Recruter un RSSI est un investissement stratégique de 50 000€ à 150 000€ par an. Pourtant, 40% des recrutements RSSI échouent la première année (départ, inadéquation, sous-performance). Quelles sont les erreurs les plus fréquentes et surtout, comment les éviter ? Retour d'expérience terrain.
Erreur n°1 : Choisir Uniquement sur le Prix
Le Piège
Face à 3 propositions (600€/j, 900€/j, 1 200€/j), la tentation est grande de choisir le moins cher. "Après tout, tous ont l'air qualifiés sur le papier, autant économiser 40%."
Résultat : Un RSSI junior sur-vendu, incapable de gérer une certification ISO 27001 ou un incident ransomware. Vous perdez 6 mois et devez recommencer.
Pourquoi C'est Grave
- Coût caché de l'incompétence : Un RSSI à 600€/j qui met 12 mois pour une mission de 6 mois coûte plus cher qu'un senior à 1 200€/j livrant en 6 mois
- Risque cyber non maîtrisé : Pendant que votre RSSI "apprend sur le tas", votre SI reste vulnérable
- Perte de crédibilité : Vis-à-vis investisseurs, clients, COMEX ("On a un RSSI mais rien ne bouge")
Comment l'Éviter
- Évaluez le rapport valeur/prix : Un RSSI à 1 000€/j qui livre un projet ISO 27001 en 9 mois (90k€) vaut mieux qu'un RSSI à 700€/j qui met 15 mois sans y arriver (105k€ + 6 mois perdus)
- Vérifiez les références sur projets similaires : "Avez-vous déjà certifié une PME ISO 27001 ? En combien de temps ?"
- Testez les compétences : Cas pratique en entretien, questions techniques précises
- Budget = 20% flexibilité : Si budget 80k€, rencontrez profils 65-95k€, ne vous limitez pas au moins cher
Erreur n°2 : Ne Pas Vérifier les Certifications
Le Piège
Le CV affiche "CISSP, CISM, ISO 27001 Lead Auditor". Vous prenez pour argent comptant sans vérifier. Or, certifications périmées, fausses ou formations courtes (1 jour) ne valent rien.
Résultat : Lors de l'audit ISO 27001, l'auditeur externe détecte que votre "RSSI certifié" ne maîtrise pas les fondamentaux. Audit échoué, 40k€ et 9 mois perdus.
Comment l'Éviter
Checklist Vérification Certifications
- Demandez les numéros de certification : Chaque certif a un ID unique vérifiable
- Vérifiez sur les sites officiels :
- CISSP : vérification sur isc2.org/MemberVerification
- CISM : vérification sur isaca.org/credentialing/member-directory
- ISO 27001 Lead Auditor : demander copie certificat + vérifier organisme (PECB, BSI, LRQA)
- Vérifiez la date de validité : CISSP = renouvellement tous les 3 ans (CPE), idem CISM
- Méfiez-vous des "formations" de 1-2 jours : ISO 27001 Foundation (2j) ≠ Lead Auditor (5j + examen difficile)
- LinkedIn pas suffisant : N'importe qui peut ajouter "CISSP" sur son profil, exiger preuves
Erreur n°3 : Périmètre de Mission Flou
Le Piège
Le contrat indique "Mission RSSI temps partagé 2j/semaine" sans préciser les livrables, objectifs, périmètre. Résultat : désalignement total après 3 mois.
Vous pensiez : "Il va gérer NIS2, ISO 27001, incidents, sensibilisation, audits fournisseurs, PCA/PRA..."
Lui pense : "2j/sem = gouvernance stratégique uniquement, l'opérationnel c'est pour la DSI"
Pourquoi C'est Grave
- Frustration mutuelle et perte de temps en réunions de recadrage
- Objectifs non atteints car mal définis
- Difficile de mesurer la performance ("Est-il efficace ? Difficile à dire...")
Comment l'Éviter
Rédiger un Cahier des Charges Précis
Incluez OBLIGATOIREMENT :
- Objectifs prioritaires : Ex : "Conformité NIS2 sous 12 mois", "Certification ISO 27001 sous 18 mois", "Réduction incidents cyber -50% sur 12 mois"
- Livrables attendus et délais :
- M1 : Audit sécurité + rapport d'analyse de risques
- M3 : PSSI validée COMEX + roadmap 12-24 mois
- M6 : Déploiement EDR, MFA, sauvegardes externalisées
- Mensuel : Reporting activités + dashboard KPI
- Périmètre technique : Quels SI, applications, sites couverts ?
- Répartition stratégique vs opérationnel : Ex : 60% stratégie/gouvernance, 40% opérationnel
- Disponibilité : Jours fixes (ex : mardi et jeudi), astreinte urgence (< 2h), présentiel vs remote
Erreur n°4 : Absence d'Indicateurs de Performance (KPI)
Le Piège
Vous payez 50k€/an mais ne savez pas mesurer si le RSSI est efficace. "Il a l'air de travailler, il fait des rapports, ça doit aller..." Après 18 mois, vous réalisez qu'aucun objectif concret n'a été atteint.
Résultat : Budget cyber = gouffre sans retour. Difficile de justifier le renouvellement.
Comment l'Éviter
Définir 5-7 KPI Mesurables
| KPI | Objectif | Fréquence |
|---|---|---|
| Taux conformité NIS2/RGPD | 100% sous 12 mois | Trimestriel |
| Risques critiques traités | > 80% sous 12 mois | Mensuel |
| Incidents sécurité majeurs | Réduction -50% | Mensuel |
| Collaborateurs sensibilisés | 100% formés annuellement | Trimestriel |
| Disponibilité SI | > 99,5% | Mensuel |
| Respect budget cyber | Écart < 10% | Mensuel |
Revue trimestrielle : Point COMEX sur avancement KPI, ajustements si nécessaire.
Erreur n°5 : Sous-Estimer le Temps Nécessaire
Le Piège
Vous recrutez un RSSI temps partagé à 0,5j/semaine (2j/mois) pour "cocher la case RSSI". Vous lui demandez : audit complet, conformité NIS2, ISO 27001, PCA/PRA, sensibilisation, gestion incidents...
Résultat : Après 12 mois, rien n'est terminé. Le RSSI est frustré (surcharge), vous aussi (pas de résultats). Projet à l'arrêt.
Volumétrie Réaliste par Taille
| Taille Entreprise | Volume RSSI Minimum | Pour Quoi |
|---|---|---|
| 20-50 salariés | 0,5-1 jour/semaine | Gouvernance de base, RGPD, sensibilisation |
| 50-150 salariés | 1-2 jours/semaine | + conformité NIS2, ISO 27001, PCA/PRA |
| 150-300 salariés | 2-3 jours/semaine | + gestion quotidienne incidents, audits fournisseurs |
| 300+ salariés | RSSI interne temps plein | Management équipe cyber, projets multiples |
Comment l'Éviter
- Dimensionnez selon vos objectifs réels : Si certification ISO 27001 prioritaire, prévoir 2j/sem minimum pendant 12-18 mois
- Commencez par un audit (1-2j) : Le RSSI chiffre le volume nécessaire selon l'état des lieux
- Acceptez de prioriser : Avec 1j/sem, impossible de tout faire. Choisir 2-3 chantiers prioritaires.
- Prévoyez flexibilité : Clause d'augmentation temporaire (ex : 3j/sem pendant certification, puis 1j/sem maintenance)
Bonus : 3 Autres Erreurs Fréquentes
Erreur n°6 : Recrutement sans implication de la Direction
La DSI recrute seule le RSSI sans validation COMEX. Résultat : le RSSI n'a pas le poids politique pour imposer budget et décisions.
Erreur n°7 : Confondre RSSI et Technicien Cyber
Un analyste SOC ou pentester n'est pas un RSSI. Le RSSI est stratégique (gouvernance, risques, conformité), pas juste technique.
Erreur n°8 : Ne Pas Prévoir d'Onboarding
Même un RSSI senior a besoin de 2-4 semaines pour comprendre votre métier, SI, culture. Prévoir temps de passation avec DSI/métiers.
Checklist Finale : Recrutement RSSI Sans Erreur
- Définir besoins et objectifs précis (conformité, projets, délais) → Cahier des charges
- Budgétiser réalistement (qualité a un prix, économie apparente = coût caché)
- Exiger et vérifier certifications (CISSP, CISM, ISO 27001, numéros vérifiables)
- Vérifier références clients (3 minimum, contactables, projets similaires)
- Tester compétences en entretien (cas pratiques, questions techniques)
- Contractualiser livrables et KPI (objectifs mesurables, revues trimestrielles)
- Dimensionner volume adapté (0,5j/sem = trop léger pour PME 100 sal, 2j/sem minimum)
- Prévoir clause flexibilité (augmentation ponctuelle projets, astreinte urgence)
- Impliquer la Direction (validation COMEX, budget validé, soutien politique)
- Organiser onboarding (2-4 semaines découverte SI, métier, équipes)
Conclusion : Un Recrutement Préparé Est un Recrutement Réussi
Les 5 erreurs présentées (prix seul, certifications non vérifiées, périmètre flou, absence KPI, volume sous-estimé) sont évitables avec méthode et rigueur. Un bon recrutement RSSI commence par une préparation sérieuse : cahier des charges, budget réaliste, vérifications poussées, contractualisation claire.
Ne précipitez pas : investissez 2-4 semaines dans le processus de sélection pour sécuriser 2-3 années de collaboration efficace. Le coût d'un mauvais recrutement (50-100k€ perdus + 12 mois de retard cyber) est bien supérieur au temps investi en amont.
CIBNET : Transparence et Garanties
Nous vous aidons à éviter ces erreurs : certifications vérifiables, références clients contactables, cahier des charges co-construit, KPI définis dès J1.
Parlons de votre projet