Confiez-nous une mission

Retour au répertoire des métiers

Chief Information Security Officer – CISO
#caractéristique
Partager la fiche métier
Garant de la sécurité du patrimoine informationnel de l’entreprise, le RSSI définit et pilote la politique de cybersécurité, gère les risques cyber, assure la conformité réglementaire et mobilise l’ensemble des collaborateurs autour des enjeux de protection des données et des systèmes.

Missions

Description

Garant de la sécurité du patrimoine informationnel de l’entreprise, le RSSI définit et pilote la politique de cybersécurité, gère les risques cyber, assure la conformité réglementaire et mobilise l’ensemble des collaborateurs autour des enjeux de protection des données et des systèmes.

Autres intitulés

RSSI · Chief Information Security Officer · Directeur de la Sécurité SI · Head of Cybersecurity · Directeur Cybersécurité

Missions principales

POLITIQUE & STRATÉGIE DE SÉCURITÉ

Définir, mettre en œuvre et maintenir la politique de sécurité des systèmes d’information (PSSI). Aligner la stratégie de cybersécurité avec les objectifs de l’entreprise et les exigences réglementaires.

GESTION DES RISQUES CYBER

Identifier, analyser et traiter les risques de sécurité (analyse EBIOS RM, ISO 27005). Définir les plans de traitement des risques et piloter leur mise en œuvre avec les équipes techniques et métiers.

ARCHITECTURE DE SÉCURITÉ & SOLUTIONS TECHNIQUES

Superviser la conception de l’architecture de sécurité (Zero Trust, SASE, MFA, SOC, SIEM). Valider les choix technologiques et les projets d’infrastructure au regard des exigences de sécurité.

DÉTECTION, RÉPONSE AUX INCIDENTS & GESTION DE CRISE

Piloter le SOC (interne ou externe), organiser les exercices de crise cyber (red team, tabletop). Coordonner la réponse aux incidents et cyberattaques, gérer la communication de crise.

CONFORMITÉ RÉGLEMENTAIRE & CERTIFICATIONS

Assurer la conformité aux référentiels et réglementations (ISO 27001, RGPD, LPM/NIS2, DORA, HDS). Piloter les audits, les certifications et les relations avec les autorités (ANSSI, CNIL).

SENSIBILISATION & CULTURE CYBERSÉCURITÉ

Animer des programmes de sensibilisation et de formation à destination de l’ensemble des collaborateurs. Promouvoir une culture de la sécurité à tous les niveaux de l’organisation.

PILOTAGE DES TIERS & SUPPLY CHAIN SECURITY

Évaluer la maturité cyber des fournisseurs et partenaires critiques. Intégrer les exigences de sécurité dans les appels d’offres et les contrats (clauses de sécurité, audits tiers).

Variabilité des missions

Contexte Impact sur le périmètre et le profil recherché
Taille : PME Profil polyvalent, souvent seul expert cyber. Gère à la fois la stratégie, les outils techniques et la relation avec les prestataires MSSP. Budget contraint.
Taille : ETI Équipe de 2 à 15 personnes. Pilotage d’un SOC externalisé, management d’analystes sécurité, arbitrages build vs buy.
Taille : Grand groupe RSSI Groupe avec des RSSI filiales. Management indirect, gouvernance multi-entités, enjeux de consolidation et de reporting.
Secteur : Finance / Banque Exigences DORA, PCI-DSS, BCBS 239. Continuité d’activité critique, résilience opérationnelle, surveillance 24/7.
Secteur : Santé Protection des données patients, certification HDS, conformité ANSSI, interopérabilité et sécurité des dispositifs médicaux connectés.
Secteur : Industrie / OT Sécurité des systèmes industriels (ICS/SCADA), convergence OT/IT, risques sur les chaînes de production.
Secteur : Défense / ETat Qualification ANSSI, habilitations, systèmes classifiés, doctrine cyber nationale, exigences LPM renforcées.
Contexte : post-incident Reconstruction après une cyberattaque. Focus sur la remédiation, le renforcement des défenses et la restauration de la confiance.
Contexte : transformation Sécurisation d’un projet de migration cloud, intégration post-acquisition, déploiement d’un Zero Trust Architecture.

Formations

Diplôme souhaité

FORMATIONS INITIALES

  • Grandes écoles d’ingénieurs —  Télécom Paris, ENSIIE, Centrale, Mines, EPITA, INSA — spécialisation sécurité ou réseaux
  • Université —  Master cybersécurité, Master sécurité des SI, Master informatique spécialisation sécurité
  • École de management —  Executive MBA ou formations dirigeants avec composante gestion des risques

CERTIFICATIONS — INDISPENSABLES

  • CISSP —  Certified Information Systems Security Professional — référence internationale
  • CISM —  Certified Information Security Manager — orienté management
  • ISO 27001 Lead Implementer / Lead Auditor —  Référentiel de gestion de la sécurité de l’information
  • EBIOS RM —  Méthode française d’analyse des risques, recommandée par l’ANSSI

CERTIFICATIONS COMPLÉMENTAIRES

  • Techniques —  CEH, OSCP, CompTIA Security+, GIAC (GSEC, GCIH, GCIA)
  • Cloud —  AWS Security Specialty, Azure Security Engineer, CCSP
  • Conformité —  CIPP/E (RGPD), certification DPO, qualification PASSI (ANSSI)

Expérience attendue

Profil Expérience Contexte typique
RSSI · PME/ETI junior 6 – 10 ans Évolution depuis analyste SOC, pentest, administrateur sécurité ou consultant. Première fonction de RSSI dans une organisation de taille modérée.
RSSI · ETI confirmé 10 – 15 ans Expérience de pilotage de la sécurité avérée, gestion d’incidents significatifs, management d’une équipe ou d’un budget cyber.
RSSI Groupe · Grand compte 15 ans + Trajectoire combinant expertise technique profonde et leadership managérial. Membre du COMEX ou rattachement direct au DSI/DG.

Compétences

Compétences techniques

HARD SKILLS — EXPERTISE TECHNIQUE

  • Architecture de sécurité —  Zero Trust, SASE, IAM/PAM, micro-segmentation, chiffrement, PKI
  • Gestion des risques —  EBIOS RM, ISO 27005, analyse d’impact, plans de traitement
  • Opérations de sécurité —  SIEM (Splunk, Microsoft Sentinel), SOAR, EDR, NDR, pilotage SOC
  • Tests d’intrusion & Red Team —  Pentest, audit de sécurité, bug bounty, threat intelligence
  • Cloud security —  AWS/Azure/GCP security services, CSPM, CASB, DevSecOps
  • Conformité & certifications —  ISO 27001, NIS2, DORA, LPM, RGPD, HDS, PCI-DSS
  • Gestion de crise cyber —  Plan de réponse aux incidents, PCA/PRA, forensics, communication de crise

Soft skills

SOFT SKILLS — COMPÉTENCES COMPORTEMENTALES

  • Communication & pédagogie —  Traduire les risques cyber en enjeux business pour le COMEX et le CA
  • Influence sans autorité —  Engager les directions métiers et IT dans la démarche de sécurité
  • Sang-froid & gestion de crise —  Décision sous pression lors d’incidents ou cyberattaques
  • Rigueur & méthode —  Application rigoureuse des référentiels, documentation exhaustive
  • Veille & anticipation —  Suivi permanent du paysage des menaces (threat intel, CVE, ANSSI)
  • Leadership éthique —  Intégrité, confidentialité, arbitrages éthiques sur la donnée et la surveillance

Salaire

Rémunération

Marché en tension : la rareté des profils RSSI qualifiés tire les rémunérations à la hausse, particulièrement en Île-de-France et dans les secteurs régulés (finance, santé, défense).

 

Profil Localisation Fourchette brute annuelle
RSSI · PME Île-de-France 65 000 – 85 000 €
RSSI · PME Régions 50 000 – 70 000 €
RSSI confirmé · ETI Île-de-France 90 000 – 130 000 €
RSSI confirmé · ETI Régions 75 000 – 105 000 €
RSSI Groupe · Grand compte Île-de-France 130 000 – 220 000 € +
RSSI Groupe · Grand compte Régions 110 000 – 170 000 €

Données indicatives 2024-2025. Les certifications CISSP + CISM et une expérience en secteur régulé (finance, défense) positionnent systématiquement dans le haut des fourchettes.

 

Évolution

Évolutions possibles

Missions

Description

Garant de la sécurité du patrimoine informationnel de l’entreprise, le RSSI définit et pilote la politique de cybersécurité, gère les risques cyber, assure la conformité réglementaire et mobilise l’ensemble des collaborateurs autour des enjeux de protection des données et des systèmes.

Autres intitulés

RSSI · Chief Information Security Officer · Directeur de la Sécurité SI · Head of Cybersecurity · Directeur Cybersécurité

Missions principales

POLITIQUE & STRATÉGIE DE SÉCURITÉ

Définir, mettre en œuvre et maintenir la politique de sécurité des systèmes d’information (PSSI). Aligner la stratégie de cybersécurité avec les objectifs de l’entreprise et les exigences réglementaires.

GESTION DES RISQUES CYBER

Identifier, analyser et traiter les risques de sécurité (analyse EBIOS RM, ISO 27005). Définir les plans de traitement des risques et piloter leur mise en œuvre avec les équipes techniques et métiers.

ARCHITECTURE DE SÉCURITÉ & SOLUTIONS TECHNIQUES

Superviser la conception de l’architecture de sécurité (Zero Trust, SASE, MFA, SOC, SIEM). Valider les choix technologiques et les projets d’infrastructure au regard des exigences de sécurité.

DÉTECTION, RÉPONSE AUX INCIDENTS & GESTION DE CRISE

Piloter le SOC (interne ou externe), organiser les exercices de crise cyber (red team, tabletop). Coordonner la réponse aux incidents et cyberattaques, gérer la communication de crise.

CONFORMITÉ RÉGLEMENTAIRE & CERTIFICATIONS

Assurer la conformité aux référentiels et réglementations (ISO 27001, RGPD, LPM/NIS2, DORA, HDS). Piloter les audits, les certifications et les relations avec les autorités (ANSSI, CNIL).

SENSIBILISATION & CULTURE CYBERSÉCURITÉ

Animer des programmes de sensibilisation et de formation à destination de l’ensemble des collaborateurs. Promouvoir une culture de la sécurité à tous les niveaux de l’organisation.

PILOTAGE DES TIERS & SUPPLY CHAIN SECURITY

Évaluer la maturité cyber des fournisseurs et partenaires critiques. Intégrer les exigences de sécurité dans les appels d’offres et les contrats (clauses de sécurité, audits tiers).

Variabilité des missions

Contexte Impact sur le périmètre et le profil recherché
Taille : PME Profil polyvalent, souvent seul expert cyber. Gère à la fois la stratégie, les outils techniques et la relation avec les prestataires MSSP. Budget contraint.
Taille : ETI Équipe de 2 à 15 personnes. Pilotage d’un SOC externalisé, management d’analystes sécurité, arbitrages build vs buy.
Taille : Grand groupe RSSI Groupe avec des RSSI filiales. Management indirect, gouvernance multi-entités, enjeux de consolidation et de reporting.
Secteur : Finance / Banque Exigences DORA, PCI-DSS, BCBS 239. Continuité d’activité critique, résilience opérationnelle, surveillance 24/7.
Secteur : Santé Protection des données patients, certification HDS, conformité ANSSI, interopérabilité et sécurité des dispositifs médicaux connectés.
Secteur : Industrie / OT Sécurité des systèmes industriels (ICS/SCADA), convergence OT/IT, risques sur les chaînes de production.
Secteur : Défense / ETat Qualification ANSSI, habilitations, systèmes classifiés, doctrine cyber nationale, exigences LPM renforcées.
Contexte : post-incident Reconstruction après une cyberattaque. Focus sur la remédiation, le renforcement des défenses et la restauration de la confiance.
Contexte : transformation Sécurisation d’un projet de migration cloud, intégration post-acquisition, déploiement d’un Zero Trust Architecture.

Formations

Diplôme souhaité

FORMATIONS INITIALES

  • Grandes écoles d’ingénieurs —  Télécom Paris, ENSIIE, Centrale, Mines, EPITA, INSA — spécialisation sécurité ou réseaux
  • Université —  Master cybersécurité, Master sécurité des SI, Master informatique spécialisation sécurité
  • École de management —  Executive MBA ou formations dirigeants avec composante gestion des risques

CERTIFICATIONS — INDISPENSABLES

  • CISSP —  Certified Information Systems Security Professional — référence internationale
  • CISM —  Certified Information Security Manager — orienté management
  • ISO 27001 Lead Implementer / Lead Auditor —  Référentiel de gestion de la sécurité de l’information
  • EBIOS RM —  Méthode française d’analyse des risques, recommandée par l’ANSSI

CERTIFICATIONS COMPLÉMENTAIRES

  • Techniques —  CEH, OSCP, CompTIA Security+, GIAC (GSEC, GCIH, GCIA)
  • Cloud —  AWS Security Specialty, Azure Security Engineer, CCSP
  • Conformité —  CIPP/E (RGPD), certification DPO, qualification PASSI (ANSSI)

Expérience attendue

Profil Expérience Contexte typique
RSSI · PME/ETI junior 6 – 10 ans Évolution depuis analyste SOC, pentest, administrateur sécurité ou consultant. Première fonction de RSSI dans une organisation de taille modérée.
RSSI · ETI confirmé 10 – 15 ans Expérience de pilotage de la sécurité avérée, gestion d’incidents significatifs, management d’une équipe ou d’un budget cyber.
RSSI Groupe · Grand compte 15 ans + Trajectoire combinant expertise technique profonde et leadership managérial. Membre du COMEX ou rattachement direct au DSI/DG.

Compétences

Compétences techniques

HARD SKILLS — EXPERTISE TECHNIQUE

  • Architecture de sécurité —  Zero Trust, SASE, IAM/PAM, micro-segmentation, chiffrement, PKI
  • Gestion des risques —  EBIOS RM, ISO 27005, analyse d’impact, plans de traitement
  • Opérations de sécurité —  SIEM (Splunk, Microsoft Sentinel), SOAR, EDR, NDR, pilotage SOC
  • Tests d’intrusion & Red Team —  Pentest, audit de sécurité, bug bounty, threat intelligence
  • Cloud security —  AWS/Azure/GCP security services, CSPM, CASB, DevSecOps
  • Conformité & certifications —  ISO 27001, NIS2, DORA, LPM, RGPD, HDS, PCI-DSS
  • Gestion de crise cyber —  Plan de réponse aux incidents, PCA/PRA, forensics, communication de crise

Soft skills

SOFT SKILLS — COMPÉTENCES COMPORTEMENTALES

  • Communication & pédagogie —  Traduire les risques cyber en enjeux business pour le COMEX et le CA
  • Influence sans autorité —  Engager les directions métiers et IT dans la démarche de sécurité
  • Sang-froid & gestion de crise —  Décision sous pression lors d’incidents ou cyberattaques
  • Rigueur & méthode —  Application rigoureuse des référentiels, documentation exhaustive
  • Veille & anticipation —  Suivi permanent du paysage des menaces (threat intel, CVE, ANSSI)
  • Leadership éthique —  Intégrité, confidentialité, arbitrages éthiques sur la donnée et la surveillance

Salaire

Rémunération

Marché en tension : la rareté des profils RSSI qualifiés tire les rémunérations à la hausse, particulièrement en Île-de-France et dans les secteurs régulés (finance, santé, défense).

 

Profil Localisation Fourchette brute annuelle
RSSI · PME Île-de-France 65 000 – 85 000 €
RSSI · PME Régions 50 000 – 70 000 €
RSSI confirmé · ETI Île-de-France 90 000 – 130 000 €
RSSI confirmé · ETI Régions 75 000 – 105 000 €
RSSI Groupe · Grand compte Île-de-France 130 000 – 220 000 € +
RSSI Groupe · Grand compte Régions 110 000 – 170 000 €

Données indicatives 2024-2025. Les certifications CISSP + CISM et une expérience en secteur régulé (finance, défense) positionnent systématiquement dans le haut des fourchettes.

 

Évolution

Évolutions possibles

Vous aimeriez recruter pour ce poste ?

Nous connaissons sûrement le talent qu’il vous faut !

Contactez-nous

Paris

26-28, rue de Londres
75009 Paris

01 84 16 27 80

Villeneuve-d'Ascq

463, rue Jules Guesde
59650 Villeneuve-d’Ascq

03 66 72 06 50

Offres d'emploi

Offres à pourvoir

Candidature spontanée

Fiches métiers

Rechercher un métier

Nos clients

Business cases

Le cabinet

Nos valeurs

Nos domaines d’expertise

Contactez-nous

© 2025 Kalyptus, Paris – Lille

Mentions légales