Soyons directs : si vous êtes en train de recruter un Chief Information Security Officer, vous n’êtes pas en train de faire un recrutement executive comme les autres. Vous êtes en train de résoudre une équation avec trop d’inconnues, trop peu de candidats valables, et un contexte réglementaire qui s’est chargé de rendre le tout encore plus urgent qu’il y a dix-huit mois.
Le marché des CISO est peut-être le plus tendu de tout l’écosystème IT en France. Et contrairement à ce qu’on pourrait espérer, la situation ne s’améliore pas. Elle empire — méthodiquement, structurellement, sans signe de retournement à court terme.
Voilà ce que vous devez comprendre avant de lancer votre recherche.
Un poste à la croisée de toutes les tensions — et de toutes les responsabilités
Le CISO occupe aujourd’hui une position que l’on pourrait qualifier, sans exagérer, d’institutionnellement inconfortable. On lui demande de maîtriser les architectures techniques et les outils de détection. De connaître le droit applicable en cas de violation de données. De piloter des équipes sous pression permanente. De convaincre des directions métier dont la cybersécurité est, au mieux, une contrainte acceptable, au pire, un sujet dont elles préfèrent ne pas entendre parler.
Et quand la cyberattaque survient — et la question n’est plus si, mais quand — c’est lui qui gère la crise, qui communique vers l’extérieur, qui prend des décisions critiques avec des informations incomplètes, et qui assume la responsabilité publique de ce qui s’est passé.
On confie à une seule personne des compétences qui, dans n’importe quelle autre fonction, se répartissent entre plusieurs dirigeants. Et on lui demande de les exercer dans un état de vigilance qui ne connaît ni week-end ni vacances sereinement vécues.
Sur le terrain, dans les missions que nous menons chez Kalyptus, le schéma le plus courant n’est pas la création de poste : c’est le remplacement d’un responsable sécurité jugé insuffisamment complet, avec l’ambition d’élever le niveau de maturité global de l’organisation. Au-delà de l’expertise technique, ce que les dirigeants cherchent avant tout, c’est un leader capable d’installer une vraie culture de la sécurité — pas quelqu’un qui parle aux ingénieurs, mais quelqu’un qui convainc les métiers et fait remonter la cybersécurité au rang d’enjeu stratégique partagé.
NIS2, DORA et la mécanique implacable de la demande
La directive NIS2 a fait quelque chose de simple et de dévastateur pour le marché : elle a considérablement élargi le périmètre des organisations soumises à des obligations renforcées de cybersécurité. Là où NIS1 ne concernait qu’un nombre limité d’opérateurs, NIS2 s’étend à plusieurs milliers d’organisations supplémentaires en France — santé, transport, énergie, administrations publiques, et une part significative du secteur privé.
Pour chacune d’elles, NIS2 impose des exigences précises : gouvernance de la sécurité, gestion des risques, notification des incidents dans des délais très courts, sécurité de la chaîne d’approvisionnement, plans de continuité. Autant d’obligations qui présupposent une fonction CISO structurée — que beaucoup de ces organisations n’ont tout simplement pas.
Dans le secteur financier, DORA ajoute une couche supplémentaire autour de la résilience opérationnelle numérique, avec des exigences spécifiques sur les tests de résilience, la gestion des risques tiers et le partage d’informations sur les menaces.
Notre estimation, fondée sur nos observations terrain : le nombre de CISO pleinement opérationnels disponibles sur le marché français à un instant donné est inférieur à quelques centaines de profils. Pour une demande qui se chiffre en milliers. Faites le calcul. Le résultat n’est pas rassurant.
Le burn-out silencieux : la réalité que les fiches de poste ne mentionnent jamais
La durée médiane d’un CISO dans son poste se situe autour de deux à trois ans. Bien en dessous de la moyenne des autres dirigeants IT. Ce n’est pas un hasard, et ce n’est pas non plus une question de mobilité naturelle.
Les raisons s’accumulent et se cumulent. Le manque de ressources : beaucoup de CISO portent une responsabilité considérable avec des équipes sous-dimensionnées et des budgets insuffisants pour faire ce qu’on attend d’eux. Le manque d’autorité réelle : ils sont censés sécuriser l’organisation mais ne contrôlent pas les décisions d’investissement, de déploiement des systèmes, ni de gestion des fournisseurs. L’isolement : porteurs d’une vision de risque structurellement en tension avec les objectifs de croissance, ils sont trop souvent perçus comme des obstacles plutôt que comme des partenaires.
Et par-dessus tout ça : la pression psychologique de la menace elle-même. Gérer en permanence la conscience que l’organisation peut être attaquée demain, que les conséquences peuvent être désastreuses, et que la responsabilité finale vous incombera — c’est épuisant sur la durée.
Les CISO les plus expérimentés arrivent souvent sur le marché avec des cicatrices. Ils sont vigilants, parfois méfiants, et posent des questions très précises sur les conditions réelles d’exercice du rôle avant d’accepter d’avancer. Ce n’est pas de l’arrogance. C’est de la survie.
Les trois erreurs classiques — et comment les éviter
Erreur n°1 : confier le recrutement à quelqu’un qui ne maîtrise pas le domaine
Évaluer un CISO nécessite de comprendre ce que signifient réellement des certifications comme CISSP, CISM ou ISO 27001 Lead Implementer — pas de les reconnaître sur un CV, mais de pouvoir en discuter en profondeur pour mesurer la qualité réelle de la formation et de l’expérience. Un recruteur généraliste, aussi compétent soit-il, n’a pas ce référentiel.
Erreur n°2 : se concentrer exclusivement sur les compétences techniques
Un CISO incapable de communiquer avec un Conseil d’Administration, de créer une culture de sécurité dans l’organisation, ou de gérer une crise sous pression médiatique sera en échec — même s’il est excellent techniquement. Savoir faire adhérer est un talent à part entière, et c’est précisément ce que les grilles d’évaluation classiques ne capturent pas.
Erreur n°3 : négliger la définition du poste
Beaucoup d’organisations ouvrent un poste de CISO sans avoir clairement défini son périmètre réel, sa place dans la gouvernance, ses lignes hiérarchiques, et les ressources qui lui seront allouées. Un CISO expérimenté posera ces questions avant d’accepter. Si les réponses sont floues, il se retirera — poliment, mais définitivement.
Ce qui fait vraiment la différence pour attirer les meilleurs
Les CISO que vous cherchez ont le luxe de choisir leur prochain poste. Un salaire compétitif est la condition nécessaire, jamais suffisante.
Ce qu’ils évaluent en réalité, c’est la qualité du soutien que le top management est prêt à leur apporter. Un CEO qui comprend les enjeux cyber et est visible dans son engagement, c’est un signal fort. Un CEO absent du processus de recrutement et vague sur les ressources disponibles, c’est un signal tout aussi fort — dans l’autre sens.
Ils évaluent aussi la perspective de construction. Un CISO ambitieux veut bâtir quelque chose, pas maintenir un statu quo qui lui sera reproché à la prochaine crise. Lui montrer ce qu’il pourra accomplir dans les deux premières années est plus persuasif que n’importe quelle liste de responsabilités sur quatre pages.
Ce que le marché dit en 2025
Les packages CISO se réévaluent continuellement. Les profils seniors avec une expérience avérée en environnement régulé — banque, assurance, santé, industrie critique — se négocient entre 130 000 et 180 000 euros brut annuel en Île-de-France, auxquels s’ajoutent part variable et éléments de package. Pour les ETI non régulées, les fourchettes sont légèrement inférieures, mais l’écart se réduit sous la pression de NIS2.
La demande pour les profils hybrides OT/IT — capables de naviguer à l’interface entre sécurité informatique et sécurité des systèmes industriels — est particulièrement forte dans les secteurs de l’énergie, de l’eau et de l’industrie manufacturière. Ces profils commandent une prime significative sur le marché.
Dernière subtilité : les CISO les plus expérimentés sont souvent les moins visibles sur les réseaux professionnels. Par culture professionnelle, les experts en sécurité limitent leur exposition publique — y compris sur leur propre parcours. Ce qui signifie concrètement qu’ils ne répondront pas à votre annonce LinkedIn. Les atteindre nécessite un réseau, du relationnel construit dans la durée, et une approche directe et confidentielle.
Ce qu’il faut retenir
Recruter un CISO en 2025 est l’un des exercices les plus exigeants du recrutement executive en France. Il ne pardonne pas les approximations — ni dans la définition du poste, ni dans l’évaluation des candidats, ni dans la proposition de valeur présentée.
Les organisations qui réussissent ces recrutements sont celles qui ont fait le travail en amont : périmètre clairement défini, soutien visible du top management, proposition convaincante qui va au-delà du salaire.
Chez Kalyptus, le recrutement de CISO est l’une de nos spécialités. Notre connaissance du marché et notre réseau de profils qualifiés nous permettent d’accompagner nos clients depuis la définition du poste jusqu’à la prise de poste réussie. Si vous anticipez ce besoin, le bon moment pour en parler, c’est maintenant — pas quand l’urgence vous aura rattrapé.
|
|
|
|
Paris
26-28, rue de Londres
75009 Paris
01 84 16 27 80
Villeneuve-d'Ascq
463, rue Jules Guesde
59650 Villeneuve-d’Ascq
03 66 72 06 50
Offres d'emploi
Fiches métiers
Nos clients
Le cabinet
© 2026 Kalyptus, Paris – Lille