JOUCLA CYBERDÉFENSE
Accueil
RSSI Externalisé

Un RSSI dédié sans embaucher

Responsable Sécurité des Systèmes d'Information externalisé. Pilotez votre stratégie cyber sans les coûts d'un CDI.

Appeler

Politique de sécurité

Rédaction PSSI, charte informatique et procédures de sécurité.

Conformité

Mise en conformité RGPD, NIS2, ISO 27001 et recommandations ANSSI.

Analyse de risques

Cartographie des risques, classification des actifs et plan de traitement.

Pilotage

Comités mensuels, suivi des indicateurs et reporting direction.

Sensibilisation

Formation continue et campagnes de phishing simulé.

Gestion de crise

Plan de continuité (PCA/PRA) et procédures de réponse aux incidents.

Cas réel

ISO 27001 obtenue en 14 mois — contrat grand compte sécurisé

Mission RSSI externalisé 4 jours/mois chez une ETI industrielle de 240 personnes — certification obtenue sans embaucher de RSSI interne

Le déclencheur

ETI industrielle française, 240 salariés, 58 M€ de CA, en forte croissance. Le CTO gère tout : infra, dev, support, sécurité — il a 28 personnes sous sa responsabilité. Un appel d'offres stratégique apparaît chez un grand compte du CAC 40 : le dossier TPRM (Third-Party Risk Management) comporte 280 questions sécurité et la certification ISO 27001 est une condition bloquante. Embaucher un RSSI senior prendrait 6 mois et coûterait 90 k€ à 110 k€/an. La direction cherche une alternative rapide et crédible.

Enjeu commercial : contrat à 3,2 M€ / 3 ans, conditionné à ISO 27001

Deadline imposée par le donneur d'ordre : 15 mois

Posture initiale : 0 politique formalisée, 0 analyse de risques, 0 ISMS

Budget interne disponible : ~40 k€/an (vs 100 k€ pour un CDI)

La mission déroulée en 14 mois

RSSI externalisé 4 jours/mois, un interlocuteur unique, comité trimestriel au CODIR. Approche pragmatique : ne pas tout faire mais faire ce qui compte pour la certification et pour le métier. Priorité aux quick wins mesurables en CODIR, puis montée en maturité progressive. Accompagnement personnalisé du CTO pour monter en compétences sur les sujets sécurité.

M1-M3 → Cartographie actifs, analyse de risques EBIOS RM, PSSI

M3 → Gap analysis vs ISO 27001 Annexe A (93 contrôles)

M4-M6 → Déploiement IAM (SSO, MFA, RBAC, PAM comptes admin)

M5-M8 → Plan patch management + EDR + backups 3-2-1

M7-M9 → Procédures incident, PCA/PRA testé grandeur nature

M8-M11 → Sensibilisation tous + phishing simulation trimestrielle

M10-M12 → Audit interne, correction écarts, preparation audit

M13 → Audit étape 1 (documentation) — 4 non-conformités mineures

M14 → Audit étape 2 (terrain) — certification obtenue

Livrables produits

PSSI — Politique de Sécurité SI adoptée par le CODIR
Charte informatique — Signée par 100% des salariés (accusé de réception AD)
Analyse de risques EBIOS RM — 14 scénarios, 47 risques, plan de traitement priorisé
Déclaration d'applicabilité (SoA) — 93 contrôles ISO 27001 Annexe A documentés
Procédures opérationnelles — 18 PO rédigées : incident, patch, backup, accès, RH
PCA / PRA — Testé en exercice grandeur nature (RTO 4h, RPO 1h)
Registre des traitements RGPD — Cartographie complète conforme article 30
Plan de sensibilisation — E-learning + 4 campagnes phishing + onboarding

Gouvernance installée

Comité de pilotage
Trimestriel, CODIR + CTO + RSSI — Décisions stratégiques et budgets
Comité opérationnel
Mensuel, équipe IT + RSSI — Suivi plan d'action, KPI, incidents
Revue de direction
Semestrielle (exigence ISO) — Revue ISMS, objectifs, amélioration
Astreinte sécurité
24/7 via ligne d'urgence — Intervention < 1h sur incident critique

Un interlocuteur unique, une continuité totale — l'équipe interne monte en compétences au contact du RSSI plutôt que de tout déléguer. Objectif à 3 ans : recruter un RSSI junior que nous formons et supervisions.

KPI suivis en CODIR

Taux de couverture patch (objectif > 95%)
Taux de clic phishing trimestriel
Temps moyen de détection (MTTD)
Temps moyen de remédiation (MTTR)
Taux d'écart ISO 27001 en audit
Nombre d'incidents critiques / mois
Couverture MFA comptes sensibles
Questionnaires TPRM fournisseurs complétés

Résultat à 18 mois

ISO 27001 certifiée
Audit étape 1 + étape 2 validés, 0 non-conformité majeure
Contrat 3,2 M€ signé
Grand compte CAC 40 acquis, TPRM validé en 3 semaines
Prime cyber -40%
Assureur a revu la prime à la baisse suite à ISO 27001
NIS2 prête
Entité essentielle — conformité acquise par transitivité ISO
Coût divisé par 2,5
48 k€/an vs 105 k€/an pour un RSSI interne équivalent
3 nouveaux contrats
Autres grands comptes acquis grâce au label ISO

Tarifs

RSSI Essentiel
990€/mois TTC
  • 2 jours/mois
  • Politique de sécurité (PSSI)
  • Analyse de risques
  • Comité mensuel
  • Support email illimité
PME
RSSI Avancé
1 990€/mois TTC
  • 4 jours/mois
  • Tout du RSSI Essentiel
  • Conformité RGPD + NIS2
  • Campagnes phishing
  • PCA/PRA
  • Reporting direction
RSSI Premium
Sur devis
  • Volume sur mesure
  • RSSI dédié
  • ISO 27001
  • Audit annuel inclus
  • Gestion de crise 24/7

Besoin d'un accompagnement ?

Diagnostic gratuit de votre infrastructure. Réponse sous 24h.

06 24 47 36 51
Appeler