CISO virtuel (vCISO)
Qu'est-ce que CISO virtuel (vCISO) ?
CISO virtuel (vCISO)Cadre senior de la sécurité engagé en temps partagé ou en mission pour assurer la stratégie, la gouvernance et la maîtrise des risques de niveau CISO dans des organisations sans CISO à temps plein.
Un CISO virtuel (vCISO) est un professionnel senior de la sécurité engagé à temps partiel ou en mission pour exercer les responsabilités d'un Chief Information Security Officer. Les missions durent typiquement 1 à 3 jours par semaine et par client, auprès de PME, de scale-ups préparant SOC 2 ou ISO 27001, ou de grands groupes nécessitant un leadership de transition. Le vCISO construit le programme de sécurité, conduit les analyses de risque, rédige les politiques, anime le reporting au conseil et tient le rôle de CISO désigné auprès des régulateurs et des clients. Il dispose en général de certifications CISSP, CISM ou CCISO et de 15 à 20 ans d'expérience interne. La prestation est de plus en plus délivrée par des MSSP et cabinets de conseil via des plateformes vCISO productisées.
● Exemples
- 01
Une startup SaaS de 50 personnes engage un vCISO deux jours par semaine pour préparer la certification SOC 2 Type II.
- 02
Une banque s'appuie sur un vCISO intérimaire pendant les six mois de recherche d'un CISO permanent.
● Questions fréquentes
Qu'est-ce que CISO virtuel (vCISO) ?
Cadre senior de la sécurité engagé en temps partagé ou en mission pour assurer la stratégie, la gouvernance et la maîtrise des risques de niveau CISO dans des organisations sans CISO à temps plein. Cette notion relève de la catégorie Rôles et carrières en cybersécurité.
Que signifie CISO virtuel (vCISO) ?
Cadre senior de la sécurité engagé en temps partagé ou en mission pour assurer la stratégie, la gouvernance et la maîtrise des risques de niveau CISO dans des organisations sans CISO à temps plein.
Comment fonctionne CISO virtuel (vCISO) ?
Un CISO virtuel (vCISO) est un professionnel senior de la sécurité engagé à temps partiel ou en mission pour exercer les responsabilités d'un Chief Information Security Officer. Les missions durent typiquement 1 à 3 jours par semaine et par client, auprès de PME, de scale-ups préparant SOC 2 ou ISO 27001, ou de grands groupes nécessitant un leadership de transition. Le vCISO construit le programme de sécurité, conduit les analyses de risque, rédige les politiques, anime le reporting au conseil et tient le rôle de CISO désigné auprès des régulateurs et des clients. Il dispose en général de certifications CISSP, CISM ou CCISO et de 15 à 20 ans d'expérience interne. La prestation est de plus en plus délivrée par des MSSP et cabinets de conseil via des plateformes vCISO productisées.
Comment se défendre contre CISO virtuel (vCISO) ?
Les défenses contre CISO virtuel (vCISO) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de CISO virtuel (vCISO) ?
Noms alternatifs courants : CISO fractionné, vCISO.
● Termes liés
- roles№ 165
Directeur de la sécurité des systèmes d'information (CISO/RSSI)
Cadre dirigeant responsable de la stratégie de sécurité de l'information, de la posture de risque et de la capacité de réponse aux incidents de l'organisation, généralement rattaché au DSI, COO ou directeur général.
- compliance№ 936
Gestion des risques
Processus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation.
- compliance№ 557
ISO/IEC 27001
Norme internationale qui spécifie les exigences d'un Système de Management de la Sécurité de l'Information (SMSI) et permet une certification formelle des organisations.
- compliance№ 1063
SOC 2
Norme d'attestation de l'AICPA dans laquelle un auditeur indépendant évalue les contrôles d'une organisation de services au regard des Trust Services Criteria.
- roles№ 990
Architecte sécurité
Technologue senior responsable de la conception d'architectures security-by-design pour l'entreprise, le cloud et les produits, qui traduit risques et exigences de conformité en motifs et contrôles techniques concrets.
- roles№ 992
Formateur en sensibilisation à la sécurité
Spécialiste chargé de concevoir, animer et mesurer le programme de sensibilisation à la sécurité qui aide les collaborateurs à reconnaître et résister au phishing, à l'ingénierie sociale et aux autres menaces ciblant la couche humaine.