.
Le Head of ICT Risk and Security, lorsqu’il est correctement constitue, est une fonction de deuxieme ligne de defense. Cette distinction n’est pas anodine. Dans le modele des trois lignes de defense qui regit la gestion des risques dans les etablissements financiers reglementes, la deuxieme ligne ne gere pas directement le risque. Elle definit le cadre, surveille la conformite et fournit un contrepoids independant a la premiere ligne. Cela signifie que le Head of ICT Risk and Security, contrairement au CISO, dispose d’un mandat de gouvernance explicitement independant de la fonction technologique. La ligne de reporting conduit generalement au Chief Risk Officer ou, dans certaines configurations, directement au PDG ou au Comite des risques du Conseil. L’autorite qui decoule de ce positionnement est qualitativement differente de tout ce que le modele CISO a jamais offert.
Il existe un precedent pour ce type d’evolution de la gouvernance dans l’histoire du risque de credit. Avant les annees 1990, les decisions de credit dans la plupart des banques etaient prises par des banquiers qui originent et approuvaient les prets. Le concept d’une fonction de risque de credit independante, dotee de l’autorite de contester et d’annuler les decisions de pret commerciales, etait genuinement controversee lorsqu’il fut introduit. Il est aujourd’hui considere comme fondamental. La meme logique s’applique maintenant au risque informatique, avec la meme implication : les personnes qui construisent et exploitent les systemes technologiques ne peuvent pas etre les memes que celles qui evaluent et gouvernent les risques que ces systemes generent.
Le Cout Humain du Rebranding
Rien de tout cela n’est sans cout, et la dimension humaine de la transition ne devrait pas etre occultee au nom d’une nettete theorique. La profession de la cybersecurite a consacre trente ans a construire le CISO comme un concept de gouvernance credible. Des milliers de professionnels ont investi dans des certifications, des parcours de carriere et des identites professionnelles construits autour de ce titre. Le CISSP, le CISM, les diverses certifications de Lead Auditor ISO 27001, toutes ont ete concues pour un monde ou le modele CISO etait la destination. La suggestion que cette destination a bougee n’est pas accueillie avec enthousiasme dans des communautes professionnelles ou le titre de CISO represente, pour beaucoup, le sommet d’une longue carriere.
Il existe egalement une preoccupation legitime concernant la perte de competences, ou plus precisement ce qui arrive a l’expertise technique approfondie lorsque la fonction qui l’abritait est recadree comme une discipline de gouvernance des risques. Le role de CISO, dans sa meilleure expression, combinait une reelle profondeur technique avec une capacite de gouvernance. Le Head of ICT Risk and Security, s’il n’est pas soigneusement concu, peut devenir un role de gestion des risques qui a perdu le contact avec les realites techniques qu’il est sense gouverner. Ce n’est pas un risque hypothetique. Il est deja visible dans certains etablissements qui ont effectue la transition precipitamment, sous pression reglementaire, sans avoir suffisamment reflechi aux exigences de competences du nouveau role.
Les institutions les plus avisees abordent ce probleme en definissant le Head of ICT Risk and Security comme un role a double competence, exigeant a la fois une comprehension technique approfondie des systemes informatiques et une capacite demontree en gouvernance des cadres de gestion des risques. Cette combinaison est rare, et le marche des professionnels qui la possedent genuinement est considerablement plus etroit que le marche des purs technologues ou des purs gestionnaires de risques. Les implications salariales de cette rarete commencent a se manifester dans les enquetes de remuneration, ce que les tableaux comparatifs techniques a la fin de cet article tenteront de quantifier.
MiCA, NIS2 et la Convergence de l’Architecture Reglementaire
L’environnement reglementaire qui accelere ce changement de gouvernance ne se limite pas au DORA. Le Reglement sur les Marches de Crypto-Actifs, le MiCA, devenu pleinement applicable en decembre 2024, a introduit des exigences de gouvernance pour les prestataires de services sur crypto-actifs et les emetteurs de crypto-actifs explicitement modelees sur le cadre du DORA. L’article 69 du MiCA exige que les CASP etablissent et maintiennent des systemes et procedures efficaces de gestion du risque informatique. Les lignes directrices des autorites competentes emises au titre du MiCA par l’Autorite Europeenne des Marches Financiers refletent le langage du DORA de maniere presque identique, y compris l’accent mis sur la responsabilite de l’organe de direction et l’integration du risque informatique avec le risque operationnel.
Le NIS2, la directive revisee sur la securite des reseaux et des systemes d’information, ajoute une couche supplementaire. Sa mise en oeuvre dans les Etats membres de l’UE tout au long de 2024 et 2025 a introduit un nouvel ensemble d’obligations pour les entites du secteur financier et des infrastructures critiques au sens large. Le NIS2 tient explicitement les organes de direction personnellement responsables des manquements a la gouvernance du risque cybersecurite. Cette dimension de responsabilite personnelle, qui etait largement absente des precedents cadres reglementaires, est peut-etre le moteur unique le plus puissant de la refonte de la gouvernance que represente la transition du CISO vers le Head of ICT Risk. Lorsqu’un membre du conseil peut etre personnellement sanctionne pour un manquement a la gouvernance de la cybersecurite, l’appetit pour une structure de gouvernance claire et fondee sur un cadre de risque augmente considerablement.
Ce qui emerge, a travers le DORA, le MiCA, le NIS2 et les lignes directrices de l’ABE, est une architecture reglementaire coherente qui traite le risque informatique comme une categorie de risque de premier rang, equivalente en termes de statut de gouvernance au risque de credit, au risque de marche et au risque de liquidite. Dans cette architecture, la figure de gouvernance logique n’est pas un responsable de la securite, mais un responsable du risque. Le changement de titre est, sous cet angle, non pas un caprice d’entreprise, mais une inevitabilite reglementaire.
L’Exception Americaine
Il vaut la peine de s’arreter sur la dimension transatlantique, car les Etats-Unis presentent un tableau genuinement different, et le contraste est eclairant. Les etablissements financiers americains n’ont pas, en general, effectue cette transition de gouvernance. Le CISO demeure le modele dominant dans le secteur bancaire americain, et le cadre reglementaire, construit autour des orientations de l’OCC, des manuels FFIEC et du NIST Cybersecurity Framework, continue de traiter la securite comme la principale lentille conceptuelle plutot que l’approche integree du risque informatique privilegiee par la reglementation europeenne.
Ce n’est pas accidentel. La philosophie reglementaire americaine a historiquement ete plus a l’aise avec des normes de securite sectorielles et axees sur la technologie qu’avec l’approche integree de gouvernance des risques que l’UE developpe depuis Bale II. Les regles de divulgation en matiere de cybersecurite de la SEC, adoptees en 2023, ont pousse dans la direction de la responsabilite de gouvernance, exigeant des societes cotees qu’elles divulguent les incidents de cybersecurite importants et decrivent leurs processus de gestion du risque cyber. Mais elles s’arretent bien en deca du cadre integre de risque informatique impose par le DORA.
Il en resulte une divergence transatlantique dans l’architecture de gouvernance de plus en plus visible dans les structures des banques mondiales operant dans les deux juridictions. JPMorgan, Goldman Sachs et leurs homologues maintiennent des structures CISO dans leurs entites americaines tout en s’adaptant aux cadres de gouvernance du risque informatique dans leurs filiales europeennes. La charge de gerer simultanement deux philosophies de gouvernance n’est pas negligeable, et des signes montrent que certains etablissements commencent a se demander si le modele europeen pourrait finalement offrir des avantages meme en dehors du contexte reglementaire dans lequel il est ne.
Une Coda Philosophique : le Risque Comme Facon de Connaitre
Il existe une question plus profonde sous tout cela, qui se situe a l’intersection de la philosophie de la gouvernance et de l’epistemologie, et qui merite d’etre soulevee meme si elle ne peut pas etre pleinement resolue dans un seul article. Le modele CISO est, en son coeur, un modele construit sur le concept de menace. Il organise la connaissance et la reponse autour des adversaires, des vulnerabilites et des attaques. Son vocabulaire est emprunte a la culture militaire et du renseignement, et cet emprunt n’est pas fortuit. Le CISO pense en termes de defenseurs et d’attaquants, de perimetres et de violations, de detection et de reponse.
Le modele du risque informatique, en revanche, repose sur une base epistemologique differente. Le risque, au sens technique employe par les gestionnaires de risques dans les etablissements financiers, est une distribution de resultats possibles avec des probabilites et des niveaux de gravite associes. La question n’est pas «qui nous attaque ?» mais «quelle est la probabilite que nos systemes technologiques ne parviennent pas a delivrer les resultats que notre modele economique et nos obligations reglementaires exigent, et quelle est la magnitude financiere et reputationnelle de cet echec ?». C’est un cadre plus abstrait, et par certains cotes moins visceralement satisfaisant. Mais il est plus complet, et plus honnete sur la nature reelle des menaces auxquelles les institutions sont aujourd’hui confrontees, dans lesquelles les risques les plus consequents ne sont souvent pas adversariaux du tout, mais emergent de la complexite, de l’interdependance et des proprietes emergentes de systemes que nul acteur individuel ne comprend entierement.
Les risques les plus consequents ne sont souvent pas adversariaux. Ils emergent de la complexite, de l’interdependance et des proprietes emergentes de systemes que personne ne comprend pleinement.
Le philosophe des sciences Karl Popper observa un jour que la croissance de la connaissance consiste essentiellement en la correction des erreurs. La transition du CISO vers le Head of ICT Risk and Security est, en ce sens, une correction, non pas un rejet de ce que le modele CISO a accompli, mais la reconnaissance que le cadre qu’il offrait etait trop etroit pour l’environnement de risque qui a emerge. C’est le type de correction que les institutions peinent a effectuer car il exige de reconnaitre, au moins implicitement, que l’architecture precedente etait inadequate. La voie de moindre resistance consiste toujours a ajouter une nouvelle couche plutot qu’a repenser les fondations. Les institutions qui effectuent cette transition choisissent, a leur credit, la voie la plus difficile.
Annexe Technique : Architecture de Gouvernance Comparee, Competences et Remuneration
La section suivante passe de l’analyse aux donnees. Elle s’appuie sur les textes reglementaires publiquement disponibles, les enquetes de remuneration publiees par Robert Half, Hays Financial Services et l’Information Systems Security Association, les communications organisationnelles dans les rapports annuels et les declarations reglementaires, ainsi que l’observation professionnelle directe de l’auteur sur les structures de gouvernance au sein d’etablissements financiers europeens.
Tableau 1. CISO vs Head of ICT Risk & Security : Comparaison de l’Architecture de Gouvernance
| Dimension | Modele CISO | Head of ICT Risk & Security |
| Ligne de Defense | 1re ligne (integree dans la fonction technologique) | 2e ligne (fonction de risque independante) |
| Ligne Hierachique Typique | CTO / DSI, avec lien pointille vers PDG | CRO ou directement PDG / Comite des Risques du CA |
| Mandat Principal | Proteger les systemes et donnees contre les menaces | Gouverner le risque ICT dans l’appetit au risque de l’entreprise |
| Ancrage Reglementaire | ISO 27001, NIST CSF, directives sectorielles | DORA Arts. 5-16, Lignes directrices ABE ICT, NIS2, MiCA Art. 69 |
| Autorite Budgetaire | Generalement limitee, business case requis | Allocation directe depuis le cadre d’appetit au risque |
| Pouvoir de Contestation (1re ligne) | Informel, dependant des relations | Formel, integre dans le mandat de gouvernance |
| Interaction avec le CA | Reporting periodique, escalade d’incidents | Reguliere, membre ou conseiller du Comite des Risques |
| Prevalence dans les Crypto-Banques UE (2025) | En declin : env. 34% des etablissements echantillonnes | En hausse : env. 61% des etablissements echantillonnes |
| Prevalence dans les Banques Traditionnelles UE (2025) | Encore dominant : env. 58% | En progression : env. 38% |
Sources : Enquetes organisationnelles ABE 2024, ISACA State of Cybersecurity Report 2025, enquete professionnelle de l’auteur, analyse donnees publiques LinkedIn.
Tableau 2. Matrice des Competences Essentielles : Requises vs Souhaitables
| Domaine de Competence | CISO (Requise = R) | Head ICT Risk & Security (Requise = R) |
| Architecture securite reseaux et endpoints | R | Souhaitable |
| Veille sur les menaces et reponse aux incidents | R | R |
| Conception cadre risque ICT (DORA, ABE) | Souhaitable | R |
| Tests de resilience operationnelle (TLPT, TIBER-EU) | R (execution technique) | R (supervision gouvernance) |
| Gestion risque tiers (TPICR) | Partielle | R |
| Communication du risque au niveau du CA | Avantageuse | R |
| Protocoles de conservation d’actifs cryptographiques | Specifique au secteur | R (dans les crypto-banques) |
| ISO 27001 / 22301 Lead Auditor | R ou fortement preferee | Avantageuse |
| Certification CISSP / CISM | R ou fortement preferee | Reconnue mais non decisive |
| Outillage GRC et reporting reglementaire | Avantageuse | R |
Cartographie des competences elaboree a partir des RTS DORA, des lignes directrices ABE ICT 2023 et du cadre de competences ISACA 2024.
Tableau 3. Benchmarks de Remuneration, Secteur Financier Europeen (2025, EUR)
| Role / Contexte | Base Mediane (EUR) | Maximum Releve | Fourchette Bonus | Estim. Remun. Totale |
| CISO, banque traditionnelle (>10 Md EUR AUM) | 195 000 | 260 000 | 15-30% | 224 000-338 000 |
| CISO, fintech / scale-up | 150 000 | 210 000 | 10-25% + equity | 165 000-262 500 |
| Head of ICT Risk & Security, banque regulee | 215 000 | 310 000 | 20-40% | 258 000-434 000 |
| Head of ICT Risk & Security, crypto-banque (licence MiCA) | 230 000 | 340 000 | 20-40% + token | 276 000-476 000 |
| Deputy CISO / ICT Risk Manager sr., banque UE | 130 000 | 175 000 | 10-20% | 143 000-210 000 |
Sources : Hays Financial Services Salary Guide 2025, Robert Half Technology Salary Guide 2025, LinkedIn Salary Insights Secteur Financier UE T4 2025. Chiffres indicatifs. Les composantes token/equity sont exclues de la remuneration totale pour des raisons de comparabilite.
Tableau 4. Cartographie Reglementaire : ou est Ancre Chaque Titre
| Reglementation | Mentionne le CISO | Requiert une Fonction Risque ICT | Responsabilite de l’Organe de Direction |
| DORA (UE 2022/2554) | Non | Oui (Arts. 5-16) | Oui (Art. 5.2) |
| MiCA (UE 2023/1114) | Non | Oui (Art. 69) | Oui (Art. 69.3) |
| NIS2 (UE 2022/2555) | Non | Oui (Art. 21) | Oui, responsabilite personnelle (Art. 20) |
| Lignes directrices ABE ICT & Securite (EBA/GL/2019/04) | Reference implicite seulement | Oui | Oui |
| NIST CSF 2.0 (USA) | Reference | Partiel (fonction Gouverner) | Recommande, non obligatoire |
| Regles SEC sur la divulgation cyber (2023) | Reference dans les orientations | Implicite | Oui (divulgation de la supervision) |
| ISO 27001:2022 | Aucune reference formelle | Clause 6 (planification du risque) | Clause 5 (leadership) |
Analyse reglementaire fondee sur les textes legislatifs officiels de l’UE, les normes techniques ABE et ESMA, et les regles finales de la SEC. Verifiee sur sources officielles publiques au T1 2026.
La Carte N’est Pas le Territoire
Auguste conserva le Senat romain. Il savait qu’il valait mieux ne pas l’abolir. Ce qu’il fit, c’est changer la signification reelle de l’autorite du Senat, reorientant le pouvoir tout en preservant la forme qui conferait au pouvoir sa legitimite. Le CISO n’est pas aboli. Dans de nombreux etablissements, il est conserve, souvent avec la meme personne en poste, parfois avec un leger changement de titre, parfois avec une configuration dual-hat. Mais la structure d’autorite autour de lui change, et le cadre au travers duquel le risque numerique est gouverne est reconstruit sur des fondations differentes.
La migration silencieuse du secteur financier du CISO vers le Head of ICT Risk and Security est l’un des changements de gouvernance les plus significatifs de la decennie en cours, et il a recu une fraction de l’attention qu’il merite, en partie parce qu’il se produit progressivement, en partie parce que les institutions qui le portent preferent ne pas attirer l’attention sur la reconnaissance implicite d’une inadequation anterieure qu’il represente, et en partie parce que la presse specialisee en cybersecurite est, comprensiblement, peu encline a rendre compte du diminution d’un titre qu’elle a celebre pendant des annees.
Mais la carte change. Et en termes geopolitiques, tout autant qu’en termes de gouvernance d’entreprise, comprendre un changement dans la carte est le prealable a la comprehension du territoire que la carte decrit. Les institutions qui saisissent ce changement en premier, qui construiront des structures de gouvernance genuinement adaptees a l’environnement de risque integre que le DORA, le MiCA et le NIS2 ont collectivement cree, ne seront pas simplement conformes. Elles seront mieux gouvernees, mieux proteges et, en fin de compte, mieux equipees pour survivre a la prochaine crise que personne n’a encore pensee a nommer.
Raffaele Di Marzio
Executive Cybersecurity Consultant
raffaele.dimarzio@cyberium.limited
À propos de l’auteur :
🇮🇹 https://www.amazon.it/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇫🇷 https://www.amazon.fr/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇬🇧 https://www.amazon.com/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇪🇸 https://www.amazon.es/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4