L’externalisation de la fonction RSSI en PME PMI
Pourquoi externaliser la fonction de RSSI en PME PMI ?
Beaucoup de PME, mais également des sociétés importantes ne disposent pas d’un poste de RSSI, pour des raisons budgétaires évidentes, mais également par difficulté à le positionner entre « risk manager » et technicien.
L’externalisation de la fonction de RSSI est à envisager, notamment lorsque l’entreprise est en période de démarrage d’un projet sur la sécurité de l’information.
Cette externalisation est intéressante alors sur plusieurs aspects :
-
Elle optimise les coûts en dissociant les phases de démarrage d’un projet de sécurité (et la compétence, qualités nécessaires liées) avec celles de développement de la culture sécurité :
. Lissage de la charge de travail, le travail d’un RSSI n’étant pas un temps plein, sauf pendant certaines périodes (sessions de sensibilisation au personnel par exemple)
. Possibilité de décaler certains travaux en fonction de contraintes internes -
Elle permet de mieux définir la mission du futur RSSI vis à vis de l’organisation et la culture de l’entreprise, notamment dans le cas de sociétés ayant plusieurs établissements ou filiales :
. RSSI dépendant de le Direction Générale avec un correspondant plus technique à la DSI,
. RSSI rattaché à la DSI.
A contrario, cette solution d’externalisation semble moins pertinente dès que la société a atteint une maturité sur ce domaine et le recrutement (interne ou externe) est alors certainement nécessaire.
Les objections à l’externalisation du RSSI
Il peut exister des réticences à confier une telle mission à une personne externe à la société, notamment :
- Cet intervenant aura connaissance des faiblesses de l’entreprise et donc il existe un risque de fuite d’informations sensibles. A contrario la crédibilité et la compétence de cet intervenant sur le marché de la sécurité est en jeu, et quand il évoque une faille, cela peut être pour un de ses autres clients (ce qui n’est pas le cas d’un RSSI maison).
- Le fait que ce RSSI ne soit pas présent tous les jours sur site : en phase de démarrage de projet le besoin est faible (support méthodologique, …), en phase de maturité cela peut s’avérer être un vrai problème (réaction à une situation de crise) et cela milite pour que cette mission devienne à terme une mission interne.
- Cela ne favorise pas la montée en compétence d’un RSSI interne : les compétences nécessaires sont fort différentes entre période de démarrage de projet et le rythme de croisière, il faut trouver le bon moment où le Client décide soit de faire monter en compétence quelqu’un interne soit d’une embauche.
Quelles qualités attendre d’un RSSI ?
Au début d’une démarche sécurité, un RSSI devra avoir plusieurs compétences et qualités souvent antinomiques :
- Il doit comprendre et interpréter les activités, processus, évolutions d’organisation de l’entreprise en termes de risques fondamentaux
- Il doit avoir une culture technologique (et la maintenir à jour) sur l’ensembles des technologies de l’information (architecture, réseaux, progiciels, développement, ..), mais également disposer d’une culture sur les aspects juridiques, normalisation, méthodologiques.
- Il doit être un chef de projet (organisation, communication et motivation) sachant travailler avec des utilisateurs et des informaticiens
- Il doit enfin savoir convaincre la Direction des enjeux et de l’importance de mener une telle démarche
Ensuite, quand le projet sécurité sera bien cadré, sa mission intégrera une dimension de mise en oeuvre des mesures de sécurité, de formation et de contrôle.
Il sera alors temps de « ré-internaliser » cette fonction.
L’externalisation de la sécurité
Le RSSI n’est pas la seule fonction de sécurité pouvant être externalisée. Beaucoup d’entreprises externalisent également la fonction de CIL (Correspondant Informatique et Libertés) ou DPO (Data Protection Officer).
De la même manière, de plus en plus de fonctions sécurité sont externalisées : externalisation d’un PRA ou simplement des sauvegardes, actuellement facilités par le développement du Cloud.