CISO externe : la securite cyber pilotee pour vous.

Un CISO externe (Chief Information Security Officer externalise, RSSI externalise en francais) est un responsable cybersecurite designe officiellement par votre direction, mais qui n'est pas votre salarie. Il porte la responsabilite operationnelle de la gouvernance cyber : politique de securite, gestion des risques, supervision des controles techniques, reporting aux autorites (ILR pour NIS 2, CSSF pour DORA, BFA en France, etc.), gestion d'incidents.

C'est le modele recommande pour les organisations de 50 a 500 collaborateurs qui n'ont pas besoin d'un CISO temps plein, ou qui veulent une expertise senior sans assumer un recrutement complexe. La directive NIS 2 et le reglement DORA imposent depuis 2024-2025 une vraie gouvernance cyber a 1200+ entreprises au Luxembourg seul : avoir un CISO designe (interne ou externe) devient une exigence concrete.

Trois raisons economiques + une operationnelle.

Cout : un CISO senior interne, c'est 110 a 180 k EUR charges. Un CISO externe Luxgap, c'est 4 a 12 k EUR / mois selon le perimetre, soit 50 a 70% d'economie sans le risque de demission.

Equipe complete : un CISO interne est seul face a tout (gouvernance + technique + incidents + audits). Un CISO externe Luxgap, c'est une equipe : ingenieurs cyber, juristes RGPD/NIS 2/DORA, developpeurs, pentesteurs. Vous beneficiez de toute l'expertise pour le prix d'un mi-temps.

Continuite : pas de risque de demission solo. Pas de vacance pendant 6 mois. Pas de perte de connaissance.

Independance vis-a-vis des fournisseurs IT : nous ne revendons ni Microsoft, ni Cisco, ni Palo Alto. Nos recommandations ne sont pas biaisees par un partenariat commercial.

Demander un devis CISO externe →

Politique de securite alignee ISO 27001 / NIS 2 / DORA / RGPD. Cartographie des risques cyber et matrice de criticite. Plan de traitement (technique + organisationnel). Reporting d'incident aux autorites : ILR sous 24h pour NIS 2, CSSF DORA, CNPD pour les violations RGPD. Audit supply chain : evaluation des prestataires TIC critiques (DORA pilier 5). Gouvernance comite securite mensuel avec le COMEX. Sensibilisation COMEX + equipes IT + utilisateurs. Veille reglementaire continue (CSSF circulaires 22/806, 24/847, ENISA, ANSSI, BSI). Pilotage des tests : pentest applicatif, audit M365 / Google Workspace, TLPT pour les grandes entites financieres.

Essentiel (PME 50-150 collab) : 1 jour / mois sur site + astreinte incident, gouvernance, politique, audit annuel. 4 a 6 k EUR / mois.
Standard (150-500 collab) : 2-3 jours / mois, COMEX trimestriel, gestion d'incidents en mode astreinte, audit semestriel, pilotage roadmap. 7 a 12 k EUR / mois.
Premium (500+ collab ou secteur sensible : banques, assurances, PSF, sante) : 5+ jours / mois, equipe dediee, integration directe au COMEX, audit continu, supply chain, TLPT. 15 a 30 k EUR / mois.

Engagement minimum 12 mois (un changement de CISO frequent est mal vu par les autorites de controle), resiliable ensuite avec preavis 3 mois. Pas de frais de mise en place caches, pas de licence software a racheter, pas de TBD dans les devis.

Luxgap est cabinet luxembourgeois, mais nos mandats CISO externes s'appliquent dans toute l'Union europeenne. Nous intervenons au Luxembourg (CSSF, ILR, BCL), en France (ANSSI, ACPR, AMF), en Belgique (CCB, FSMA, BNB), en Allemagne (BSI, BaFin), aux Pays-Bas (NCSC-NL, AFM, DNB), et plus largement dans l'EEE.

Secteurs : banques, PSF, fonds d'investissement, assurances, e-commerce, industrie, sante, communes, fournisseurs TIC critiques (DORA), operateurs essentiels NIS 2 (energie, transport, eau, infrastructure numerique). Equipe francophone (FR / EN / DE).