En vue des nouvelles obligations de NIS2 en matière de cybersécurité, quand on est une TPE, une PME ou une ETI, eu que l’on n’a ni les moyens ni les besoins pour s’offrir un RSSI à temps plein, la solution est de se tourner vers un responsable externe et à temps partagé. Mais sur un marché ultra concurrentiel, difficile de tomber sur la perle rare. Voici quelques conseils pour faire le bon choix.

Depuis deux ans, la mairie de Grigny, commune de 30 000 habitants, dans l’Essonne, a recours, deux jours par mois, à un RSSI externalisé. « Il participe à toutes les cellules de cybersécurité et est sollicité immédiatement en cas d’incident, ce qui est une vraie richesse, se réjouit Sylvain Pasquet, directeur de l’Organisation et du Numérique à la mairie. Je sais que le RSSI est formé en permanence par son employeur tout au long de l’année. C’est lui qui prend en charge les formations et les certifications, ce qui représente une vraie plus-value pour nous. » Car une fois transposés en droit français – ce qui sera vraisemblablement le cas cet automne – les critères de NIS2 en matière de cybersécurité s’imposeront à 15 000 nouvelles organisations et entreprises, en particulier des PME, TPE ou ETI et à tous leurs sous-traitants et fournisseurs pas toujours préparés à ce big bang. De par leur taille, ces entités, qui sont aussi des mairies ou des hôpitaux, particulièrement sensibles aux cyberattaques, n’ont évidemment pas le budget pour embaucher un RSSI à 100 000 euros de salaire moyen par an ! 

Attention aux démarches opportunistes !

C’est donc vers un manager externe, partagé ou de transition, que la plupart se dirigent. Mais alors, quels critères privilégier pour trouver l’expert le plus adapté ? « En premier lieu, il faut s’assurer du background de la personne, conseille Alessandro Fiorentino, product owner de la plateforme Adequacy, qui accompagne ses clients vers la mise en conformité avec NIS2. Ensuite, il faut se demander s’il s’agit d’une société, sans interlocuteur privilégié car c’est une équipe. Dans ce cas, le risque, c’est le turn-over. Il faut aussi s’assurer du sérieux du prestataire, de son ancienneté dans l’externalisation de la SSI et de l’absence de démarche opportuniste. Si c’est un indépendant, un vrai historique sur le sujet et un parcours rassurant peuvent donner confiance. » Le revers de la médaille est qu’un freelance ne fournira pas toute la panoplie qu’une société peut proposer, avec des offres packagées ainsi que des prestations de conseils et de recommandations. Le choix d’un RSSI salarié donne davantage de leviers par exemple en cas d’insatisfaction pour remplacer le profil s’il ne fait l’affaire. « Après, il faut savoir jusqu’où on veut aller, prévient M. Fiorentino. car les facultés du RSSI seront limitées au budget alloué à sa prestation. » Qu’il soit à distance ou dans l’entreprise, son objectif est de mettre en place dans la société un SMSI, un système de management de la sécurité de l’information, pour assurer une démarche d’amélioration continue. 

Le portfolio du graphiste

A la mairie de Grigny, le choix du partenaire s’est vite imposé. « Il était recommandé par l’ANSSI sur les secteurs critiques et certifié SecNumCloud , se souvient M. Pasquet. Le coût annuel est considérable (environ 35 000 euros par an, le tiers du salaire d’un RSSI à temps plein, NDLR), mais la compétence est au rendez-vous, il sera assurément de bon conseil dès la première heure, c’est de l’expertise immédiate. » « Il faut aussi s’informer des certifications que possède la personne », insiste Giuliano Ippoliti, directeur de la cybersécurité chez Cloud Temple, fournisseur français de services cloud qui compte parmi ses clients la mairie de Grigny. Le prestataire considère ainsi que la plus importante est la norme internationale ISO 27001 Lead Implementer qui applique le principe de l’amélioration continue du monde de la qualité à la sécurité informatique. « L’important, c’est la démonstration de l’expérience, les retours des anciens ou actuels clients sur la capacité, la connaissance et les limites aussi de la prestation, renchérit Jean-Philippe Gaulier, PDG de Cyberzen, prestataire de service en matière de cybersécurité à destination des TPE et des PME. C’est un peu comme le portfolio d’un graphiste. Le RSSI devra également démontrer sa capacité à s’insérer dans l’organisation. Il n’est pas là pour la disrupter mais la protéger, l’accompagner et la faire grandir. »

A la fois gendarme et accompagnant

Le choix pourrait donc aller naturellement vers un manager senior mais l’énergie et l’agilité avec les nouvelles technologies d’un jeune ingénieur sécurité peut aussi être un atout. Alors, pourquoi pas un binôme ? « Le senior intervient sur tout ce qui est pilotage, gouvernance et gestion des risques, détaille M. Ippoliti. Le junior, lui, est le bras armé, il peut débloquer des sujets techniques, implémenter des solutions de sécurité ou faire du développement. » « Le RSSI, c’est à la fois l’accompagnant et le gendarme au sein de la structure, résume Jean-Philippe Gaulier, lui-même ancien RSSI dans des groupes internationaux comme Orange. L’idée, c’est qu’il ait à la fois la séniorité et la gouvernance de quelqu’un qui vient apporter cette vision comme s’il était dans sa propre société. Mais pour que cela fonctionne, il faut qu’il ait accès aux ressources de son client en toute transparence, ce qui n’est pas toujours le cas. » A Grigny, Sylvain Pasquet n’a pas tardé, dès la première semaine après son arrivée à la mairie, à initier la démarche de mise en place d’un contrat de RSSI externalisé : « La question, pour une collectivité comme la nôtre, ou n’importe quelle PME, ce n’est pas si on va se faire attaquer, mais quand ? Il y a deux options dans ce cas : ou vous êtes le plus préparé possible, ou cela va vous coûter le plus cher possible. Il en va de la continuité du service public. »

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.