Assurer la sécurité et faire des économies avec un RSSI à temps partagé

Afin de ne plus négliger leurs risques, les PME peuvent améliorer la gestion de la sécurité grâce à un RSSI externe, mobilisable selon les besoins. Une prestation qui complète les services externalisés de sécurité existants.

Nul besoin d'être un grand compte pour présenter un fort degré de dépendance à l'informatique. Le système d'information s'avère en effet souvent tout aussi critique, sinon plus, dans l'activité des PME. En assurer la protection et la continuité est donc nécessaire pour ces entreprises, d'autant que les conséquences financières imputables à des pannes informatiques ou à la contamination par un virus prélèvent alors un lourd tribut.

Les TPE-PME se sont progressivement éveillées à la gestion des risques et à leur couverture. Toutefois, demeure toujours la question des moyens financiers. Mettre en place de la sécurité, sur un plan technique et organisationnel, puis en assurer le suivi, a un prix, parfois rédhibitoire. Par conséquent, la gestion de la sécurité est généralement assurée directement par le DSI ou déléguée par ce dernier à un ingénieur sécurité, dont le domaine d'intervention reste alors la technique, c'est-à-dire l'ingénierie (administration des pare-feu, etc.).

La prise en compte de la sécurité n'est donc pas optimale dans nombre de PME. Et si la fonction de RSSI s'est progressivement imposée chez les grands comptes, elle demeure rare, ou partagée, au sein des PME. Ainsi dans l'édition 2008 du rapport du Clusif consacré aux menaces informatiques et pratiques de sécurité en France, seules 31% des entreprises de 200 à 499 salariés disposeraient d'un RSSI (39% pour les PME de 500 à 999 personnes).

Mais les compétences d'un RSSI ont un prix. Les PME peuvent cependant faire le choix de l'externalisation, c'est-à-dire recourir aux services d'un RSSI à temps partagé, et fourni par un prestataire. Tout comme Deuzzi, Plenium ou PR2I offrent des prestations de DSI à temps partiel, Intrinsec notamment propose un RSSI extérieur, présent de manière flexible selon les besoins de l'entreprise.

Un RSSI facturé sous forme d'un abonnement mensuel

"Ce que nous proposons, c'est de mettre à disposition une personne qui va accompagner l'entreprise dans la durée. Le contrat est de plus totalement flexible puisque l'entreprise décide elle-même des jours de présence mensuelle. Elle peut par exemple solliciter plus le RSSI au début d'une mission, comme dans le cadre d'un projet de PCA, puis plusieurs mois ensuite", précise le directeur commercial d'Intrinsec, Francky Clément.

"La sécurité est vaste et il n'est pas possible d'avoir des compétences dans tous les domaines. Grâce à une prestation de RSSI partagée, nous pouvons lui fournir un expert spécialisé dans un domaine précis sur lequel elle voudrait se concentrer", ajoute-t-il également.

Pour répondre aux soucis budgétaires des PME, les jours de présence de ce RSSII peuvent aussi être comptabilisés dans le budget formation de l'entreprise. De plus le mode de paiement est lissé dans le temps sous forme de mensualités linéaires, un système appliqué dans les services en ASP et qui a en partie contribué à leur succès.

D'ailleurs, Intrinsec propose également, sous forme d'une prestation complémentaire un scan régulier de vulnérabilités assuré grâce au service en mode SaaS de Qualys. L'analyse de ces rapports de vulnérabilités et la définition du plan d'action seront alors pris en charge par le RSSI, qui intervient à la fois dans la technique et les aspects organisationnels de la sécurité.

Les entreprises cœur de cible sont généralement des PME de 100 à 500 personnes

Les entreprises cœur de cible sont généralement des PME de 100 à 500 personnes qui optent pour une présence du RSSI en moyenne de 3 à 5 jours par mois. Mais les entreprises disposant déjà d'un RSSI peuvent également être intéressées par une prestation de type RSSI à temps partagé, le consultant remplissant alors le rôle soit de suppléant, soit de renfort sur des missions complexes.

Cet adjoint pourra en effet être un spécialiste de certains domaines de la sécurité et ainsi apporter, en toute souplesse, son expertise au RSSI déjà en poste. Il convient toutefois d'arbitrer entre les tarifs d'un consultant ordinaire et ceux des journées de ces responsables sécurité externes.  

Outre cette externalisation fonctionnelle, les PME, mais aussi les TPE, pourront de façon complémentaire, ou indépendante, opter pour des prestations d'infogérance des aspects d'ingénierie sécurité. Hébergeurs, fournisseurs de services en ASP, MSSP (Managed Security Services Provider) ou opérateurs fournissent des services de cette nature. Risc Group commercialise par exemple, en abonnement mensuel, une offre comprenant protection et sauvegarde des données, antivirus, firewall, antispam, et messagerie.