Alexandre Baligand (consultant SSI) : « Disposer d’un RSSI externe, c’est pouvoir compter sur un expert compétent et performant »

Consultant en Sécurité des Systèmes d’Information (SSI) chez DigitemisAlexandre Baligand intervient auprès des organisations en tant que RSSI externe. Il détaille dans cet entretien à la fois les missions, les compétences attendues et le périmètre d’action du RSSI externe. Il rappelle également l’utilité pour une entreprise d’externaliser la fonction de RSSI. Les bénéfices qui découlent de la présence d’un RSSI externe dans une entreprise sont nombreux : neutralité, hauteur de vue, compétence, expérience, performance et surtout in fine cyber-résilience augmentée.

rssi externe : témoignage d'alexandre baligand, consultant ssi digitemis

Les questions posées à Alexandre Baligand (consultant SSI) :

1. Peux-tu nous parler de ta formation et de ton parcours professionnel ?
2. Quelle est ta définition de la fonction de RSSI ?
3. Quelles sont les qualités à attendre d’un RSSI ?
4. Quelles sont tes missions de RSSI externe ?
5. Quelle est la clé pour construire une Politique de Sécurité du Système d’Information (PSSI) efficace ?
6. À quel type d’entreprise s’adresse la prestation de RSSI externe ?
7. Qu’apporte un RSSI externe à une entreprise ?

1. Peux-tu nous parler de ta formation et de ton parcours professionnel ?

Alexandre Baligand : « J’ai suivi un BTS informatique en alternance en 2008, avant de fonder et de diriger durant deux ans une entreprise dans le web, qui a plutôt bien marché. J’ai ensuite intégré le monde des Entreprises de Services du Numérique (ESN) à différents postes : j’ai débuté en tant qu’ingénieur en développement puis je suis devenu consultant et architecte spécialiste Microsoft. Ces dernières années, du fait de la demande du marché, de la menace grandissante et d’une prise de conscience de l’interconnexion des solutions, j’ai développé une sensibilité à la cybersécurité. J’ai d’ailleurs obtenu un master en sécurité digitale et cybersécurité à Rennes en 2021, avant d’être recruté par Digitemis quelques mois plus tard ».

2. Quelle est ta définition de la fonction de RSSI ?

Alexandre Baligand : « La mission principale d’un RSSI est de préserver l’entreprise des risques cyber et plus particulièrement de manager ces risques dans l’ensemble d’une entreprise ou d’un groupe« .

3. Quelles sont les qualités à attendre d’un RSSI ?

Alexandre Baligand : « Le métier de RSSI est un métier de convictions. Il faut convaincre ses interlocuteurs et savoir négocier. Cela passe par beaucoup d’échanges et de temps passé avec les responsables de services (comptabilité, commerce, communication…) et en premier lieu la DSI et la direction. L’objectif est de comprendre ce qu’ils font et comment ils travaillent au quotidien pour factualiser au mieux les risques, on s’appuie évidemment sur les audits et analyses de risques pour avancer dans le bon sens. Le sujet de la cybersécurité doit imprégner tous les services et pas uniquement la DSI, c’est un sujet d’entreprise. Les RSSI doivent être les initiateurs de la prise de conscience et trouver les clés dans chaque direction pour la déclencher. »

4. Quelles sont tes missions de RSSI externe ?

Alexandre Baligand : « Les missions de RSSI externe sont aléatoires et vastes, elles dépendent des attentes du client : ça peut aller du simple suivi d’un plan d’actions cyber à la mise en place d’une Politique de Sécurité du Système d’Information (PSSI) pour rassurer des clients. D’autres entreprises plus matures en matière de cybersécurité demandent un programme cyber complet. Ce qui implique un vrai management de de la sécurité : une roadmap, un pilotage de la stratégie au quotidien, le management des équipes et des prestataires cyber. Une grande partie des missions de RSSI externe consiste à évangéliser l’ensemble de l’entreprise sur les sujets cyber. Mes interlocuteurs au sein de l’écosystème d’une entreprise sont divers et nombreux : direction, salariés, DPO, DSI, DRH, Directions métiers, fournisseurs, prestataires, clients… »

5. Quelle est la clé pour construire une Politique de Sécurité du Système d’Information (PSSI) efficace ?

Alexandre Baligand : « La clé d’une PSSI efficace est de posséder la bonne lettre de mission signée par la direction d’entreprise. La PSSI matérialise la sensibilité et l’engagement de la direction en matière de cybersécurité. Pour un RSSI, cela signifie qu’il peut compter sur l’implication de la direction sur le sujet de la cybersécurité. On obtient, dans un second temps, l’implication des autres interlocuteurs de l’entreprise soit par le biais du relationnel, soit en leur faisant signer cette PSSI. Le RSSI doit faire preuve de pragmatisme et être bon communicant pour convaincre les responsables de services. Ne pas oublier que l’objectif de la PSSI est d’être applicable et appliquée. »

6. À quel type d’entreprise s’adresse la prestation de RSSI externe ?

Alexandre Baligand : « L’externalisation de la fonction de RSSI s’adresse à des entreprises qui souhaitent réellement disposer d’une stratégie cyber et la piloter. Ce n’est pas adapté à une entreprise qui souhaite juste définir et mettre en place une PSSI, pour cela il existe des missions ponctuelles. L’externalisation d’un RSSI implique une vraie réflexion sur les enjeux et les moyens qu’on lui fournira. Disposer d’un RSSI externe, c’est se donner les moyens de compter sur un expert compétent et formé pour traiter un sujet d’ampleur.  Si une entreprise désire un retour sur investissement concernant la prestation de RSSI externe, elle doit mener un programme cyber sérieux et le plus performant possible. C’est tout l’atout de cette prestation de RSSI externe : il est possible d’aller chercher de la performance, de trouver le bon interlocuteur qui conviendra à l’entreprise. »

7. Qu’apporte un RSSI externe à une entreprise ?

Alexandre Baligand : « Le RSSI externe apporte un œil neuf et compétent sur la stratégie cyber à mener. La cybersécurité est un domaine qui réclame de la hauteur de vue et de la neutralité : un DSI ne peut pas mener un programme cyber efficacement parce qu’il mettra dans la balance son propre budget et ses objectifs, systématiquement différents de la cybersécurité. La cybersécurité n’est pas le cœur de métier des services d’une entreprise, alors que c’est celui d’un RSSI : il est en mesure de la gérer, de la rendre plus performante. Son but est de rendre résiliente l’entreprise sur les risques cyber. Il mènera le programme cyber avec toute compétence en collaboration avec une équipe d’experts. Chez Digitemis, nous possédons de l’expérience et des retours de terrain variés, une approche orientée sur la performance ainsi que des méthodes qui sont extraites des normes ISO 27001 ou des analyses de risques de type EBIOS RM. Nos méthodes offrent aux entreprises des cadres de maîtrise du risque cyber. »

Je partage

Mathieu Boisseau

Après des expériences passionnantes au sein de Digitaleo (Rennes) et d'Articque (Tours), j'ai rejoint Digitemis afin de créer des contenus experts optimisés SEO et dédiés à la cybersécurité.

Derniers articles

miniature article interet legitime europe

La notion d’intérêt légitime au cœur d’un débat européen

En 2020, l’Autorité de Protection néerlandaise a sanctionné une société de diffusion de matchs de football pour violation des règles de protection des données personnelles. Cette décision a provoqué un débat européen autour de la notion d’intérêt légitime. Alice Picard, notre juriste consultante Protection des Données, revient dans le détail sur les ressorts de ce débat.

Lire l'article
edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (juin 2022)

Cyber humanum est : l’édito de Ludovic de Carcouët, CEO de Digitemis (juin 2022). L’édition 2022 du Forum International de la Cybersécurité (FIC) qui s’est déroulée à Lille la semaine dernière a montré que le facteur humain demeure le socle d’une politique cyber efficace et ambitieuse. L’humain reste le meilleur garant de la solidité et de la continuité d’un écosystème grâce à son savoir-faire, à sa réflexion, à ses compétences, à sa capacité d‘innovation et de réponse aux problématiques technologiques qui se posent. Il est le plus à même de réguler son rapport à la machine et de doser son usage.

Lire l'article