Face à l'explosion des cybermenaces et à la complexité croissante de la réglementation (NIS2, RGPD, ISO 27001), le RSSI à temps partagé s'impose comme une solution stratégique pour les PME et ETI. Ce guide complet vous aide à comprendre ce modèle, ses avantages, et comment le mettre en œuvre avec succès.
Qu'est-ce qu'un RSSI à temps partagé ?
Définition et périmètre
Un RSSI (Responsable de la Sécurité des Systèmes d'Information) à temps partagé est un expert en cybersécurité qui intervient au sein de votre entreprise de manière récurrente mais non permanente. Contrairement à un RSSI interne employé à temps plein, il partage son temps entre plusieurs organisations, généralement entre 1 et 3 jours par semaine par client.
Ce modèle permet aux entreprises de bénéficier de l'expertise d'un professionnel expérimenté sans supporter le coût d'un salaire à temps plein, qui peut atteindre 80 000 à 120 000€ annuels pour un profil senior.
Missions principales
Un RSSI à temps partagé assure les missions stratégiques suivantes :
- Gouvernance de la sécurité : Élaboration et mise à jour de la Politique de Sécurité des Systèmes d'Information (PSSI)
- Analyse et gestion des risques : Identification des vulnérabilités, évaluation des menaces, priorisation des actions
- Conformité réglementaire : Mise en conformité NIS2, RGPD, ISO 27001, LPM selon votre secteur
- Plan de continuité : Élaboration du PCA/PRA (Plan de Continuité/Reprise d'Activité)
- Sensibilisation : Formation des équipes aux bonnes pratiques de cybersécurité
- Gestion de crise : Coordination en cas d'incident de sécurité
- Relations fournisseurs : Pilotage des prestataires de sécurité (SOC, pentesters, etc.)
Pourquoi choisir un RSSI à temps partagé ?
1. Optimisation des coûts
Comparatif de coûts annuels :
- RSSI interne temps plein : 80 000€ à 120 000€ + charges (30-40%) = 104 000€ à 168 000€
- RSSI temps partagé 2j/semaine : 30 000€ à 50 000€ (selon expérience)
- Économie réalisée : 50 à 70% du coût d'un RSSI interne
2. Expertise immédiate et diversifiée
Un RSSI à temps partagé apporte une expérience multi-sectorielle. En intervenant auprès de plusieurs clients, il fait face à des problématiques variées et reste constamment à jour sur les dernières menaces et solutions du marché. Cette diversité d'expérience est un atout majeur par rapport à un RSSI interne qui peut se retrouver isolé techniquement.
3. Flexibilité et scalabilité
Le modèle temps partagé offre une grande flexibilité :
- Ajustement du volume d'intervention selon vos besoins (de 1 à 4 jours/semaine)
- Augmentation ponctuelle en cas de projet spécifique (certification ISO 27001, audit NIS2)
- Réduction en période creuse sans impact social
- Passage à un RSSI temps plein si votre organisation grandit
4. Rapidité de déploiement
Recruter un RSSI interne prend en moyenne 4 à 9 mois (sourcing, entretiens, préavis). Un RSSI à temps partagé peut démarrer sa mission sous 2 à 4 semaines, permettant une réponse rapide à une obligation réglementaire ou une cyberattaque.
Pour quels types d'entreprises ?
PME et ETI (50-500 salariés)
Entreprises ayant des besoins en cybersécurité mais ne justifiant pas encore un poste à temps plein. Budget informatique limité mais exposition aux risques cyber importante.
Startups et scale-ups
Entreprises en forte croissance nécessitant une structuration sécurité rapide pour rassurer investisseurs et clients. Besoin d'expertise senior sans alourdir la masse salariale.
Secteurs réglementés
Santé, énergie, finance, transport soumis à NIS2, HDS, ou autres cadres réglementaires stricts. Obligation de conformité sans budget pour un RSSI permanent.
Collectivités territoriales
Communes, intercommunalités, départements confrontés aux cyberattaques (ransomwares) mais disposant de budgets contraints. Obligation de sécurité des données citoyens.
Comment bien choisir son RSSI à temps partagé ?
Les critères essentiels
1. Expérience et certifications
- Minimum 5 ans d'expérience en cybersécurité
- Certifications reconnues : CISSP, CISM, ISO 27001 Lead Auditor, EBIOS RM
- Expérience dans votre secteur d'activité (santé, industrie, finance, etc.)
2. Compétences techniques et réglementaires
- Maîtrise des référentiels : ISO 27001, NIST, EBIOS, ANSSI
- Connaissance des réglementations : NIS2, RGPD, LPM, eIDAS, DORA
- Compétences techniques : architecture sécurisée, gestion d'incidents, audits
- Outils de gestion : SIRH sécurité, GRC (Governance Risk Compliance)
3. Soft skills indispensables
- Pédagogie : Capacité à vulgariser les enjeux cyber auprès de la direction
- Leadership : Fédérer les équipes IT et métiers autour de la sécurité
- Communication : Reporting clair, présentations au COMEX/CODIR
- Pragmatisme : Adapter les recommandations au contexte et budget de l'entreprise
Les questions à poser en entretien
- Combien d'entreprises accompagnez-vous actuellement et dans quels secteurs ?
- Quelle est votre expérience en matière de conformité NIS2/ISO 27001 ?
- Comment organisez-vous votre disponibilité entre vos différents clients ?
- Quel sera votre processus d'audit initial et vos livrables à 3/6/12 mois ?
- Comment gérez-vous une situation de crise (ransomware, fuite de données) ?
- Quels outils et méthodologies utilisez-vous pour l'analyse de risques ?
- Pouvez-vous fournir des références clients contactables ?
Déploiement : les étapes clés
Phase 1 : Audit et état des lieux (Mois 1)
- Cartographie du SI (applications, infrastructures, flux de données)
- Évaluation de la maturité sécurité actuelle
- Identification des non-conformités réglementaires
- Analyse des risques prioritaires
- Rencontres avec les parties prenantes (DSI, DG, métiers)
Phase 2 : Stratégie et roadmap (Mois 2-3)
- Élaboration de la PSSI (Politique de Sécurité des SI)
- Définition de la roadmap sécurité sur 12-24 mois
- Priorisation des actions (Quick Wins vs. projets structurants)
- Budget prévisionnel des investissements sécurité
- Validation en COMEX/CODIR
Phase 3 : Mise en œuvre (Mois 4-12)
- Déploiement des mesures de sécurité techniques (MFA, EDR, SIEM, etc.)
- Mise en place de processus de gestion (incidents, vulnérabilités, habilitations)
- Campagnes de sensibilisation et formations
- Tests et exercices de crise
- Audits de conformité et certifications si nécessaire
Phase 4 : Run et amélioration continue (à partir du mois 12)
- Pilotage opérationnel de la sécurité
- Veille sur les menaces et évolutions réglementaires
- Revues trimestrielles des risques et indicateurs
- Ajustements de la stratégie selon l'évolution de l'entreprise
Modèles contractuels et tarifs
Types de contrats
Forfait jour mensuel
Le plus courant : engagement sur un nombre de jours par mois (2, 3 ou 4 jours). Budget prévisible, idéal pour mission longue durée.
Tarif indicatif : 800€ - 1 500€ HT/jour selon profil et localisation
Régie à la demande
Intervention ponctuelle sans engagement récurrent. Pratique pour projets courts (audit, certification). Généralement 10-20% plus cher que le forfait.
Tarif indicatif : 1 000€ - 1 800€ HT/jour
Forfait projet
Prix global pour un livrable défini (certification ISO 27001, conformité NIS2). Budget maîtrisé mais moins de flexibilité.
Tarif indicatif : 15 000€ - 60 000€ HT selon périmètre
Fourchettes de prix selon le profil
| Profil | TJM (€ HT) | Coût mensuel 2j/sem |
|---|---|---|
| RSSI Junior (3-5 ans) | 700 - 900€ | 5 600 - 7 200€ |
| RSSI Confirmé (5-10 ans) | 900 - 1 200€ | 7 200 - 9 600€ |
| RSSI Senior (10+ ans) | 1 200 - 1 500€ | 9 600 - 12 000€ |
* Base de 8 jours/mois pour un engagement de 2 jours/semaine
Les pièges à éviter
Erreur n°1 : Choisir uniquement sur le prix
Un RSSI à 600€/jour peut coûter plus cher qu'un profil à 1 200€/jour s'il livre un travail incomplet nécessitant des reprises ou n'évite pas un incident cyber.
Erreur n°2 : Manque de disponibilité
Assurez-vous que votre RSSI a une capacité d'intervention en urgence (gestion de crise). Un RSSI surbooké ne pourra pas répondre efficacement en cas d'incident.
Erreur n°3 : Sous-estimer le volume nécessaire
1 jour/semaine peut être insuffisant pour une entreprise de 100+ salariés avec des enjeux de conformité. Prévoir au minimum 2 jours/semaine pour une mission structurante.
Erreur n°4 : Absence d'objectifs clairs
Définissez des KPI et livrables précis dès le démarrage : feuille de route validée sous 3 mois, conformité NIS2 sous 12 mois, réduction de X% des incidents, etc.
RSSI temps partagé vs alternatives
| Critère | RSSI temps plein | RSSI temps partagé | Freelance RSSI | Cabinet conseil |
|---|---|---|---|---|
| Coût annuel | 100k - 170k€ | 30k - 60k€ | 35k - 80k€ | 50k - 150k€ |
| Disponibilité | 100% | 40-60% | Variable | Limitée |
| Expertise | Mono-entreprise | Multi-sectorielle | Variable | Très large |
| Flexibilité | Faible (CDI) | Très haute | Haute | Moyenne |
| Délai de démarrage | 4-9 mois | 2-4 semaines | 1-4 semaines | 1-6 semaines |
| Meilleur pour | >500 salariés | 50-500 salariés | Projets ponctuels | Audits/certifs |
Mesurer la performance de votre RSSI
KPI essentiels à suivre
- Taux de conformité réglementaire : Progression vers 100% de conformité NIS2/RGPD/ISO
- Couverture des risques : Pourcentage de risques critiques traités (objectif 80% sous 12 mois)
- Nombre d'incidents de sécurité : Évolution à la baisse des incidents (phishing, compromissions)
- Temps de réponse aux incidents : Délai de détection et remédiation (objectif <4h pour incident critique)
- Taux de sensibilisation : Pourcentage de collaborateurs formés (objectif 100% annuel)
- Score de maturité sécurité : Évolution selon grille ANSSI, ISO 27001 ou NIST
Reporting et gouvernance
Un RSSI à temps partagé doit fournir :
- Reporting mensuel : Activités réalisées, avancement roadmap, incidents du mois
- Revue trimestrielle : Dashboard de sécurité avec KPI, évolution des risques, budget
- Comité sécurité : Présentation au CODIR/COMEX 2 à 4 fois par an
- Rapport annuel : Bilan complet de l'année, recommandations stratégiques, budget N+1
FAQ : Questions fréquentes
Un RSSI à temps partagé peut-il intervenir en télétravail ?
Oui, une grande partie des missions peut être réalisée en distanciel. Néanmoins, une présence physique régulière (au moins 1 fois/mois) est recommandée pour créer du lien avec les équipes et inspecter les infrastructures.
Que se passe-t-il en cas de cyberattaque un jour où il n'est pas là ?
Un bon RSSI à temps partagé reste joignable en cas de crise majeure, même hors de ses jours contractuels. Cette clause d'astreinte/urgence doit être précisée au contrat.
Combien de temps dure une mission type ?
Une mission de structuration initiale nécessite généralement 12 à 18 mois. Ensuite, beaucoup d'entreprises conservent le RSSI en mode "run" (1-2j/mois) pour maintenir le niveau de sécurité.
Peut-on passer d'un RSSI temps partagé à un RSSI interne ?
Absolument. Le RSSI temps partagé peut même accompagner le recrutement et l'onboarding de son successeur interne, assurant une transition fluide.
Le RSSI temps partagé remplace-t-il toute l'équipe cyber ?
Non. Le RSSI définit la stratégie et pilote les opérations, mais vous aurez besoin d'équipes techniques (DSI, infogérant) et éventuellement de prestataires spécialisés (SOC, pentest).
Conclusion
Le RSSI à temps partagé représente une solution pragmatique et économique pour les PME, ETI, startups et collectivités confrontées aux enjeux croissants de cybersécurité et de conformité réglementaire. En combinant expertise senior, flexibilité contractuelle et optimisation des coûts, ce modèle permet d'accéder à un niveau de sécurité autrefois réservé aux grandes entreprises.
La clé du succès réside dans le choix d'un profil expérimenté, aligné sur vos besoins sectoriels, et dans la définition claire d'objectifs et de livrables. Avec un RSSI à temps partagé compétent, vous pouvez structurer durablement votre gouvernance de sécurité, vous conformer aux réglementations (NIS2, RGPD), et réduire significativement votre exposition aux cyberrisques.
Besoin d'un RSSI à temps partagé pour votre entreprise ?
CIBNET vous accompagne avec des profils RSSI seniors et certifiés, experts en cybersécurité et conformité réglementaire (NIS2, RGPD, ISO 27001).
Demander un audit gratuit