Il n’est pas rare d’observer dans les entreprises le lancement de projets informatiques sous le prisme du « production first » : une vision focalisée sur la livraison rapide des fonctionnalités d’un projet, qui tend à reléguer la cybersécurité au second plan.
Ainsi, un empilement de briques technologiques hétérogènes, gérées par des processus qui leur sont propres, crée des silos et entrave l’interopérabilité. L’accumulation de cette dette technique pèse sur la performance globale de l’entreprise et augmente sa surface d’attaque potentielle.
Résoudre ce problème est la mission principale du RSSI (Responsable de la Sécurité des Systèmes d’Information). Son rôle consiste à établir un diagnostic précis de l’existant, évaluer les risques auxquels l’entreprise est exposée, puis piloter dans la durée la transition vers une posture de cybersécurité renforcée, tout en réduisant au maximum les angles morts.
Experts et polyvalents, ces profils cumulent les casquettes et sont tour à tour stratèges de la gouvernance informatique, formateurs pour les collaborateurs et relais opérationnels de proximité.
Malheureusement, recruter un RSSI expérimenté est coûteux : en moyenne 96 543 € fixes annuels, selon une étude récente du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique). C’est aussi un recrutement complexe : la pénurie de talents et le stress lié à la fonction, très impliquée dans la gestion des crises et incidents, provoque un turnover élevé.
Dans ce contexte, faire appel à un RSSI à temps partagé est une bonne solution, plébiscitée par les entreprises.
Des questions se posent cependant : comment confier ce rôle stratégique à un prestataire externe ? Comment sécuriser un tel partenariat ? Quelles sont les clés d’une collaboration pérenne avec un RSSI à temps partagé ?
Dans cet article, les experts Evicys vous présentent les bonnes pratiques à appliquer pour une collaboration réussie.
Quel est le rôle d’un « RSSI à temps partagé » ?
Tout comme son homologue interne, le RSSI à temps partagé définit et pilote la stratégie de cybersécurité de son client. Il anticipe et gère les incidents, sensibilise les collaborateurs, supervise les audits et tests d’intrusion. Il est aussi le mieux placé pour veiller à la conformité aux nombreux référentiels et réglementations qui régissent l’activité de son client (normes ISO 27001, IEC 62443, certifications HDS, qualification SecNumCloud, directive NIS2 ou encore le RGPD).
La principale différence entre ces deux profils réside dans leur coût. Pour les entreprises n’ayant pas l’utilité d’un RSSI à temps plein, le temps partagé est un avantage certain. Il permet d’adapter l’accompagnement aux besoins réels de votre structure.
Un prestataire spécialisé vous apportera une vision externe, enrichie par des expériences dans des secteurs et des contextes divers. Le RSSI à temps partagé est ainsi le plus à même de trouver l’équilibre entre vos enjeux économiques et sécuritaires.
7 bonnes pratiques pour une collaboration réussie avec votre RSSI à temps partagé
#1 Définir en amont le rôle et le périmètre d’action de votre RSSI à temps partagé
Les missions d’un RSSI à temps partagé sont diverses : analyse des risques, rédaction d’une PSSI (Politique de Sécurité du Système d’Information), suivi de la conformité, conception d’un plan de réponse à incident, sensibilisation, reporting au CODIR / COMEX…
Pour ne pas vous perdre et optimiser votre temps d’accompagnement, co-construisez avec votre prestataire une feuille de route claire, en accord avec vos enjeux métiers et vos besoins en matière de cybersécurité. Précisez le périmètre des actions (Gouvernance, Risques ou Conformité) et classez vos objectifs par ordre de priorité.
Cette phase de cadrage permet d’aligner immédiatement les attentes, d’éviter les chevauchements avec vos équipes internes et de mesurer la progression de manière transparente.
#2 Définir les modalités de l’accompagnement
En fonction des besoins listés lors de la première étape, l’accompagnement peut se faire selon trois modèles contractuels.
Les interventions ponctuelles, facturées selon un taux journalier prédéfini (TJM), sont adaptées aux besoins de conseil en amont d’un projet, de remplacement temporaire d’un membre de votre équipe ou d’appui technique ponctuel sur une expertise ciblée.
Le forfait est un mode d’accompagnement plus adapté aux projets structurants ou se déroulant sur un périmètre et selon un calendrier définis ( préparation à un audit, mise en conformité ISO 27001). La facturation aura lieu, selon les conditions définies en amont, après réception des livrables ou à la fin du planning fixé pour la prestation.
Enfin, l’accompagnement par abonnement permet un suivi dans la durée : pilotage de la cybersécurité, maintien de la conformité dans le temps ou gestion du risque. Il vous permet de bâtir pas à pas une posture de cybersécurité tout au long de l’année. Ce modèle s’apparente le plus à celui d’un collaborateur externalisé ayant une présence dans l’entreprise.
Ce dernier format est particulièrement pertinent pour les structures de taille moyenne, qui doivent démontrer un niveau de maturité avancé en matière de cybersécurité malgré un budget limité.
#3 Soigner la phase de lancement de l’accompagnement
Organisez dès le démarrage des réunions rassemblant la direction, l’équipe informatique interne si vous en avez ainsi que les responsables métiers (finance, RH, production). Votre RSSI doit comprendre le contexte business, les enjeux de l’entreprise, sa culture et ses priorités stratégiques pour que la sécurité informatique soit un facilitateur, et non un frein.
#4 Assurer un suivi régulier et ajuster les objectifs dans le temps
Il est essentiel de définir des réunions de suivi avec une périodicité mensuelle ou trimestrielle. En se basant sur les indicateurs et tableaux de bords conçus par le RSSI, la direction doit accéder à une vision d’ensemble des risques identifiés et de l’avancement de la roadmap des différents projets.
#5 Impliquer votre RSSI à temps partagé en amont des projets stratégiques
Il est important d’associer le RSSI dès la phase de conception des projets stratégiques touchant de près ou de loin votre infrastructure informatique : lancement de nouveaux services ou produits, acquisitions, expansions, démarches de certification…
Ce réflexe permet d’intégrer les principes de « security by design », dès la conception des projets et d’éviter des retards, coûts supplémentaires dûs à une implémentation tardive de la cybersécurité.
#6 Donnez-vous les moyens de réussir
Le RSSI pilote la cybersécurité, mais l’entreprise doit allouer les ressources nécessaires à son exécution.
Les outils (EDR, scanner de vulnérabilités) et dispositifs de sécurité (campagnes de phishing, plans de remédiation) ne sont pas inclus dans cet accompagnement.
Sans ressources suffisantes, la feuille de route reste théorique et les actions ne peuvent produire de résultats.
#7 Impliquer la direction et le management de l’entreprise
Incluez le management dans les initiatives de cybersécurité pour faciliter la conduite du changement (nouvelles règles, adoption d’outils).
Considérez le RSSI à temps partagé comme un partenaire stratégique plutôt qu’un auditeur : partagez ouvertement sur les incidents passés et les faiblesses identifiées. Plus il aura la vision d’ensemble, plus il évitera les angles morts dans ses prises de décisions.
Faites le choix du service de RSSI à temps partagé d’Evicys
Même à temps partagé, le RSSI n’est pas un prestataire comme les autres : c’est un véritable pilote stratégique, engagé auprès de ses clients pour construire et maintenir leur posture de cybersécurité.
En étroite collaboration avec vos équipes, il adapte en continu sa feuille de route et aligne ses actions sur vos objectifs métiers et commerciaux. Une approche pérenne qui dépasse la dimension opérationnelle, et fait de la sécurité informatique un levier de performance pour votre entreprise.
Evicys, cabinet de conseil expert en gouvernance de la cybersécurité, accompagne les entreprises d’Auvergne-Rhône-Alpes dans la gestion quotidienne de leurs risques de cybersécurité. Nos RSSI à temps partagé vous accompagnent, que vos besoins soient ponctuels ou que vous soyez engagés dans une démarche continue de cybersécurité.
Contactez-nous dès maintenant pour un premier échange avec nos RSSI.
