Et pourquoi ne pas externaliser la fonction de RSSI ?

Si toutes les entreprises ne peuvent se permettre le recours à un tel spécialiste en interne, il reste la solution de l’externalisation, qui apporte des réponses tant sur le plan de la spécificité des compétences que sur la réduction des coûts.

L’externalisation de la fonction RSSI en PME PMI

Pour des PME ou des TPE, l’externalisation de cette fonction peut se révéler une opportunité intéressante.

Cette externalisation est intéressante alors sur plusieurs aspects :

  • Lissage de la charge de travail, le travail d’un RSSI n’étant pas un temps plein, sauf pendant certaines périodes (sessions de sensibilisation au personnel par exemple).
  • Possibilité de disposer des compétences d’un professionnel expert dans son domaine.
  • De plus, le recours à cet intervenant apportera à l’entreprise une crédibilité supplémentaire en matière de sécurité informatique, vis-à-vis des clients ou des partenaires.

Les objections à l’externalisation du RSSI

Il peut exister des réticences à confier une telle mission à une personne externe à la société, notamment :

  • Cet intervenant aura connaissance des faiblesses de l’entreprise et donc il existe un risque de fuite d’informations sensibles.
  • A contrario, la crédibilité et la compétence de cet intervenant sur le marché de la sécurité est en jeu, et quand il évoque une faille, cela peut être pour un de ses autres clients (ce qui n’est pas le cas d’un RSSI maison).
  • Le fait que ce RSSI ne soit pas présent tous les jours sur site :
    • en phase de démarrage de projet le besoin est faible (support méthodologique, …),
    • en phase de maturité cela peut s’avérer être un vrai problème (réaction à une situation de crise) et cela milite pour que cette mission devienne à terme une mission interne.
  • Cela ne favorise pas la montée en compétence d’un RSSI interne : les compétences nécessaires sont fort différentes entre période de démarrage de projet et le rythme de croisière, il faut trouver le bon moment où le Client décide, soit de faire monter en compétence quelqu’un interne, soit d’une embauche.

Quelles qualités attendre d’un RSSI ?

Au début d’une démarche sécurité, un RSSI devra avoir plusieurs compétences et qualités souvent antinomiques :

  • De ce prestataire, on attendra qu’il comprenne les enjeux et les processus de l’organisation, et qu’il sache être un meneur de projets pour pouvoir travailler avec efficacité à la fois avec les informaticiens de l’entreprise et les collaborateurs lambda.
  • Il doit avoir une culture technologique (et la maintenir à jour) sur l’ensembles des technologies de l’information (architecture, réseaux, progiciels, développement,  ..), mais également disposer d’une culture sur les aspects juridiques, normalisation, méthodologiques.
  • Il est à même de gérer les risques et les incidents, mais aussi et surtout d’accompagner les collaborateurs et de les sensibiliser, dans le quotidien de l’entreprise comme dans la mise en place de nouveaux projets.
  • Il sait convaincre la Direction des enjeux et de l’importance de mener une telle démarche
  • Ensuite, quand le projet sécurité sera bien cadré, sa mission intégrera une dimension de mise en œuvre des mesures de sécurité, de formation et de contrôle.

L’externalisation de la sécurité

Le RSSI n’est pas la seule fonction de sécurité pouvant être externalisée. Beaucoup d’entreprises externalisent également la fonction de CIL (Correspondant Informatique et Libertés) ou DPO (Data Protection Officer). 
De la même manière, de plus en plus de fonctions sécurité sont externalisées : externalisation d’un PRA ou simplement des sauvegardes, actuellement facilités par le développement du Cloud.