CISO externe : la sécurité cyber pilotee pour vous.

Un CISO externe (Chief Information Security Officer externalisé, RSSI externalisé en français) est un responsable cybersécurité désigné officiellement par votre direction, mais qui n'est pas votre salarié. Il porté la responsabilité opérationnelle de la gouvernance cyber : politique de sécurité, gestion des risques, supervision des contrôles techniques, reporting aux autorités (ILR pour NIS 2, CSSF pour DORA, BFA en France, etc.), gestion d'incidents.

C'est le modèle recommande pour les organisations de 50 a 500 collaborateurs qui n'ont pas besoin d'un CISO temps plein, ou qui veulent une expertise senior sans assumer un recrutement complexe. La directive NIS 2 et le règlement DORA imposent depuis 2024-2025 une vraie gouvernance cyber a 1200+ entreprises au Luxembourg seul : avoir un CISO désigné (interne ou externe) devient une exigence concrete.

Trois raisons economiques + une opérationnelle.

Cout : un CISO senior interne, c'est 110 a 180 k EUR charges. Un CISO externe Luxgap, c'est 4 a 12 k EUR / mois selon le périmètre, soit 50 a 70% d'economie sans le risque de demission.

équipe complète : un CISO interne est seul face a tout (gouvernance + technique + incidents + audits). Un CISO externe Luxgap, c'est une équipe : ingenieurs cyber, juristes RGPD/NIS 2/DORA, developpeurs, pentesteurs. Vous beneficiez de toute l'expertise pour le prix d'un mi-temps.

Continuite : pas de risque de demission solo. Pas de vacance pendant 6 mois. Pas de perte de connaissance.

Independance vis-a-vis des fournisseurs IT : nous ne revendons ni Microsoft, ni Cisco, ni Palo Alto. Nos recommandations ne sont pas biaisees par un partenariat commercial.

Demander un devis CISO externe →

Politique de sécurité alignee ISO 27001 / NIS 2 / DORA / RGPD. Cartographie des risques cyber et matrice de criticite. Plan de traitement (technique + organisationnel). Reporting d'incident aux autorités : ILR sous 24h pour NIS 2, CSSF DORA, CNPD pour les violations RGPD. Audit supply chain : évaluation des prestataires TIC critiques (DORA pilier 5). Gouvernance comite sécurité mensuel avec le COMEX. Sensibilisation COMEX + équipes IT + utilisateurs. Veille réglementaire continue (CSSF circulaires 22/806, 24/847, ENISA, ANSSI, BSI). Pilotage des tests : pentest applicatif, audit M365 / Google Workspace, TLPT pour les grandes entités financieres.

Essentiel (PME 50-150 collab) : 1 jour / mois sur site + astreinte incident, gouvernance, politique, audit annuel. 4 a 6 k EUR / mois.
Standard (150-500 collab) : 2-3 jours / mois, COMEX trimestriel, gestion d'incidents en mode astreinte, audit semestriel, pilotage roadmap. 7 a 12 k EUR / mois.
Premium (500+ collab ou secteur sensible : banques, assurances, PSF, santé) : 5+ jours / mois, équipe dediee, intégration directe au COMEX, audit continu, supply chain, TLPT. 15 a 30 k EUR / mois.

Engagement minimum 12 mois (un changement de CISO frequent est mal vu par les autorités de contrôle), resiliable ensuite avec preavis 3 mois. Pas de frais de mise en place caches, pas de licence software a racheter, pas de TBD dans les devis.

Luxgap est cabinet luxembourgeois, mais nos mandats CISO externes s'appliquent dans toute l'Union européenne. Nous intervenons au Luxembourg (CSSF, ILR, BCL), en France (ANSSI, ACPR, AMF), en Belgique (CCB, FSMA, BNB), en Allemagne (BSI, BaFin), aux Pays-Bas (NCSC-NL, AFM, DNB), et plus largement dans l'EEE.

Secteurs : banques, PSF, fonds d'investissement, assurances, e-commerce, industrie, santé, communes, fournisseurs TIC critiques (DORA), operateurs essentiels NIS 2 (energie, transport, eau, infrastructure numérique). équipe francophone (FR / EN / DE).