RSSI Externalisé · SMSI ISO 27001 Vivant
Un RSSI senior à vos côtés + une bibliothèque de 25+ modèles SMSI ISO 27001 prêts à l'emploi. PSSI, SoA Annexe A 2022, PCA/PRA, registres, politiques techniques, COSEC en visio, SLA crise jusqu'à 4h, couverture ransomware / data breach / réputation. Une vraie gouvernance cyber pour TPE et PME, sans embaucher.
Pourquoi un RSSI externalisé en 2026 ?
NIS2, DORA, AI Act, cyber-assurance : la cybersécurité n'est plus optionnelle. Mais embaucher un RSSI senior coûte 80 000 à 130 000 €/an. Le RSSI externalisé vous offre l'expertise sans la charge salariale.
La fonction est souvent diffuse, portée par le DSI ou le dirigeant. Résultat : risques mal arbitrés, conformité partielle, incidents imprévisibles.
La directive transposée en avril 2025 impose une gouvernance cyber documentable. Les sanctions atteignent 10 M€ ou 2 % du CA mondial.
Pour 6 000 à 30 000 €/an de forfait, vous obtenez l'équivalent fonctionnel d'un RSSI senior à temps partiel, sans charges sociales ni recrutement.
Ce que comprend votre RSSI externalisé
5 piliers couvrant l'intégralité de la gouvernance cyber d'une entreprise mature.
Gouvernance & PSSI
- • Animation du comité sécurité
- • Rédaction et maintien PSSI / charte SSI
- • Cartographie des risques EBIOS RM
- • Pilotage du SMSI ISO 27001
Surveillance continue
- • Surface d'attaque externe (ports, certs, leaks)
- • Veille CERT-FR, CISA, ANSSI quotidienne filtrée
- • Alertes CVE ciblées sur votre stack
- • Monitoring darkweb (mentions, leaks email)
Audit récurrent
- • Audits internes à cadence définie
- • Audit fournisseurs critiques (NIS2 art. 21)
- • Suivi des plans de remise en conformité
- • Préparation d'audits ISO 27001 / NIS2 / DORA
Validation projets & conseil
- • Avis cyber sur déploiements et architectures
- • Réponse aux questions des équipes (Slack/Teams)
- • Validation des prestataires SaaS critiques
- • Sensibilisation utilisateurs (campagnes phishing)
Reporting et tableau de bord
- • Tableau de bord posture sécurité mensuel ou trimestriel
- • KPIs : incidents, vulnérabilités ouvertes, taux MFA, patches en retard
- • Rapport exécutif trimestriel pour la direction
- • Documentation prouvant votre gouvernance (utile pour cyber-assurance et audits clients)
Bibliothèque SMSI ISO 27001 — 25+ modèles prêts à l'emploi
Dès votre adhésion, vous accédez à notre bibliothèque documentaire complète, mise à jour annuellement, qui couvre l'intégralité des exigences de l'ISO 27001:2022 (clauses 4 à 10) et les 93 contrôles de l'Annexe A.
| Catégorie | Modèles fournis | Inclus |
|---|---|---|
| Politiques cadres | PSSI complète · Charte informatique · Politique de classification de l'information | ✓ |
| SMSI ISO 27001 | Déclaration d'applicabilité (SoA Annexe A 2022 — 93 contrôles) · Plan de traitement des risques · Indicateurs SMSI (KPIs) | ✓ |
| Politiques techniques (8) | Sauvegarde · Chiffrement · Mot de passe · Télétravail · BYOD · Gestion fournisseurs · Classification de l'information · Gestion des accès | ✓ |
| Continuité d'activité | Plan de continuité (PCA) · Plan de reprise (PRA) avec RTO/RPO définis | ✓ |
| Procédures opérationnelles | Gestion des incidents · Onboarding utilisateur · Offboarding utilisateur · Gestion fournisseurs | ✓ |
| Registres | Registre des risques (ISO 27005) · Registre des incidents · Registre des traitements RGPD | ✓ |
| Audit & revue | Plan d'audit interne · Programme de revue de direction | ✓ |
Dès le pack Starter (499 €/mois). Téléchargeables au format Word et PDF, éditables.
Versions révisées chaque année selon évolutions normatives (ISO, NIS2, DORA, RGPD).
SoA Annexe A 2022 entièrement documentée (4 thèmes · 93 contrôles).
5 forfaits pour s'adapter à votre taille
Du ticket d'entrée à 499 €/mois pour les TPE jusqu'au sur-mesure groupes multi-entités. Engagement minimum 6 mois, résiliable ensuite avec préavis 3 mois.
- 📁Bibliothèque 25+ modèles SMSI ISO 27001 (PSSI, SoA, charte info, politique sauvegarde, registres)
- 🔄Mise à jour annuelle des modèles
- 📊Audit posture annuel + revue de direction documentée
- 🚨Pré-engagement crise (ligne directe gratuite 1h)
- 📰Newsletter veille filtrée + alertes CVE
- 💬Support email <48h
- +Tout le pack Starter +
- 👤1 j/mois RSSI dédié
- 📝Maintien actif PSSI, charte info, PCA/PRA basiques, politiques techniques
- 🤝Comité COSEC trimestriel (visio 1h)
- 📊Tableau de bord mensuel + 5 audits auto
- 🚨SLA crise <12h
- 💬Support Slack/Teams <24h
- +Tout l'Essentiel +
- 👤2 j/mois RSSI dédié
- 📚Production documentaire SMSI complète (PSSI, SoA Annexe A 93 contrôles, PCA/PRA, 8 politiques techniques)
- 🗺Cartographie EBIOS RM annuelle
- 🤝Comité COSEC mensuel (visio 1h)
- 🎯Exercice simulation crise table-top ransomware (1/an)
- 🚨SLA crise <8h + coordination IT/juridique/com
- ✓Validation cyber projets
- +Tout le Standard +
- 👤4 j/mois RSSI dédié
- 🤝Comité COSEC bi-mensuel
- 📋SMSI ISO 27001 piloté de bout en bout
- 🚨Couverture crise 24/7 — 24h offertes + suite -50%
- 📰Coordination communication crise + monitoring atteinte réputation
- 🎓2 sensibilisations/an + 2 phishing simulés
- 🛡Assistance DPO
- 🏢Multi-entités, groupes, OIV
- ⚖SLA contractuel avec pénalités · SLA crise <1h
- 🛡Cellule de crise 24/7 dédiée + RSSI Backup
- 📰Plan communication crise pré-validé direction + gestion réputation 24/7
- 🇫🇷Conformité HDS / SecNumCloud / FedRAMP
Recevez la brochure détaillée
Tous les livrables, audits automatisés, méthodologie, exemples de rapports, SLA et conditions contractuelles détaillés dans un document PDF de 24 pages. Envoyé sous 1h.
Aucun engagement · Réponse personnalisée · Devis sur mesure si besoin
Tous les prix sont HT · Engagement minimum 6 mois · Hors prestations exceptionnelles (pentest annuel, réponse à incident, mise en conformité complexe).
Le client conserve la responsabilité juridique au sens NIS2 art. 21. Notre rôle est conseil et opérationnel sous votre direction.
RSSI externalisé vs RSSI interne vs DSI cumulé
| Critère | RSSI externalisé | RSSI interne | DSI cumulé |
|---|---|---|---|
| Coût annuel | 6-60k€ | 100-150k€ | Inclus DSI |
| Recrutement / départ | N/A | 3-9 mois | N/A |
| Expertise senior immédiate | ✓ | Variable | Limitée |
| Veille / formation continue | ✓ | À budgéter | Souvent écartée |
| Conflit d'intérêt opérationnel | Aucun | Possible | Fort (juge et partie) |
| Couverture congés/maladie | ✓ | Trou de service | Trou de service |
| Adapté PME 30-300 utilisateurs | ✓ | Surdimensionné | Sous-dimensionné |
Couverture crise — types d'attaques couverts
Notre service couvre les scénarios les plus critiques déclenchés sur 24/7 (Premium+). Pour chaque type d'attaque, nous activons une chaîne détection → évaluation → coordination → communication → notification autorités.
| Type d'attaque | Détection | Évaluation | Coordination | Communication | Notification autorités |
|---|---|---|---|---|---|
| Ransomware / Malware / Chiffrement | ✓ | ✓ | ✓ | ✓ | ANSSI/CNIL |
| DDoS / Déni de service | ✓ | ✓ | ✓ | ✓ | CERT-FR |
| Data breach (RGPD) | ✓ | ✓ | ✓ | ✓ | CNIL <72h |
| Atteinte à la réputation (presse, réseaux sociaux) | ✓ | ✓ | ✓ | ✓ | N/A |
| Fuite de code source | ✓ | ✓ | ✓ | ✓ | CNIL si PII |
| Supply chain compromise | ✓ | ✓ | ✓ | ✓ | ANSSI/CERT-FR |
Engagement crise
+ coordination complète
24h offertes · suite -50%
Cellule 24/7 dédiée
Pré-engagement crise inclus dès le pack Starter · ligne directe d'évaluation gratuite (1h max) en cas d'incident suspecté.
Questions fréquentes
Le pack Starter permet-il vraiment de faire vivre un SMSI ISO 27001 ?↓
Oui, c'est même sa raison d'être. Dès 499 €/mois, vous recevez la bibliothèque de 25+ modèles (PSSI, SoA Annexe A 2022, charte info, politique sauvegarde, registre des risques ISO 27005, registre traitements RGPD, plan de traitement des risques, indicateurs SMSI…) avec mise à jour annuelle. Vous obtenez aussi un audit posture annuel, une revue de direction documentée et le pré-engagement crise. Pour une TPE de 5 à 30 utilisateurs, c'est le socle minimal pour formaliser l'ISO 27001 sans exploser le budget. La majorité des clients passent ensuite à l'Essentiel ou Standard après 6-12 mois quand ils veulent du maintien actif et du conseil mensuel.
Que comprend le COSEC en visio ?↓
Le Comité de Sécurité (COSEC) est l'organe officiel de pilotage du SMSI ISO 27001. Visio d'1h, animée par votre RSSI externalisé, avec ordre du jour, support et CR signé (preuve d'audit). Au programme : revue des indicateurs sécurité (KPIs SMSI), arbitrage des risques nouveaux ou résiduels, validation des projets cyber, suivi du plan d'actions, points NIS2/DORA/RGPD, retours d'incidents. Cadence selon pack : trimestriel (Essentiel), mensuel (Standard), bi-mensuel (Premium).
Que se passe-t-il si je suis attaqué par un ransomware ?↓
Vous appelez la ligne directe d'évaluation (incluse dès le Starter, 1h gratuite). Selon votre pack, nous déclenchons sous le SLA contractuel : <12h Essentiel, <8h Standard, <4h Premium, <1h Sur-mesure. Notre intervention couvre : (1) détection et confinement, (2) évaluation de l'impact (données chiffrées, exfiltration, ampleur), (3) coordination IT/juridique/com, (4) communication (presse, agences PR, cyber-assurance), (5) notification ANSSI/CNIL (RGPD <72h). En Premium, les 24 premières heures d'intervention crise sont offertes; au-delà, devis prioritaire avec remise -50%. Le pack Sur-mesure inclut une cellule de crise 24/7 dédiée et un plan de communication pré-validé avec votre direction.
Quelle est la différence avec un RSSI interne ?↓
Un RSSI externalisé vous offre l'expertise sans la charge salariale (recrutement, charges, congés, formation). Vous payez un forfait mensuel prévisible (de 499 € à 8 000 €+) au lieu d'un salaire annuel de 80 à 130 k€. Pour les TPE/PME, c'est le bon équilibre.
Suis-je obligé d'avoir un RSSI avec NIS2 ?↓
NIS2 n'impose pas formellement la fonction « RSSI » mais exige une gouvernance cyber documentable avec analyse de risques, gestion incidents, supply chain, audits. Sans RSSI, vos dirigeants portent personnellement la responsabilité (sanctions jusqu'à 10 M€ ou 2 % CA). Le RSSI externalisé couvre cette obligation à coût maîtrisé.
Le forfait Starter à 499 € suffit-il vraiment ?↓
Pour une TPE de 5 à 30 utilisateurs sans obligation réglementaire majeure, oui. Vous obtenez la veille filtrée, des alertes CVE ciblées, une review trimestrielle de votre posture, et un audit annuel. C'est un excellent ticket d'entrée pour formaliser votre cyber sans exploser le budget. La plupart des clients passent ensuite au forfait Essentiel ou Standard après 6-12 mois quand leurs besoins augmentent.
Qui porte la responsabilité juridique ?↓
Vous restez responsable légalement (NIS2 art. 21, RGPD). Notre rôle est conseil et opérationnel sous votre direction. Nous engageons notre responsabilité civile professionnelle (10 M€) en cas de manquement à nos obligations contractuelles, mais nous ne nous substituons pas à votre responsabilité de dirigeant.
Comment se passe le démarrage ?↓
Mois 1 : audit initial de votre posture cyber et formalisation du périmètre.
Mois 2-3 : mise en place du tableau de bord, premières actions prioritaires, comité sentinelle.
Mois 4+ : rythme de croisière selon le pack choisi. Vous gardez la main sur le calendrier.
Que se passe-t-il en cas d'incident cyber majeur ?↓
Tous les packs incluent le pré-engagement crise (ligne directe gratuite 1h pour évaluation). En cas d'incident confirmé, nous intervenons selon le SLA contractuel : <12h Essentiel, <8h Standard, <4h Premium, <1h Sur-mesure. En Premium, les 24 premières heures sont offertes, suite avec remise -50%. Nous coordonnons forensics, éradication, notification ANSSI/CNIL (<72h RGPD), communication presse/PR. Couverture des scénarios : ransomware, malware, DDoS, data breach, atteinte réputation, fuite code source, supply chain compromise.
Puis-je résilier ?↓
Engagement minimum 6 mois (le temps que la valeur s'installe). Au-delà, résiliable avec préavis de 3 mois. Nous accompagnons toujours le transfert de connaissance vers votre nouveau RSSI ou prestataire.
Couvrez-vous l'IA et l'AI Act ?↓
Oui. Notre singularité : RSSI + expertise IA. Nous accompagnons l'inventaire des systèmes IA, la classification de risque AI Act, la gouvernance ISO 42001, la sécurisation des déploiements LLM/RAG, et les volets confidentialité (données injectables, prompt injection). Très peu de RSSI couvrent vraiment ce périmètre à ce jour.
Prêt à proféssionnaliser votre cybersécurité ?
Premier échange téléphonique de cadrage offert · Devis sous 48h · Démarrage en 2 semaines.