Beaucoup de PME, mais également des sociétés importantes ne disposent pas d’un poste de RSSI, pour des raisons budgétaires évidentes, mais également par difficulté à le positionner entre « risk manager » et technicien.
L’externalisation de la fonction de RSSI est à envisager, notamment lorsque l’entreprise est en période de démarrage d’un projet sur la sécurité de l’information.
Cette externalisation est intéressante alors sur plusieurs aspects :
Elle optimise les coûts en dissociant les phases de démarrage d’un projet de sécurité (et la compétence, qualités nécessaires liées) avec celles de développement de la culture sécurité :
. Lissage de la charge de travail, le travail d’un RSSI n’étant pas un temps plein, sauf pendant certaines périodes (sessions de sensibilisation au personnel par exemple)
. Possibilité de décaler certains travaux en fonction de contraintes internes
Elle permet de mieux définir la mission du futur RSSI vis à vis de l’organisation et la culture de l’entreprise, notamment dans le cas de sociétés ayant plusieurs établissements ou filiales :
. RSSI dépendant de le Direction Générale avec un correspondant plus technique à la DSI,
. RSSI rattaché à la DSI.
A contrario, cette solution d’externalisation semble moins pertinente dès que la société a atteint une maturité sur ce domaine et le recrutement (interne ou externe) est alors certainement nécessaire.
Il peut exister des réticences à confier une telle mission à une personne externe à la société, notamment :
Au début d’une démarche sécurité, un RSSI devra avoir plusieurs compétences et qualités souvent antinomiques :
Ensuite, quand le projet sécurité sera bien cadré, sa mission intégrera une dimension de mise en oeuvre des mesures de sécurité, de formation et de contrôle.
Il sera alors temps de « ré-internaliser » cette fonction.
Le RSSI n’est pas la seule fonction de sécurité pouvant être externalisée. Beaucoup d’entreprises externalisent également la fonction de CIL (Correspondant Informatique et Libertés) ou DPO (Data Protection Officer).
De la même manière, de plus en plus de fonctions sécurité sont externalisées : externalisation d’un PRA ou simplement des sauvegardes, actuellement facilités par le développement du Cloud.