:strip_exif()/reboot/media/f3d3e950-bb88-11ea-96d9-0242ac130004/c5f047d8-f817-11ea-95f1-0242ac130004/0-0-logo-epx-informatique-white.png "✔️ RSSI à temps partagé: une vraie option pour les PME franciliennes"){kind=logo}
:strip_exif()/reboot/media/f3d3e950-bb88-11ea-96d9-0242ac130004/c5f047d8-f817-11ea-95f1-0242ac130004/0-0-logo-epx-informatique-white.png "✔️ RSSI à temps partagé: une vraie option pour les PME franciliennes"){kind=logo}
/reboot/media/f3d3e950-bb88-11ea-96d9-0242ac130004/21da03c8-c61b-11f0-8693-7662b2f092c6/1-1-rssi-a-temps-partage-une-option-pour-les-pme-franciliennes.png)
RSSI à temps partagé: une vraie option pour les PME franciliennes
La cybersécurité s’est invitée de force à l’agenda des dirigeants, mais la plupart des PME d’Île‑de‑France n’auront jamais les moyens de recruter un RSSI interne à plein temps. Entre fantasme de la « dream team » cyber et réalité budgétaire, une voie médiane émerge: le RSSI à temps partagé.
Pourquoi le modèle classique du RSSI interne ne fonctionne pas en PME
Dans les grands groupes, le Responsable de la Sécurité des Systèmes d’Information pilote politiques, audits, conformité, gestion de crise. Dans une entreprise de 30 ou 80 postes de travail, ce modèle est tout simplement hors de portée, voire totalement inadapté.
Le grand écart budgétaire
Un RSSI expérimenté coûte cher. Très cher. Les grilles salariales publiées par les cabinets de recrutement IT montrent des packages qui dépassent largement ce qu’une PME francilienne peut absorber. Résultat:
- On surdimensionne le poste (profil trop junior pour les enjeux)
- On saupoudre la responsabilité sur la DAF, le DSI, voire un chef de projet « qui s’y connaît un peu »
- On s’en remet totalement au prestataire technique, sans pilotage interne
C’est humain, mais dangereux. Parce que l’infogérance ne remplace pas la gouvernance.
Une complexité réglementaire impossible à suivre seul
RGPD, directive NIS2, exigences clients grands comptes, cyber‑assurances de plus en plus intrusives… La veille réglementaire est devenue un métier à part entière. Les ressources de l’ANSSI, de la CNIL ou de Cybermalveillance.gouv.fr sont précieuses, mais qui, en interne, a le temps (et la grille de lecture) pour les exploiter réellement ?
Le RSSI à temps partagé: ce que c’est (et ce que ce n’est pas)
Dans ce contexte, de plus en plus d’entreprises se tournent vers une fonction de RSSI externalisée, mutualisée entre plusieurs clients. L’idée n’est pas nouvelle, mais elle devient enfin mature.
Un rôle d’architecte et d’arbitre, pas de pompier
Un bon RSSI à temps partagé ne vient pas « installer des antivirus ». Il:
- Pose un cadre: politique de sécurité, chartes, priorités
- Traduit les contraintes métiers en exigences techniques pour l’infogérant
- Organise la gestion de crise: qui fait quoi en cas de ransomware, de fuite, de coupure majeure
- Suit les plans d’action dans la durée, sans se laisser distraire par le bruit du quotidien
C’est le chaînon manquant entre la direction, les équipes métiers et le prestataire de parc informatique et infogérance.
Une présence rythmée, pas permanente
Concrètement, un RSSI à temps partagé peut intervenir:
- 1 à 4 jours par mois sur site ou à distance, selon la taille de la structure
- De manière renforcée lors de projets sensibles (refonte réseau, téléphonie IP, déploiement Sage, etc.)
- En alerte prioritaire en cas de crise grave (attaque, incident majeur)
L’essentiel est d’ancrer sa présence dans un rythme régulier: comités de pilotage sécurité, revues des incidents, validations des changements structurants.
Comment un RSSI partagé travaille avec votre infogérant
Un fantasme persistant veut que le RSSI soit l’ennemi du prestataire informatique, sorte de contrôleur tatillon. En réalité, lorsqu’il est bien positionné, il devient son meilleur allié.
Clarifier qui décide, qui exécute
Dans beaucoup de PME, le prestataire d’infogérance se retrouve en première ligne pour arbitrer des choix qui relèvent en fait de la direction:
- Faut‑il autoriser le télétravail depuis des PC personnels ?
- Quels services peuvent accéder aux données clients depuis un smartphone ?
- Peut‑on accepter un logiciel métier hébergé par un éditeur peu transparent sur sa sécurité ?
Le RSSI partagé met de l’ordre dans ces décisions. Il pose des critères, discute avec la direction, puis confie l’implémentation à l’infogérant, qu’il s’agisse de sauvegarde cloud à cloud, de durcissement de la messagerie ou de mise en place de VPN pour le télétravail.
Transformer l’audit en feuille de route, pas en culpabilisation
Les audits de sécurité « sur étagère » ont un défaut classique: ils dressent une liste de 60 non‑conformités et repartent. Un bon RSSI partagé sait prioriser:
- Ce qui protège la survie de l’entreprise (sauvegardes, plan de reprise, comptes administrateurs)
- Ce qui réduit les risques les plus probables (phishing, mots de passe, postes nomades)
- Ce qui relève de la conformité fine (procédures écrites, registres, documentation)
Et surtout, il met cette feuille de route en musique avec la réalité de votre parc: 10 à 100 postes, quelques serveurs, de la téléphonie IP, des logiciels métier pas toujours exemplaires.
Un exemple concret: PME de services à Paris, 60 collaborateurs
Situation initiale:
- Un prestataire d’infogérance compétent, mais sans mandat pour trancher des sujets de gouvernance
- Un DAF sursollicité, qui gère « la sécurité » au feeling
- Un début de projet de facture électronique, mal cadré côté sécurité
Arrivée d’un RSSI à temps partagé, 2 jours par mois:
- Cartographie rapide des risques majeurs: sauvegarde, accès distants, comptes à privilèges
- Réunion tranchée avec la direction pour fixer un niveau de risque acceptable (et les zones non négociables)
- Alignement avec l’infogérant sur un plan d’action sur 12 mois, découpé en sprints gérables
- Préparation d’un scénario de crise ransomware, avec simulation légère
Au bout d’un an, sans révolutionner l’organisation, l’entreprise dispose d’une réelle gouvernance sécurité, d’une meilleure relation avec ses fournisseurs IT, et d’un discours plus solide face à ses propres clients.
Ce qu’un RSSI partagé ne fera pas pour vous
Pour éviter les malentendus, il faut dire aussi ce que ce modèle ne couvre pas.
- Il ne remplacera pas un SOC 24/7 ni des équipes de réponse à incident spécialisées
- Il ne pourra pas compenser un refus absolu d’investir dans les basiques (sauvegarde, mises à jour, inventaire du parc)
- Il ne fera pas de miracle si la direction se défausse systématiquement sur « l’informatique »
Le RSSI partagé est un accélérateur pour des PME déjà prêtes à prendre la cybersécurité au sérieux, pas un alibi à peu de frais.
Une maturité accessible, sans fantasme ni naïveté
En Île‑de‑France, les PME se retrouvent prises en étau entre les exigences croissantes de leurs clients grands comptes et la brutalité des attaques opportunistes. Continuer à improviser sur la sécurité n’est plus une option adulte.
Entre l’illusion du « héros cyber » interne et l’abandon aveugle à un prestataire non piloté, le RSSI à temps partagé offre une troisième voie: raisonnable, structurante, et surtout adaptée à la réalité des parcs de 10 à 100 postes. À condition d’accepter que la sécurité n’est pas un produit, mais une gouvernance, patiente et exigeante.
/reboot/media/f3d3e950-bb88-11ea-96d9-0242ac130004/1d85c8fc-c61b-11f0-a2b0-7662b2f092c6/1-1-arreter-le-chaos-des-imprimantes-en-entreprise.png)
/reboot/media/f3d3e950-bb88-11ea-96d9-0242ac130004/e07ff6b6-a3a1-11ec-82ed-0242ac140006/1-1-q7h8lveugfu-jpg.jpg)
/reboot/media/f3d3e950-bb88-11ea-96d9-0242ac130004/66a77146-3278-11ed-817c-0242ac14000b/1-1-low-angle-photo-of-city-high-rise-buildings-during-daytime-phyq704ffda-jpg.jpg)