CIBNET Logo
CIBNET Logo
Nous contacter

Comment Choisir son RSSI Externalisé ? 10 Critères Essentiels

Le guide complet pour sélectionner le bon profil RSSI et éviter les erreurs de recrutement

01 février 2026 10 min de lecture RSSI

Choisir le bon RSSI externalisé est une décision stratégique qui impactera durablement votre sécurité informatique et votre conformité réglementaire. Avec une offre pléthorique sur le marché et des profils très hétérogènes, comment distinguer un RSSI compétent d'un profil sur-vendu ? Voici les 10 critères essentiels pour faire le bon choix.

Critère 1 : Les Certifications et Qualifications

Les Certifications Incontournables

CISSP (Certified Information Systems Security Professional)

Le "gold standard" mondial. Requis 5 ans d'expérience, examen difficile. Garantit une vision 360° de la cybersécurité.

Organisme : (ISC)²

CISM (Certified Information Security Manager)

Orienté management et gouvernance de la sécurité. Idéal pour RSSI axé stratégie et pilotage.

Organisme : ISACA

ISO 27001 Lead Auditor/Implementer

Essentiel si vous visez la certification ISO 27001. Prouve la maîtrise du référentiel et de l'audit.

Organismes : PECB, BSI, LRQA

EBIOS Risk Manager

Méthode française d'analyse de risques, reconnue ANSSI. Indispensable pour secteurs sensibles et OIV.

Organisme : ANSSI/Club EBIOS

Certifications Complémentaires Valorisantes

  • CISA (Certified Information Systems Auditor) : Pour audits techniques approfondis
  • CEH (Certified Ethical Hacker) : Compétences en tests d'intrusion
  • CRISC (Certified in Risk and Information Systems Control) : Gestion des risques IT
  • DPO (Data Protection Officer) : Si RSSI cumule rôle RGPD

Attention aux Faux Profils

Certifications auto-proclamées, formations en ligne de quelques heures sans examen... Exigez les numéros de certification vérifiables auprès des organismes officiels (ISC², ISACA, PECB).

Critère 2 : L'Expérience Sectorielle Pertinente

Tous les secteurs n'ont pas les mêmes enjeux cyber et réglementaires. Un RSSI ayant œuvré dans votre domaine comprendra immédiatement vos contraintes métier.

Expérience Requise par Secteur

Secteur Enjeux Spécifiques Expérience Valorisante
Santé Données patients, HDS, RGPD renforcé Certification HDS, connaissance PGSSI-S
Finance/Banque LCB-FT, ACPR, DORA, fraude Régulation ACPR/AMF, PCI-DSS
Industrie/OIV SCADA, LPM, NIS2, espionnage industriel Habilitation Secret Défense, sécurité OT
E-commerce/SaaS PCI-DSS, DDoS, disponibilité 24/7 DevSecOps, cloud native security
Administration RGS, données citoyens, transparence Référentiel RGS, marchés publics

Critère 3 : La Méthodologie et les Référentiels Maîtrisés

Un bon RSSI ne travaille pas "au feeling" mais s'appuie sur des méthodologies éprouvées. Vérifiez qu'il maîtrise :

ISO 27001/27002

Standard international de SMSI (Système de Management de la Sécurité de l'Information). 114 mesures de sécurité.

EBIOS Risk Manager

Méthode française d'analyse de risques (ANSSI). Cartographie menaces/vulnérabilités, scénarios d'attaque.

NIST Cybersecurity Framework

Référentiel américain en 5 fonctions : Identifier, Protéger, Détecter, Répondre, Récupérer.

CIS Controls

20 contrôles de sécurité prioritaires, très opérationnels. Idéal pour PME démarrant en cyber.

Critère 4 : Les Compétences Techniques Avérées

Au-delà du pilotage stratégique, un RSSI doit avoir une solide base technique pour comprendre les vulnérabilités et challenger les prestataires.

Socle Technique Minimum

  • Architecture réseau et systèmes : Firewall, segmentation VLAN, DMZ, VPN, Active Directory
  • Sécurité applicative : OWASP Top 10, injection SQL, XSS, authentification/autorisation
  • Cryptographie : TLS/SSL, certificats, chiffrement données, PKI
  • Sécurité cloud : AWS/Azure/GCP security best practices, IAM, encryption
  • Outils cyber : EDR, SIEM, IDS/IPS, scanners de vulnérabilités, SOAR
  • Gestion d'incidents : Forensic de base, analyse malware, réponse à incident

Comment Tester les Compétences Techniques ?

Posez des questions concrètes lors de l'entretien :

  • "Comment sécuriseriez-vous notre infrastructure avec 3 sites distants et du télétravail ?"
  • "Nous avons subi une tentative de phishing hier, quelle serait votre démarche d'investigation ?"
  • "Quels outils EDR/XDR recommandez-vous pour une PME de 100 postes et pourquoi ?"
  • "Comment auditez-vous la sécurité d'une application web avant mise en production ?"

Un bon RSSI répondra de manière structurée, pédagogique, en adaptant son discours technique à votre niveau.

Critère 5 : Les Soft Skills et Qualités Humaines

Un RSSI techniquement brillant mais incapable de communiquer ou de fédérer est un RSSI inefficace. Les soft skills sont déterminants.

Pédagogie

Vulgariser les enjeux cyber pour la direction et les métiers. Éviter le jargon technique.

Leadership

Fédérer DSI, métiers, direction autour de la sécurité. Obtenir buy-in et budgets.

Pragmatisme

Équilibrer sécurité et opérationnalité. Pas de "sécurité pour la sécurité" bloquant le business.

Test des Soft Skills en Entretien

  • Pédagogie : "Expliquez-moi ce qu'est un ransomware comme si j'avais 10 ans"
  • Diplomatie : "Comment gérez-vous un directeur métier qui trouve vos règles de sécurité trop contraignantes ?"
  • Gestion de crise : "Décrivez-moi votre pire incident cyber et comment vous l'avez géré"
  • Écoute : Observez s'il vous laisse parler, reformule vos besoins, pose des questions pertinentes

Critère 6 : Les Références et Cas Clients Vérifiables

Ne vous contentez pas d'un CV et de belles promesses. Exigez des références clients contactables.

Checklist Vérification Références

  • Demander 3 références clients récentes (moins de 2 ans)
  • Vérifier que les secteurs sont proches du vôtre
  • Contacter directement les références (pas juste un email pré-rédigé)
  • Questions clés : "Referiez-vous appel à lui ? Quels sont ses points forts/faibles ? A-t-il tenu ses engagements ?"
  • Vérifier les certifications sur les sites officiels (ISC², ISACA, PECB)
  • LinkedIn : ancienneté des recommandations, cohérence du parcours

Critère 7 : La Disponibilité et l'Organisation

Un RSSI temps partagé jongle entre plusieurs clients. Assurez-vous qu'il a la capacité d'absorber votre mission.

Red Flags Disponibilité

  • Il intervient chez 6+ clients simultanément (surbooking évident)
  • Il met plus de 48h à répondre à vos emails lors de la phase commerciale
  • Il refuse de s'engager sur une clause d'astreinte en cas de crise
  • Il ne peut pas vous proposer de créneau régulier fixe (jour/horaire variable chaque semaine)
  • Il n'a pas d'outil de gestion de projet/ticketing pour suivre ses interventions

À exiger contractuellement :

  • Jours d'intervention fixes et récurrents (ex : tous les mardis et jeudis)
  • Délai de réponse garanti : < 4h en jour ouvré, < 2h pour urgence critique
  • Astreinte téléphonique en cas de cyberattaque majeure (même hors jours contractuels)
  • Reporting mensuel systématique (activités, avancement roadmap, KPI)

Critère 8 : La Connaissance Réglementaire et Normative

Votre RSSI doit être à jour sur la jungle réglementaire cyber, en constante évolution.

Connaissances Réglementaires Attendues (France/UE, 2026)

  • NIS2 : Directive européenne (oct. 2024), entités essentielles et importantes, obligation de déclaration incidents < 24h
  • RGPD : Lien RSSI-DPO, PIA (Privacy Impact Assessment), registre des traitements, notification CNIL
  • ISO 27001 : Version 2022, 93 mesures obligatoires, processus de certification, audits de surveillance
  • LPM (Loi de Programmation Militaire) : Pour OIV (Opérateurs d'Importance Vitale), homologations ANSSI
  • DORA (Digital Operational Resilience Act) : Secteur financier, tests de résilience, gestion risques tiers
  • eIDAS 2.0 : Identité numérique européenne, certificats qualifiés
  • Cyber Resilience Act : Sécurité des produits connectés (IoT), responsabilité fabricants

Question test : "Êtes-vous concerné par NIS2 ? Si oui, quelles sont les 3 premières actions à mener pour vous mettre en conformité ?"

Critère 9 : L'Approche Méthodologique et les Livrables

Demandez au candidat RSSI de vous présenter sa méthodologie d'intervention et ses livrables types.

Livrables Attendus (Minimum)

Phase Délai Livrables
Audit Initial M1 Rapport d'audit, cartographie SI, analyse risques (méthode EBIOS/ISO), plan d'action priorisé
Stratégie M2-M3 PSSI (Politique de Sécurité), roadmap 12-24 mois, budget prévisionnel, charte utilisateur
Opérationnel Mensuel Reporting activités, dashboard KPI, suivi incidents, avancement projets
Annuel M12 Bilan annuel sécurité, mise à jour analyse risques, revue PSSI, recommandations N+1

Critère 10 : Le Rapport Qualité/Prix

Le tarif ne doit être ni le seul critère, ni négligé. Un RSSI à 600€/jour peut vous coûter plus cher qu'un profil à 1 200€/jour si le travail est mal fait.

Grille d'Évaluation Qualité/Prix

Profil TJM Marché Rapport Q/P Pour Qui ?
RSSI Junior (< 5 ans) 600-800€ Moyen TPE, besoins basiques
RSSI Confirmé (5-10 ans) 900-1 200€ Optimal PME 50-200 sal
RSSI Senior (10-20 ans) 1 200-1 500€ Excellent ETI, secteurs réglementés
RSSI Expert (20+ ans) 1 500-2 000€ Premium Projets complexes, OIV

Alerte Prix Anormalement Bas

Un TJM < 600€ pour un RSSI "expérimenté" doit vous alerter :

  • Profil sur-vendu (ex : admin sys qui se dit RSSI sans certifications)
  • RSSI étranger avec barrière de la langue
  • Freelance débutant sans assurance RC Pro adaptée
  • Sous-traitance non déclarée à un junior

Checklist Finale : Grille de Notation du Candidat RSSI

Scorecard d'Évaluation (Total /100 points)

Certifications pertinentes (CISSP, CISM, ISO 27001) /15 pts
Expérience secteur (années + références clients) /15 pts
Compétences techniques (test questions concrètes) /15 pts
Soft skills (pédagogie, leadership, pragmatisme) /10 pts
Méthodologie et livrables présentés /10 pts
Connaissance réglementaire (NIS2, RGPD, ISO) /10 pts
Disponibilité et organisation /10 pts
Références clients vérifiées /10 pts
Rapport qualité/prix /5 pts
TOTAL /100 pts

Interprétation :

  • > 80 points : Excellent candidat, foncez
  • 65-80 points : Bon profil, à creuser sur points faibles
  • 50-65 points : Profil moyen, cherchez mieux
  • < 50 points : Inadapté à vos besoins

Conclusion : Prenez le Temps de Bien Choisir

Recruter un RSSI externalisé est un investissement stratégique pour les 2-3 années à venir. Précipiter le choix pour "cocher la case conformité" est une erreur coûteuse. Prenez le temps de rencontrer 3 à 4 profils, vérifiez leurs références, testez leurs compétences techniques et leurs soft skills.

Un bon RSSI se reconnaît à sa capacité à vulgariser les enjeux cyber, à proposer des solutions pragmatiques adaptées à votre budget, et à créer une relation de confiance avec votre direction. Si vous avez le moindre doute sur l'un des 10 critères ci-dessus, continuez vos recherches. Votre sécurité en dépend.

Besoin d'aide pour sélectionner votre RSSI externalisé ?

CIBNET vous propose des RSSI certifiés (CISSP, CISM, ISO 27001), expérimentés et multi-sectoriels. Rencontrons-nous pour un audit gratuit.

Demander un premier rendez-vous

Nous respectons votre vie privée

Nous utilisons des cookies pour améliorer votre expérience sur notre site, personnaliser le contenu et les publicités, fournir des fonctionnalités de médias sociaux et analyser notre trafic. Cliquez sur "Accepter tous" pour autoriser l'utilisation de tous les cookies ou sur "Personnaliser" pour choisir lesquels vous souhaitez autoriser. En savoir plus.