RSSI externe : quels critères de choix pour les PME
En cours de transposition, la directive NIS 2 impose à plus de 15 000 petites et moyennes entreprises (PME) de rehausser leur niveau de cybersécurité. Leurs fournisseurs aussi doivent respecter de nouvelles exigences de sécurité pour ne pas être des vecteurs de cybermenaces. Au total, ce sont donc des dizaines de milliers d'organisations qui doivent conformer leur système d'information à des règles qu'elles ne maîtrisent pas toujours : élaborer et documenter une politique de sécurité, évaluer et détecter régulièrement les risques cyber, renforcer le contrôle des accès, la sécurisation des réseaux et des systèmes, tester les sauvegardes sécurisées, former le personnel, etc. Pour appliquer toutes ces nouvelles mesures de sécurité, elles doivent recourir à un responsable de la sécurité des systèmes d'information (RSSI).
Cependant, rares sont les PME à disposer du budget nécessaire pour embaucher un RSSI. Et pour cause, selon une étude du Club des experts de la sécurité des systèmes d'information de 2024, le salaire moyen de celui-ci est de 96 543 €. En outre, "une entreprise de 100 personnes a rarement besoin d'un RSSI à temps plein", estime le directeur des systèmes d'information (DSI) d'une PME qui recourt à un RSSI externe. Préférant rester anonyme, il a trouvé ce RSSI grâce à une entreprise de conseil en cybersécurité. Aussi appelé RSSI de transition, le RSSI externe peut être freelance ou salarié d'une société qui le met à la disposition d'autres entreprises. Toutefois, "il y a plus de RSSI de transition salariés que freelance", affirme Jean-Philippe Gaulier, cofondateur de Cyberzen, une entreprise spécialisée en la matière.
RSSI externe salarié ou freelance ?
Les RSSI de transition freelance se trouvent essentiellement sur des plateformes spécialisées en management de transition comme Adequancy, Pocadres International ou Infortive. Mais "généralement ils préfèrent passer par leur propre réseau car sur les plateformes les tarifs sont tirés vers le bas", précise Jean-Philippe Gaulier. De leur côté, les RSSI externes salariés sont mis à disposition le plus souvent par des sociétés de conseil en cybersécurité comme Cyberzen ou Almond via des contrats de prestation de services.
Pour les PME, le RSSI externe salarié d'une telle société présente l'avantage de disposer des ressources nécessaires pour mener à bien ses missions. "Nous outillons les prestations de nos RSSI externes : ils peuvent utiliser nos logiciels élaborés en interne, nos outils de gouvernance, risque et conformité ainsi que des outils d'audit des tiers pour maitriser la sécurité de la supply chain et des partenaires de l'entreprise cliente", explique François Ehly, manager et RSSI externe chez Almond. En outre, "contrairement au freelance, le RSSI de transition salarié bénéficie des avis et conseils des consultants de l'entreprise qui l'emploient. Cela améliore son savoir, ses compétences et sa réactivité", estime le DSI anonyme. Toutefois "les RSSI de transition freelance sont souvent insérés dans une galaxie de contacts qu'ils peuvent mobiliser pour obtenir des conseils", tempère Jean-Philippe Gaulier.
Junior ou senior ?
Une fois le type de RSSI externe choisi, reste une question cruciale : son niveau d'expérience et ses qualités nécessaires. Le RSSI de transition doit faire preuve d'une bonne organisation et d'une "grande agilité intellectuelle", estime François Ehly. Et pour cause, "s'il n'intervient que pour des demi-journées il peut avoir jusqu'à 40 clients par mois", précise Jean-Philippe Gaulier. Or chaque client a une maturité cyber et des problématiques de sécurité qui lui sont propres : "Certains préfèrent travailler avec Google Workspace ou Microsoft 365, d'autres privilégient le système d'exploitation Mac ou des solutions internes, certains sont informaticiens d'autres pas du tout, etc. Il faut donc faire le grand écart en permanence tout en réussissant à travailler avec tout le monde", ajoute le cofondateur de Cyberzen.
Malgré ces contraintes, il doit "s'adapter à l'environnement de chaque entreprise, comprendre rapidement ses besoins et son fonctionnement, dialoguer avec la direction", observe-t-il. C'est pourquoi, tout comme François Ehly, il estime que le profil senior est préférable au profil junior. Toutefois, "la valeur n'attend pas nécessairement le nombre d'années" rappelle le RSSI externe chez Almond. En effet, au-delà de l'expérience, la nature du profil du RSSI entre aussi en compte : "Les risques et les besoins ne sont pas les mêmes en fonction du domaine d'activité et de la culture d'entreprise. Les profils techniques sont plus adaptés aux organisations industrielles tandis que d'autres sont plus compatibles avec les entités financières en raison de leurs connaissances en conformité. Dans nos équipes nous avons des ingénieurs, d'autres qui viennent d'écoles de commerce et des instituts d'études politiques et qui sont tout aussi efficaces".
Pour combien de jours et à quel prix ?
Enfin, les PME doivent se renseigner sur les pratiques du marché des RSSI externes pour choisir le plus adapté à leurs contraintes organisationnelles et économiques. Pour elles, la mission de ces RSSI doit être mise en œuvre avec peu d'interventions espacées sur une plus ou moins longue période. "Si la PME veut vraiment être protégée, le RSSI externe doit y être présent deux à trois jours par mois. Et une journée par mois peut suffire si elle n'est pas concernée par NIS 2", estime notre DSI anonyme. Jean-Philippe Gaulier confirme "qu'une journée par mois suffit". Côté prix, il faut compter environ 1 000 euros la journée. Toutefois, les tarifs peuvent être plus élevés. En effet, une PME de 150 salariés qui souhaite se conformer totalement à NIS 2 tout en étant peu mature en cybersécurité devra mobiliser un RSSI de transition "de 30 à 50 jours pour 100 000 à 150 000 euros", estime le cofondateur de Cyberzen.