Qu'est-ce que le CESIN ?

Le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) est une association française fondée en 2012 qui regroupe environ 800 RSSI/CISO d'entreprises et administrations utilisatrices finales. Sa particularité : l'adhésion est strictement réservée aux professionnels en poste dans des organisations utilisatrices. Aucun prestataire, consultant, fournisseur, éditeur, ESN n'est admis comme membre, ce qui garantit un cadre d'échange strictement entre pairs sans enjeu commercial. Le CESIN porte la voix des directeurs cyber français : publie chaque année un baromètre sur la cybersécurité des entreprises (en partenariat avec OpinionWay), diffuse des prises de position publiques sur les grands sujets (NIS2, souveraineté, régulation IA), organise des événements fermés et des groupes de travail entre membres. Préside aujourd'hui une figure reconnue du milieu, Mylène Jarossay (2019-2020) puis Alain Bouillé et autres présidents élus tournants. Voix influente dans le dialogue avec les pouvoirs publics et les médias.

Quelle différence entre CESIN et CLUSIF ?

Deux associations françaises complémentaires avec des positionnements très différents. CESIN (2012, ~800 membres) : réservé aux RSSI/responsables sécurité d'entreprises utilisatrices finales. Fermé aux prestataires, fournisseurs, consultants. Focus : partage entre pairs, influence, baromètre annuel, prises de position. Plus récent, positionnement resserré. CLUSIF (1984, ~1000 membres) : ouvert à toutes les organisations y compris prestataires et fournisseurs. Publications larges (panorama cybercriminalité, livres blancs), groupes de travail thématiques, présence régionale via les CLUSIR. Plus ancien et généraliste. En pratique : beaucoup de grands RSSI adhèrent aux deux, utilisant chaque association pour des usages différents. Le CLUSIF pour la production collaborative de contenu et le réseau large incluant l'écosystème des prestataires. Le CESIN pour les échanges sensibles entre pairs RSSI sans enjeu commercial, et pour la voix commune des utilisateurs finaux. D'autres associations complètent l'écosystème : Hexatrust (fournisseurs), CEFCYS (femmes cyber), AFCDP (DPO), CIGREF (DSI grandes entreprises). L'écosystème associatif français est dense et structuré.

Qu'est-ce que le baromètre annuel du CESIN ?

Le baromètre annuel du CESIN est une enquête de référence sur la cybersécurité des entreprises françaises, publiée chaque début d'année (généralement janvier-février) en partenariat avec l'institut OpinionWay. Méthodologie : sondage auprès de 400+ RSSI membres et non-membres du CESIN, entreprises de tous secteurs et toutes tailles (majoritairement ETI et grandes entreprises). Questions couvertes : pourcentage d'entreprises victimes de cyberattaques réussies dans l'année, types d'attaques prévalents (ransomware, phishing, fraude au président, DDoS), budgets cyber et leur évolution, ressources humaines (difficultés de recrutement, turnover), maturité des pratiques, impacts perçus (financier, réputationnel, opérationnel), évaluation des prestataires et solutions, anticipation des enjeux à venir (cloud, IA, NIS2). Les chiffres du baromètre CESIN sont massivement repris par les médias, servent de référence dans les études sectorielles, alimentent les présentations commerciales et sont cités dans les débats publics. Indicateurs récents typiques : ~50% des entreprises françaises ont été victimes d'au moins une cyberattaque dans l'année, phishing reste la porte d'entrée #1, budgets cyber en croissance continue. Disponible gratuitement sur cesin.fr.

Comment adhérer au CESIN ?

Conditions strictes d'adhésion au CESIN. Statut professionnel requis : occuper un poste de responsable de la sécurité de l'information dans une organisation utilisatrice finale (entreprise privée, administration, collectivité, association). Titres acceptés typiques : RSSI, CISO, DSI avec périmètre sécurité, responsable sécurité SI, directeur cybersécurité, DPO s'il dirige aussi la sécurité. Exclus de l'adhésion : consultants cyber, auditeurs, pentesters freelance, éditeurs de solutions, employés de ESN/cabinets, fournisseurs, chercheurs hors utilisateur final. Parrainage : l'adhésion nécessite généralement d'être parrainé par un membre existant du CESIN, qui atteste de votre statut. Processus : candidature via cesin.fr, validation par le bureau après vérification du profil. Cotisation annuelle : de l'ordre de 500-1000€/an selon ajustements périodiques, à la charge de l'employeur ou de l'individu. Avantages membres : accès aux événements fermés (plusieurs par an), aux groupes de travail thématiques, à l'annuaire des membres (réseau entre pairs), aux publications internes, aux prises de position collectives. Tarification et processus susceptibles d'évoluer — toujours consulter le site cesin.fr pour les informations à jour.

CESIN : Club des Experts de la Sécurité de l'Information et du Numérique

Fondation: 2012 — association loi 1901
Membres: ~800 RSSI/CISO en 2026
Critère d'admission: Uniquement RSSI d'entreprises utilisatrices finales
Publication phare: Baromètre annuel CESIN × OpinionWay
Présidence: Mandats tournants élus par le bureau
Site: cesin.fr — baromètre et prises de position accessibles

01 — DéfinitionHistoire et positionnement

Le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) est une association française fondée en 2012. Plus récent que le CLUSIF (1984), il s'est construit un positionnement spécifique en se réservant strictement aux RSSI d'entreprises utilisatrices.

L'origine : un besoin d'entre-pairs

À la création du CESIN en 2012, le constat était : les associations existantes (notamment le CLUSIF) mélangeaient utilisateurs et prestataires, ce qui limitait les échanges francs entre pairs RSSI sur des sujets sensibles (incidents réels, vulnérabilités, fournisseurs défaillants, chiffres budgets). Un groupe de RSSI de grandes entreprises françaises a décidé de créer une association exclusivement entre utilisateurs pour disposer d'un espace protégé.

Croissance rapide

2012 : création avec quelques dizaines de membres fondateurs.
2015 : ~200 membres.
2018 : ~500 membres, l'association devient incontournable.
2022+ : ~800 membres, croissance qui se stabilise, maturité atteinte.

Membres typiques

Le CESIN rassemble principalement :

RSSI/CISO de grandes entreprises (CAC 40, SBF 120).
RSSI d'ETI (Entreprises de Taille Intermédiaire).
RSSI de grandes administrations publiques et ministères.
RSSI de collectivités territoriales importantes (grandes villes, régions).
Directeurs cybersécurité de groupes financiers, industriels, énergétiques.

Les profils junior (consultants, auditeurs, étudiants) ne sont pas admis — c'est un club de senior practitioners.

Positionnement affirmé

Le CESIN revendique être la voix des RSSI français dans le débat public. Contrairement au CLUSIF plus technique et neutre, le CESIN est parfois plus politique : prises de position publiques sur NIS2, souveraineté numérique, régulation IA, transferts de données, certifications.

Le CESIN a comblé un vide dans l'écosystème français : un lieu où les RSSI peuvent se parler sans la présence d'éditeurs et consultants. Ce cadre fermé libère la parole sur des sujets sensibles (incidents non publics, défaillances de fournisseurs, budgets réels) que personne ne partagerait dans un contexte mélangé.

02 — AdhésionQui peut être membre

Conditions strictes

L'adhésion au CESIN est restrictive par conception. Conditions :

Occuper un poste de responsable sécurité de l'information dans une organisation utilisatrice finale.
Statut salarié ou dirigeant de l'organisation (pas de freelance).
Parrainage par un membre existant généralement requis.
Validation par le bureau du CESIN.

Titres acceptés

RSSI (Responsable de la Sécurité des Systèmes d'Information).
CISO (Chief Information Security Officer).
Directeur cybersécurité.
DSI avec périmètre sécurité significatif.
Responsable sécurité SI / manager sécurité SI.
DPO s'il dirige aussi la sécurité (RGPD + sécurité fusionnés).

Exclus de l'adhésion

Consultants et auditeurs externes : même très seniors, ne peuvent pas adhérer.
Pentesters freelance.
Employés d'ESN et cabinets de conseil : Accenture, Capgemini, Wavestone, Orange Cyberdefense, Atos, etc. → exclus.
Éditeurs et fournisseurs : Crowdstrike, Palo Alto, Microsoft, Cisco, etc. → exclus.
Chercheurs académiques hors utilisateur final.
Étudiants.
Hybrides ambigus : RSSI de cabinet de conseil (travail mixte) → selon arbitrage du bureau.

Cette exclusion est la garantie fondamentale qui permet la liberté de parole au sein du club. Assouplir les critères ferait perdre l'intérêt même du CESIN.

Processus d'adhésion

Identifier un parrain (membre existant que vous connaissez).
Candidature sur cesin.fr avec CV et justification du statut.
Validation du bureau (vérification du profil, de l'organisation, du poste réel).
Acceptation et paiement de la cotisation annuelle.
Accès aux événements et outils.

Cotisation

Cotisation annuelle de l'ordre de 500-1000€/an selon ajustements périodiques. Prise en charge typique :

Par l'employeur — considérée comme formation professionnelle ou réseau.
Parfois par l'individu lui-même si l'employeur refuse.

À comparer au ROI : accès à un réseau national de ~800 pairs, baromètre, conférences, événements. Tarifs susceptibles d'évoluer — consulter cesin.fr.

03 — ActivitésÉvénements et groupes

Événements entre pairs

Rencontres régulières : plusieurs par an à Paris et en province, en format fermé membres.
Convention annuelle : événement phare qui rassemble la majorité des membres.
Déjeuners-débats : formats plus intimes sur sujets spécifiques.
Visioconférences thématiques : enrichies post-COVID.

Caractéristiques des événements

Chatham House Rule généralisée : les propos peuvent être rapportés mais jamais attribués à leur auteur.
Partage d'incidents : les membres partagent des retours d'expérience qu'ils ne publieraient jamais ailleurs.
Benchmarking : comparaison de pratiques, budgets, effectifs entre pairs du même secteur.
Intervenants externes : ministres, DG ANSSI, dirigeants entreprises — souvent en format questions/réponses frank.

Groupes de travail thématiques

Constitués selon les sujets chauds du moment. Exemples récents :

Ransomware : réponses coordonnées, partage de TTPs.
Cloud et souveraineté : choix cloud français vs hyperscalers.
Cyber-assurance : évolutions du marché et pratiques.
Intelligence artificielle en cybersécurité (offensif et défensif).
NIS2 et mise en conformité.
Supply chain et gestion des tiers.
Recrutement et fidélisation.
Relation avec les directions générales (communication du risque cyber).

Annuaire et networking

Accès à l'annuaire des membres (après adhésion).
Facilite les connexions professionnelles et le benchmarking bilatéral.
Nombreux RSSI disent que la valeur principale du CESIN est ce réseau.

Relations avec les pouvoirs publics

Interlocuteur régulier de l'ANSSI, de la CNIL, des ministères.
Participation aux consultations publiques (transposition directives européennes, lois nationales).
Auditions parlementaires (commissions sur la cybersécurité, projets de loi).
Canal d'écoute pour les pouvoirs publics sur les préoccupations des RSSI.

04 — BaromètreLa publication phare

Le baromètre annuel CESIN × OpinionWay

Enquête de référence sur la cybersécurité des entreprises françaises, publiée chaque janvier-février en partenariat avec l'institut OpinionWay.

Méthodologie

Sondage auprès de ~400+ RSSI membres et non-membres du CESIN.
Entreprises de tous secteurs (industrie, services, finance, santé, administration).
Majoritairement ETI et grandes entreprises (>500 salariés).
Questionnaire quantitatif et qualitatif anonymisé.
Analyse OpinionWay + interprétation CESIN.

Thèmes couverts

Fréquence des attaques : % d'entreprises victimes d'au moins une attaque réussie dans l'année.
Types d'attaques : ransomware, phishing, fraude au président, DDoS, supply chain.
Impact perçu : financier, réputationnel, opérationnel.
Budgets : évolution, part du SI, fourchettes selon secteur.
Effectifs : difficultés de recrutement, turnover, salaires.
Maturité des pratiques : adoption MFA, EDR, SOC, Zero Trust, formation des utilisateurs.
Cloud et souveraineté : choix entre hyperscalers et acteurs français.
Évaluation des prestataires : satisfaction vis-à-vis des fournisseurs, critères de choix.
Enjeux à venir : IA, NIS2, CRA, DORA.

Indicateurs récurrents

Chiffres typiques du baromètre (ordres de grandeur, variables d'une année à l'autre) :

~50% des entreprises victimes d'au moins une cyberattaque dans l'année.
Phishing reste la porte d'entrée #1 (~60-80% des incidents initiés par phishing).
Ransomware toujours dans le top des craintes — incidents coûteux quand ils réussissent.
Budgets cyber en croissance quasi-continue année après année.
Pénurie de talents : difficultés majeures de recrutement, turnover élevé.
Maturité en progression : adoption croissante MFA, EDR, etc.

Impact médiatique

Chiffres massivement repris par la presse généraliste (Le Monde, Les Échos, France Info).
Référence dans les études sectorielles.
Utilisé dans les présentations commerciales (éditeurs, cabinets — paradoxalement ceux exclus du club).
Cité dans les débats publics et auditions parlementaires.
Outil de sensibilisation des directions générales.

Le baromètre CESIN est la référence chiffrée la plus citée en France pour caractériser l'état de la cybersécurité des entreprises. Disponible gratuitement sur cesin.fr.

Autres publications

Études ponctuelles sur sujets spécifiques (cloud, IA, ransomware).
Livres blancs co-signés par des groupes de travail.
Positions publiques sur réglementations.

05 — InfluencePrises de position publiques

Le CESIN comme voix collective

À la différence du CLUSIF plus neutre, le CESIN prend des positions publiques fortes au nom de ses membres.

Sujets récents

Souveraineté numérique : prises de position sur les dépendances aux hyperscalers US, valeur de la qualification SecNumCloud, EU Cloud Certification Scheme (EUCS).
Transposition NIS2 : discussions sur le périmètre, les sanctions, les obligations des entités essentielles et importantes.
Cyber Resilience Act (CRA) : impacts sur les éditeurs et acheteurs de logiciels/IoT.
AI Act : articulation avec les enjeux cyber, sécurité des systèmes IA, prompt injection.
Cyber-assurance : marché en tension, évolutions des couvertures, relations avec les assureurs.
Ransomware et paiement : position sur la négociation avec les attaquants.
Recrutement et formation : appels à l'État pour structurer l'offre de formation.
Partage de threat intelligence : articulation public/privé.

Canaux d'influence

Communiqués de presse et tribunes dans la presse.
Auditions parlementaires (commissions Sénat, Assemblée).
Réponses à consultations publiques (ANSSI, ministères, Commission européenne).
Rencontres avec les pouvoirs publics : ANSSI, ministères (Intérieur, Économie, Numérique).
Relations avec homologues étrangers : participation à des réseaux européens de RSSI.

Présidence et figures marquantes

La présidence tourne via des mandats généralement de 2-3 ans.
Figures qui ont marqué le CESIN : Alain Bouillé (président fondateur, longtemps figure publique), Mylène Jarossay, Philippe Loudenot, puis succession périodique.
Les présidents sont des RSSI expérimentés de grandes organisations, accessibles aux médias.

Partenariats

ANSSI : dialogue régulier, co-organisation d'événements.
CLUSIF : coopération et complémentarité.
Hexatrust : échanges utilisateurs-fournisseurs.
Grandes écoles : enseignement et recrutement.
Organisations européennes : échanges avec homologues.

06 — ComparaisonCESIN vs CLUSIF en détail

Tableau comparatif

Année de création : CLUSIF 1984 / CESIN 2012.
Membres : CLUSIF ~1000 / CESIN ~800.
Profils admis : CLUSIF tous / CESIN uniquement RSSI d'utilisateurs.
Public principal : CLUSIF généraliste / CESIN élite des RSSI grands groupes.
Approche : CLUSIF production de contenu collaborative / CESIN partage entre pairs.
Publications : CLUSIF panorama + livres blancs / CESIN baromètre annuel.
Prises de position : CLUSIF modérées / CESIN plus politiques.
Présence régionale : CLUSIF étendue via CLUSIR / CESIN principalement national.
Adhésion : CLUSIF large et payante / CESIN stricte et payante.

Cas d'usage typiques

Grand RSSI d'une entreprise CAC 40 : les deux, CLUSIF pour les référentiels, CESIN pour les pairs.
RSSI ETI : CLUSIF plus large, CESIN si profil senior avec enjeux forts.
RSSI PME : CLUSIF plus accessible, CESIN rare.
Consultant cyber : CLUSIF possible, CESIN impossible.
Éditeur solution : CLUSIF possible, CESIN impossible.
Jeune professionnel : CLUSIF plus ouvert.

Complémentarité

Les deux associations ne se concurrencent pas réellement : elles répondent à des besoins différents, parfois chez la même personne. Un RSSI de grand groupe adhère typiquement au CLUSIF pour rester en contact avec l'écosystème large et contribuer aux publications, et au CESIN pour ses échanges privés entre pairs. L'écosystème cyber français y gagne en richesse et en profondeur.

07 — FAQQuestions fréquentes

Pourquoi le CESIN est-il fermé aux prestataires ?

Par design, pour libérer la parole entre RSSI. En présence de prestataires (consultants, éditeurs), les RSSI ont tendance à limiter ce qu'ils partagent : les détails d'un incident réel, les défaillances d'un fournisseur, les chiffres budgets exacts, les hésitations stratégiques. Un cadre strictement entre utilisateurs finaux permet : partage franc d'incidents non publics, critique directe de fournisseurs sans retenue, benchmarking réel des pratiques et budgets, discussion libre des dilemmes (payer ou non un ransomware, reporter ou non un incident mineur, etc.). C'est la raison d'être du CESIN — assouplir ce critère le transformerait en une autre version du CLUSIF.

Un RSSI peut-il être membre des deux (CLUSIF + CESIN) ?

Oui, c'est même très courant chez les RSSI de grands groupes. Double adhésion typique car les deux associations répondent à des besoins différents : CLUSIF pour la communauté large, la production collaborative de contenu, les groupes de travail thématiques, la visibilité. CESIN pour les échanges fermés entre pairs, le baromètre, l'influence collective, le réseau senior. Le coût total (~1500-2000€/an pour les deux) est modeste vis-à-vis d'un salaire RSSI. Les grandes entreprises prennent souvent en charge les deux adhésions.

Le CESIN a-t-il des équivalents internationaux ?

Oui, plusieurs pays ont des clubs fermés de CISO similaires. Royaume-Uni : ISF (Information Security Forum), très ancien, plus international que strictement britannique. États-Unis : RSA Conference a un track CISO, mais le SIM (Society for Information Management) ou l'Executive Security Action Forum sont des équivalents plus restreints. Allemagne : Bitkom Security Kreis. Europe : European Cyber Security Organisation (ECSO), plus large mais avec dimension CISO. Club EUROCIO : association européenne des DSI (plus large qu'uniquement cyber). Le CESIN a des échanges réguliers avec ces homologues étrangers.

Comment est financé le CESIN ?

Principalement par les cotisations des membres (~500-1000€/an × ~800 membres = 400k€-800k€/an environ). Complété par : des sponsorings d'événements (éditeurs, cabinets qui financent les conventions en échange de visibilité, mais pas d'adhésion). Les partenariats (OpinionWay pour le baromètre, opérateurs de salles). Pas de subventions publiques significatives — volonté d'indépendance. Budget modeste comparé aux grandes ESN mais suffisant pour les activités ciblées.

Le CESIN certifie-t-il des compétences ?

Non, le CESIN n'est pas un organisme de certification. Il ne délivre pas de diplômes ni de qualifications. Pour cela, consulter : (ISC)² (CISSP, CCSP), ISACA (CISM, CISA), EC-Council (CEH), SANS (GIAC), ANSSI (qualifications PASSI, PACS pour cabinets, pas pour individus), écoles françaises avec majeure cyber. Le CESIN apporte un réseau et de la communauté, pas une reconnaissance formelle des compétences.

Y a-t-il une association équivalente pour les PME ?

Les RSSI de PME trouvent le CESIN parfois moins pertinent (sujets orientés grandes entreprises) et peuvent préférer : CLUSIF plus accessible en diversité de profils. CESAP (association plus PME). CCI et Medef locaux qui organisent parfois des événements cyber pour les PME. Cybermalveillance.gouv.fr propose des ressources adaptées aux PME. CyberCercle et autres think tanks. Le profil « RSSI PME » est souvent un DSI qui fait aussi la sécurité, et les associations CNIL-related ou CIGREF peuvent aussi être pertinentes.