Le BISO, maillon opérationnel entre cybersécurité et métiers

Rattaché à un périmètre métier plutôt qu’au système d’information central, le BISO porte la cybersécurité au plus près de la business unit. Il oriente les équipes techniques, dialogue avec les directions opérationnelles et adapte les exigences de sécurité aux usages réels, aux contraintes réglementaires et aux attentes des clients internes et externes.

« Le BISO est une déclinaison du rôle de RSSI pensée pour les métiers et les clients. Son périmètre n’est pas la sécurisation du SI support : il s’assure de la sécurité des prestations vendues et ancre la position de partenaire de confiance de l’entreprise auprès de ses clients. Il se positionne ainsi comme un RSSI métier ou RSSI client. Ce rôle implique une présence forte au plus près des opérations, en soutien des équipes commerciales, techniques, juridiques et sûreté », déclare Guillaume Vacher, BISO d’Equans France (filiale du groupe Bouygues).

Une fonction très proche du terrain

Dans les tâches quotidiennes d’un BISO, la dimension « terrain » est centrale. Le BISO se déplace en effet sur les sites, échange avec les métiers pour comprendre leurs problématiques, participe à des ateliers avec les clients et contribue à définir la stratégie de sécurité propre à un bâtiment ou à une infrastructure par exemple. 

« Cette proximité lui permet d’identifier des risques concrets, par exemple dans les smart buildings ou les dispositifs de performance énergétique. Par la suite, il propose des solutions simples et économiquement viables afin que la cybersécurité ne soit pas perçue comme un frein », note Guillaume Vacher. En d’autres termes, le BISO cherche à transformer une contrainte technique ou réglementaire en opportunité commerciale, en montrant que la sécurité peut devenir un facteur de différenciation.

« Le BISO se comporte comme un relais interne. Il garantit que le niveau de sécurité appliqué à chaque application ou projet est proportionné. Cette compréhension fine du métier permet d’éviter des exigences standardisées qui ne seraient ni pertinentes, ni acceptables pour certaines applications. Il valide les projets, autorise les livraisons au métier et porte la représentation cybersécurité vis-à-vis des clients externes, notamment les collectivités dans le cas de Suez », commente Paul Gompel, BISO / RSSI Eau chez Suez.

BISO : un rôle déterminant pendant les cybercrises

Le BISO joue également un rôle majeur pendant les cybercrises, quand elles surviennent. « Si l’un des systèmes opérés par les équipes terrain subit une cyberattaque, le BISO accompagne la cellule de crise, protège la posture contractuelle de l’entreprise, soutient le client dans la remédiation et contribue à restaurer la confiance. Après cet accompagnement, le client peut être amené à rehausser son niveau d’exigence et élargir le périmètre contractuel pour intégrer durablement des actions de cybersécurité », note Guillaume Vacher.

Le volet réglementaire est également très présent dans le quotidien d’un BISO. Ce dernier vérifie en effet que les offres sont conformes aux réglementations applicables, éclaire les métiers sur leurs obligations et aide à formuler une approche de sécurité crédible dans les appels d’offres. Il intervient également sur la partie contractuelle : il clarifie les responsabilités, notamment lorsqu’un client exige une conformité à une réglementation comme NIS2, et vérifie que les engagements pris s’inscrivent dans le bon cadre juridique.

Un poste qui peut présenter des limites

De manière générale, le BISO reporte au CISO de l’entreprise et s’inscrit dans une chaîne hiérarchique qui garantit la cohérence de la cybersécurité entre la direction centrale et les métiers. Il représente la fonction cybersécurité au plus près des opérations, tout en relayant les orientations fixées par le CISO « corporate ». Cette position intermédiaire permet au BISO de traduire les besoins opérationnels vers les équipes cyber techniques et, inversement, d’adapter les politiques et exigences groupe aux réalités du terrain.

Le poste révèle toutefois des limites. « Il repose sur un profil très orienté métier, ce qui réduit la capacité à maintenir un haut niveau technique. Il crée aussi des situations de double pilotage, car le BISO influence des équipes dont il n’est pas le manager direct. Il faut continuellement arbitrer entre des priorités divergentes », précise Paul Gompel. Le BISO / RSSI Eau de Suez mentionne également la difficulté d’uniformiser les pratiques des différents BISO, chacun reflétant l’ADN de son entité métier. Chez Suez, six BISO couvrent – outre l’activité eau qui revient à Paul Gompel – les activités liées aux déchets, les fonctions support, l’IT, l’ingénierie de construction et l’international. Cette organisation correspond directement à la structure exécutive du groupe. 

Enfin, Paul Gompel rappelle qu’il n’existe pas de communauté BISO spécifique au niveau national, les BISO demeurant une forme de RSSI métier. Les BISO participent aux écosystèmes classiques comme le CESIN ou le Clusif. Selon lui, l’intérêt principal de la terminologie BISO tient à sa clarté : elle recentre la fonction sur le business et évite la confusion qui entoure aujourd’hui le terme de RSSI, utilisé pour des rôles très différents selon les organisations.

Encadré : 

Selon une étude intitulée « The BISO Role in Numbers » menée en 2023 par le cabinet IANS (Institute for Applied Network Security), la rémunération des BISO se monte en moyenne à 320 000 dollars. Leur rémunération totale (tous avantages compris) varie entre 160 000 et 600 000 dollars. Les augmentations annuelles de rémunération s’élèvent en moyenne à 14 %, la majeure partie de cette augmentation étant consacrée au salaire de base et aux attributions d’actions. En moyenne, la rémunération des BISO est inférieure de 21 % à celle des RSSI.