RSSI externalisé : pour quelles ETI, à quels coûts cachés faut-il s'attendre ?

Le RSSI externalisé : une réponse à un vrai besoin

Face à la pénurie de profils RSSI senior (salaire constaté entre 100k€ et 150k€ en CDI pour un profil expérimenté), le RSSI externalisé à temps partagé est devenu une option crédible pour les ETI entre 200 et 2000 salariés. Mais le marché est hétérogène, et toutes les offres ne se valent pas.

Quel est le bon périmètre d'un RSSI externalisé ?

Un RSSI externalisé intervient sur la gouvernance de la sécurité, pas sur l'opérationnel technique. Concrètement :

• Rédaction et mise à jour de la Politique de Sécurité des Systèmes d'Information (PSSI)
• Animation du pilotage de la sécurité avec la direction et les équipes IT
• Gestion des incidents cyber — coordination, communication, relation ANSSI si applicable
• Gestion des risques : cartographie, plan de traitement, indicateurs
• Conformité réglementaire : NIS2, CRA, RGPD selon le secteur
• Interlocuteur des tiers : assureurs cyber, auditeurs, clients grands comptes

Ce qu'un RSSI externalisé n'est PAS : un technicien réseau, un expert forensique, un prestataire de SOC. Ces rôles sont complémentaires mais distincts.

Les coûts cachés à anticiper

L'erreur classique est de comparer le coût d'un RSSI externalisé (typiquement entre 2 et 5 jours par mois) uniquement au coût d'un poste interne. En réalité, les coûts cachés s'accumulent :

• Le temps de montée en compétences : un RSSI externalisé a besoin de 2 à 3 mois pour comprendre véritablement votre contexte, votre SI, et vos enjeux métier. Ce temps n'est pas productif mais vous est facturé.
• La dépendance documentaire : si votre RSSI externalisé est le seul à détenir la connaissance de votre cartographie de sécurité et de votre PSSI, la fin de la prestation vous laisse dans une situation fragilisée.
• L'absence de disponibilité en crise : un RSSI à temps partagé est souvent contractuellement limité à ses jours d'intervention habituels. En cas de cyberattaque, sa disponibilité immédiate n'est pas garantie sauf clause spécifique.
• Le manque d'indépendance vis-à-vis des prestataires : certains RSSI externalisés ont des partenariats commerciaux avec des éditeurs ou intégrateurs. Leurs recommandations peuvent être biaisées.

Les critères pour bien choisir

Au-delà du prix, voici les critères qui distinguent un bon RSSI externalisé d'un prestataire décevant :

• Indépendance totale vis-à-vis des éditeurs et intégrateurs
• Expérience sectorielle : un RSSI qui a travaillé dans la santé comprend les enjeux HDS, MDR et NIS2 eSMS ; un RSSI industrie comprend l'OT et le CRA
• Posture décideur : la capacité à parler au COMEX, pas seulement aux équipes techniques
• Livrables transférables : la PSSI, la cartographie des risques et tous les documents produits doivent vous appartenir intégralement
• Clause de disponibilité crise : vérifier contractuellement les engagements en cas d'incident

Quand le RSSI externalisé est-il la bonne solution ?

C'est la bonne solution quand : l'organisation a entre 150 et 1500 personnes, n'a pas besoin d'une présence quotidienne mais a besoin de gouvernance structurée, et fait face à des obligations réglementaires (NIS2, CRA, audit client) qui nécessitent un interlocuteur crédible. Ce n'est pas la bonne solution pour une très grande organisation ayant des besoins opérationnels permanents, ni pour une très petite structure sans réel SI à sécuriser.