Skip to content
Glossaire

RSSI (Responsable de la Sécurité des Systèmes d'Information)

Le RSSI (ou CISO en anglais) est le responsable de la définition et de la mise en œuvre de la stratégie de cybersécurité d'une organisation. Il gère les risques informatiques, définit la politique de sécurité, supervise la réponse aux incidents et veille à la conformité réglementaire. Dans les PME, ce rôle est souvent exercé à temps partiel ou confié à un prestataire externe (vCISO).

15 min de lecture Thomas Ferreira

Ce qu’est un RSSI et pourquoi ce rôle existe

Le RSSI — Responsable de la Sécurité des Systèmes d’Information — est la personne qui porte la responsabilité de la cybersécurité dans une organisation. En anglais, c’est le CISO (Chief Information Security Officer).

Son existence se justifie par un constat simple : la sécurité informatique ne se gère pas “en plus” des autres tâches IT. Un DSI qui gère l’infrastructure, le support, les projets applicatifs et la sécurité en même temps finit par négliger la sécurité — parce que les urgences opérationnelles (un serveur en panne, un déploiement à livrer) prennent toujours le dessus sur la prévention.

Le résultat : des mises à jour de sécurité repoussées, des accès non révoqués pour d’anciens employés, des configurations par défaut jamais durcies, et zéro visibilité sur les tentatives d’attaque. Selon le rapport IBM Cost of a Data Breach 2024, le coût moyen d’une violation de données atteint 4,88 millions de dollars au niveau mondial. Pour les entreprises françaises, ce coût moyen est de 4,3 millions d’euros selon la même étude — un montant qui peut mettre en péril une PME.

Le RSSI existe pour qu’une personne identifiée, avec les compétences et le mandat nécessaires, se consacre à protéger le système d’information.

Les missions du RSSI

L’ANSSI définit le rôle du RSSI dans son référentiel des métiers de la cybersécurité. Voici ce que recouvre la fonction au quotidien.

Analyse et gestion des risques

Le RSSI identifie, évalue et priorise les risques qui pèsent sur le système d’information. Il ne s’agit pas d’une liste théorique de menaces, mais d’une évaluation concrète : quels sont les actifs les plus exposés (données clients, messagerie, ERP, propriété intellectuelle), quelles sont les menaces les plus probables (phishing, ransomware, compromission de comptes), et quel serait l’impact sur l’activité ?

Cette analyse se formalise dans une cartographie des risques qui sert de base à toutes les décisions d’investissement en sécurité. La méthode EBIOS RM, publiée par l’ANSSI, est la référence française pour cette analyse.

Politique de sécurité (PSSI)

Le RSSI rédige et maintient la Politique de Sécurité des Systèmes d’Information (PSSI). Ce document définit les règles que l’organisation s’engage à respecter :

  • Gestion des mots de passe et des accès
  • Classification et protection des données
  • Utilisation des équipements (BYOD, télétravail)
  • Sauvegarde et restauration
  • Gestion des incidents
  • Relations avec les tiers et sous-traitants

La PSSI n’est pas un document théorique rangé dans un tiroir. C’est le cadre de référence que le RSSI applique au quotidien. L’ANSSI publie un guide pour l’élaboration d’une PSSI qui sert de modèle pour les organisations françaises.

Réponse aux incidents

Quand un incident de sécurité survient — un email de phishing cliqué, un ransomware détecté, un compte compromis — le RSSI pilote la réponse. Il coordonne les actions entre l’équipe IT, le SOC (interne ou externe), la direction, et si nécessaire le DPO (en cas de données personnelles compromises) et les autorités (ANSSI, CNIL).

Le RSSI prépare cette réponse en amont via des plans de réponse à incident et des exercices de crise. Un plan de réponse au ransomware, par exemple, détaille les étapes : isolement des systèmes affectés, évaluation de l’étendue de la compromission, activation des sauvegardes, communication interne et externe, décision de payer ou non la rançon (réponse : non).

Sensibilisation et formation

Le Verizon DBIR 2024 confirme que 68 % des violations de données impliquent un facteur humain. Le RSSI est responsable du programme de sensibilisation qui réduit ce risque.

Ce programme comprend :

  • Des simulations de phishing régulières pour tester les réflexes des employés
  • Des formations sur les menaces courantes (spear-phishing, vishing, smishing)
  • Des rappels sur les bonnes pratiques (verrouillage de session, signalement des emails suspects, vérification des demandes de virement)
  • Des exercices de crise pour les équipes dirigeantes (simulation d’attaque par ransomware, BEC)

Le RSSI ne délivre pas nécessairement les formations lui-même. Il définit le programme, choisit les outils et les prestataires, et mesure les résultats (taux de clic sur les simulations, nombre de signalements, progression dans le temps).

Conformité réglementaire

Le RSSI veille à la conformité avec les exigences de sécurité imposées par la réglementation et les normes :

  • RGPD (article 32) — Mesures techniques et organisationnelles de protection des données personnelles, en coordination avec le DPO
  • NIS2 — Obligations de sécurité pour les entités essentielles et importantes (voir section dédiée plus bas)
  • Normes sectorielles — PCI DSS pour le traitement des paiements par carte, HDS pour l’hébergement de données de santé, ISO 27001 pour les certifications de sécurité
  • Exigences contractuelles — Les grands donneurs d’ordre et les assureurs cyber imposent des niveaux de sécurité à leurs fournisseurs et assurés

Sécurité des fournisseurs et sous-traitants

Le RSSI évalue la sécurité des prestataires qui accèdent au système d’information ou traitent des données pour le compte de l’entreprise : hébergeur cloud, éditeur SaaS, prestataire de maintenance, sous-traitant métier.

Un prestataire mal sécurisé est un vecteur d’attaque. Les attaques par la chaîne d’approvisionnement (supply chain attacks) exploitent la confiance entre une entreprise et ses fournisseurs pour pénétrer des systèmes autrement bien protégés.

Architecture de sécurité

Le RSSI valide les choix techniques en matière de sécurité : déploiement d’un EDR, choix d’un SIEM, mise en place du MFA, segmentation réseau, architecture Zero Trust, configuration de l’authentification email (SPF, DKIM, DMARC).

Il ne configure pas nécessairement ces outils lui-même (c’est le rôle de l’équipe IT ou d’un intégrateur), mais il définit les exigences, valide l’architecture et vérifie que les configurations sont conformes à la politique de sécurité.

RSSI et DSI : deux rôles, deux missions

La confusion entre RSSI et DSI est fréquente dans les PME, où la même personne cumule souvent les deux casquettes. Pourtant, les missions sont distinctes et parfois en tension.

DSIRSSI
Mission principaleFaire fonctionner le SIProtéger le SI
PrioritéDisponibilité, performance, innovationConfidentialité, intégrité, traçabilité
Décisions typiquesQuel ERP déployer, quel hébergeur choisir, comment migrer vers le cloudQuels accès restreindre, quels logs collecter, comment répondre à un incident
Tension naturelleOuvrir les accès pour la productivitéRestreindre les accès pour la sécurité
BudgetIT globalSécurité (souvent un sous-ensemble du budget IT)

Le DSI veut que les systèmes fonctionnent et que les utilisateurs soient satisfaits. Le RSSI veut que les systèmes soient protégés, quitte à ajouter des contraintes (MFA, restrictions d’accès, mises à jour qui nécessitent un redémarrage). Cette tension est saine — elle évite qu’une seule perspective domine.

Dans les PME où le DSI cumule le rôle de RSSI, cette tension disparaît. La sécurité passe systématiquement après les urgences opérationnelles. C’est pourquoi un RSSI distinct — même à temps partiel ou externalisé — apporte une valeur mesurable.

Le RSSI pour les PME : trois modèles

RSSI interne à temps plein

Pour qui : ETI de plus de 500 salariés, entreprises dans des secteurs réglementés (finance, santé, défense), organisations certifiées ISO 27001.

Un RSSI à temps plein en France représente un coût annuel de 80 000 à 120 000 € brut pour un profil confirmé (5 à 10 ans d’expérience), selon les données de l’ANSSI et du marché de l’emploi français. En Île-de-France, les profils seniors dépassent les 120 000 €. À ce salaire s’ajoutent les charges patronales et les coûts de formation continue (la cybersécurité évolue vite).

Avantage : dévoué à l’entreprise, connaissance profonde du SI, disponibilité permanente. Inconvénient : coût élevé pour une PME, difficulté de recrutement (pénurie de profils RSSI en France), risque d’isolement (un RSSI seul n’a personne avec qui confronter ses choix).

RSSI interne à temps partiel

Pour qui : PME de 100 à 300 salariés disposant d’un profil IT senior.

Un membre de l’équipe IT existante consacre 20 à 40 % de son temps à la sécurité. Ce n’est pas le DSI (conflit de priorités), mais un ingénieur système ou réseau qui monte en compétence sur la sécurité.

Avantage : connaissance du SI, coût marginal (formation + allocation de temps). Inconvénient : les tâches opérationnelles IT prennent souvent le dessus, la montée en compétence prend du temps, et la personne manque du recul d’un expert sécurité dédié.

RSSI externalisé (vCISO)

Pour qui : PME de 50 à 200 salariés — le modèle le plus adapté.

Le vCISO (virtual Chief Information Security Officer) est un prestataire qui assume le rôle de RSSI pour le compte de l’entreprise, à raison de 1 à 2 jours par semaine. Il intervient à distance et sur site selon les besoins.

Budget : entre 1 000 et 3 000 €/mois selon le périmètre, la taille de l’entreprise et le prestataire. Soit 12 000 à 36 000 € par an — trois à dix fois moins qu’un RSSI interne à temps plein.

Ce qu’un vCISO fait concrètement pour une PME :

  • Réalise l’analyse de risques initiale et la met à jour annuellement
  • Rédige la PSSI et les procédures de sécurité
  • Pilote le programme de sensibilisation (simulations de phishing, formations)
  • Supervise la configuration des outils de sécurité (EDR, MFA, sauvegarde, authentification email)
  • Gère la relation avec le SOC externalisé ou le prestataire MDR
  • Pilote la réponse aux incidents (en coordination avec l’équipe IT et le prestataire SOC)
  • Prépare les audits de conformité (NIS2, RGPD, cyberassurance)
  • Présente un reporting sécurité trimestriel à la direction

Avantage : expertise à jour, vision transversale (le vCISO gère plusieurs clients et connaît les pratiques du marché), indépendance vis-à-vis des enjeux politiques internes, coût maîtrisé. Inconvénient : disponibilité partagée, nécessité d’un relais technique interne (un admin système ou un IT manager) pour l’exécution quotidienne.

Quel modèle choisir ?

CritèreRSSI interneRSSI temps partielvCISO
Budget annuel80 000 - 150 000 €15 000 - 30 000 €12 000 - 36 000 €
DisponibilitéTemps plein1-2 jours/semaine1-2 jours/semaine
Expertise sécuritéÉlevéeVariable (montée en compétence)Élevée
Connaissance du SITrès élevéeÉlevéeMoyenne (compensée par l’onboarding)
IndépendanceVariable (pression interne)Faible (cumul de rôles)Forte
Adapté à une PME 50-200Non (surcoût)Oui (si profil disponible)Oui (meilleur rapport coût/expertise)

Ce que fait un RSSI face au phishing

Le phishing est la menace numéro un pour les PME. Le RSSI structure la défense sur trois axes.

Prévention : réduire la surface d’exposition

Le RSSI met en place les protections techniques qui empêchent les emails malveillants d’atteindre les boîtes de réception :

  • Authentification email — Configuration de SPF, DKIM et DMARC (en mode p=reject) sur le domaine de l’entreprise. Cela protège le domaine contre l’usurpation (spoofing) et empêche les attaquants d’envoyer des emails en se faisant passer pour l’entreprise.
  • Filtrage email avancé — Déploiement d’une passerelle email avec analyse des pièces jointes, vérification des liens, détection des domaines imposteurs.
  • MFA — Même si un employé saisit ses identifiants sur un faux site, le MFA empêche l’attaquant d’accéder au compte.

Sensibilisation : entraîner les réflexes humains

Le RSSI pilote le programme de simulation de phishing :

  1. Campagnes régulières — Des emails de phishing simulés sont envoyés aux employés pour tester leurs réflexes (fréquence recommandée : mensuelle)
  2. Mesure des résultats — Taux de clic, taux de signalement, progression par département et dans le temps
  3. Formation ciblée — Les employés qui cliquent reçoivent une formation immédiate adaptée au scénario
  4. Scénarios réalistes — Les simulations reproduisent les techniques réelles : spear-phishing ciblé, BEC imitant le dirigeant, faux partages SharePoint, QR codes malveillants (quishing)

Réponse : contenir l’incident rapidement

Quand un employé clique sur un vrai phishing, le RSSI active le plan de réponse :

  1. Isolation du compte compromis — Réinitialisation immédiate du mot de passe, révocation des sessions actives
  2. Vérification de l’étendue — L’attaquant a-t-il accédé à d’autres systèmes ? A-t-il créé des règles de transfert d’email ? A-t-il exfiltré des données ?
  3. Blocage — Blocage du domaine de phishing au niveau du proxy/DNS, suppression de l’email malveillant de toutes les boîtes qui l’ont reçu
  4. Notification — Si des données personnelles sont compromises, coordination avec le DPO pour la notification CNIL sous 72 heures (article 33 du RGPD)
  5. Post-incident — Analyse de la cause, mise à jour des règles de filtrage, communication interne, ajout du scénario aux simulations futures

RSSI et NIS2

La directive européenne NIS2, entrée en application en octobre 2024, élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité.

Qui est concerné ?

NIS2 distingue deux catégories :

  • Entités essentielles — Énergie, transport, santé, eau potable, infrastructure numérique, administration publique, espace
  • Entités importantes — Services postaux, gestion des déchets, industrie chimique, agroalimentaire, fabrication de dispositifs médicaux, services numériques (SaaS, marketplaces, moteurs de recherche)

Le critère de taille : les entreprises de plus de 50 salariés ou réalisant plus de 10 millions d’euros de chiffre d’affaires dans les secteurs listés sont concernées. Autrement dit, beaucoup de PME françaises entrent désormais dans le périmètre.

Ce que NIS2 exige en matière de gouvernance sécurité

NIS2 impose que la direction de l’entreprise assume la responsabilité de la cybersécurité. L’article 20 de la directive exige que les organes de direction approuvent les mesures de gestion des risques et suivent leur mise en œuvre. Les dirigeants peuvent être tenus personnellement responsables en cas de manquement.

En pratique, cela signifie qu’une personne identifiée doit piloter la sécurité et rendre compte à la direction. C’est le rôle du RSSI — interne ou externe.

Les mesures de sécurité imposées

L’article 21 de NIS2 liste les mesures que les entités concernées doivent mettre en place. Le RSSI est la personne qui les pilote :

  • Politiques d’analyse des risques et de sécurité des systèmes d’information
  • Gestion des incidents (détection, réponse, notification)
  • Continuité d’activité et gestion de crise
  • Sécurité de la chaîne d’approvisionnement
  • Sécurité dans l’acquisition, le développement et la maintenance des systèmes
  • Politiques et procédures d’évaluation de l’efficacité des mesures
  • Pratiques de cyberhygiène et formation
  • Politiques de cryptographie et de chiffrement
  • Sécurité des ressources humaines, contrôle d’accès, gestion des actifs
  • Authentification multifacteur (MFA) et communications sécurisées

Les sanctions

Les sanctions prévues par NIS2 sont significatives : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires pour les entités importantes.

Pour une PME qui n’a pas encore structuré sa gouvernance sécurité, la nomination d’un RSSI (ou d’un vCISO) est la première étape vers la conformité NIS2.

Guide pratique : comment recruter ou externaliser un RSSI

Option 1 : recruter un RSSI interne

Profil recherché :

  • 5 à 10 ans d’expérience en sécurité informatique (ancien analyste SOC, ingénieur sécurité, auditeur)
  • Connaissance des normes et réglementations (ISO 27001, RGPD, NIS2)
  • Capacité à communiquer avec la direction (la sécurité doit être expliquée en termes de risques business, pas en termes techniques)
  • Certifications appréciées : CISSP, CISM, ISO 27001 Lead Auditor/Implementer

Budget : 80 000 - 120 000 € brut/an en Île-de-France, 65 000 - 95 000 € en région.

Délai de recrutement : 3 à 6 mois. Le marché est tendu — l’ANSSI estime à 15 000 le nombre de postes en cybersécurité non pourvus en France.

Option 2 : engager un vCISO

Comment choisir un prestataire :

  1. Vérifiez l’expérience du consultant assigné (pas du cabinet, du consultant lui-même) — demandez son parcours et ses références
  2. Demandez un périmètre clair : quelles missions sont incluses, quelle est la fréquence d’intervention, quel est le processus en cas d’incident urgent
  3. Exigez un reporting régulier à la direction (trimestriel minimum)
  4. Vérifiez la couverture en cas d’incident : le vCISO est-il joignable en dehors des jours contractuels en cas de crise ?
  5. Préférez un prestataire qui connaît votre secteur et les contraintes réglementaires associées

Acteurs sur le marché français : cabinets de conseil en cybersécurité (Advens, Almond, Wavestone pour les plus grands), consultants indépendants certifiés, ESN avec des offres vCISO packagées, et des acteurs spécialisés PME qui apparaissent sur le marché.

Budget : 1 000 - 3 000 €/mois pour 1 à 2 jours/semaine.

Les premières actions du RSSI

Qu’il soit interne ou externe, le RSSI commence par les mêmes étapes :

  1. Audit de l’existant — Inventaire des actifs, des accès, des configurations de sécurité, des sauvegardes, des contrats fournisseurs
  2. Analyse de risques — Identification des menaces prioritaires et des actifs les plus exposés (méthode EBIOS RM recommandée par l’ANSSI)
  3. Quick wins — Actions à impact immédiat : activation du MFA sur tous les comptes cloud, configuration de DMARC en mode p=reject, déploiement d’un EDR sur les postes, vérification des sauvegardes
  4. PSSI — Rédaction ou mise à jour de la politique de sécurité
  5. Programme de sensibilisation — Lancement des simulations de phishing et des formations employés
  6. Plan de réponse à incident — Procédures documentées pour les scénarios les plus probables (phishing, ransomware, compte compromis)
  7. Reporting direction — Mise en place d’un tableau de bord sécurité trimestriel pour la direction

Avant de recruter un RSSI, évaluez votre posture actuelle. Notre vérificateur de sécurité email teste la configuration SPF, DKIM, DMARC de votre domaine en 30 secondes — c’est un premier indicateur du niveau de maturité sécuritaire de votre entreprise.

L’ANSSI publie un ensemble de guides et de recommandations à destination des organisations de toutes tailles, y compris le guide d’hygiène informatique qui constitue le socle minimum que tout RSSI devrait mettre en œuvre.

Questions fréquentes

C'est quoi un RSSI ?

Le RSSI (Responsable de la Sécurité des Systèmes d'Information) est la personne en charge de la cybersécurité dans une entreprise. Il définit la politique de sécurité, évalue les risques, choisit les outils de protection, pilote la réponse aux incidents et sensibilise les employés. C'est l'équivalent français du CISO (Chief Information Security Officer) dans le monde anglo-saxon.

Quelle est la différence entre RSSI et DSI ?

Le DSI (Directeur des Systèmes d'Information) gère l'infrastructure informatique et les services IT : serveurs, réseau, postes de travail, applications métier, support utilisateurs. Le RSSI se concentre spécifiquement sur la sécurité de ces systèmes : protection contre les cyberattaques, gestion des vulnérabilités, conformité sécuritaire. Dans les PME, ces deux rôles sont souvent combinés, mais les responsabilités diffèrent — le DSI fait fonctionner le SI, le RSSI le protège.

Un RSSI est-il obligatoire ?

Aucune loi française n'impose explicitement la nomination d'un RSSI pour les PME. En revanche, la directive européenne NIS2 exige que les entités essentielles et importantes désignent un responsable de la sécurité informatique. L'ANSSI recommande à toute organisation, quelle que soit sa taille, de confier la sécurité à une personne identifiée. Sans RSSI (interne ou externe), la sécurité retombe sur le DSI ou le dirigeant — qui n'ont ni le temps ni toujours les compétences pour l'assurer correctement.

Combien coûte un RSSI externalisé (vCISO) ?

Sur le marché français, un RSSI externalisé (vCISO) coûte entre 1 000 et 3 000 € par mois pour une intervention de 1 à 2 jours par semaine, adaptée à une PME de 50 à 200 salariés. Un RSSI à temps plein en interne représente un salaire annuel brut de 80 000 à 120 000 € (profil confirmé en Île-de-France), auxquels s'ajoutent les charges et les coûts de formation continue.

Quelles sont les missions d'un RSSI ?

Les missions du RSSI couvrent sept domaines : l'analyse des risques (identifier et prioriser les menaces), la politique de sécurité (rédiger et maintenir la PSSI), la réponse aux incidents (piloter la gestion des crises cyber), la sensibilisation (former les employés aux risques comme le phishing), la conformité (RGPD, NIS2, normes sectorielles), la sécurité des fournisseurs (évaluer les prestataires et sous-traitants), et l'architecture de sécurité (valider les choix techniques : EDR, SIEM, MFA, segmentation réseau).

Testez la sécurité email de votre entreprise

Notre outil gratuit analyse votre domaine et vous donne un score de protection contre le phishing en 30 secondes.

Tester mon domaine Voir tout le glossaire