"J'ai pris un RSSI fractionné il y a 4 mois, je sais toujours pas ce qu'il fait." La phrase exacte d'un CTO en avril 2026, qui m'appelait pour un second avis. À l'analyse : RSSI compétent, intentions correctes, méthode floue. Pas de livrables datés, pas de jalons visibles. Donc une perception de mou.
C'est pour ça que sur les missions WeeSec en RSSI externalisé, le premier mois est lui-même livré comme un mini-projet. Quatre semaines, un livrable concret par semaine, un comité de pilotage à J+30. Voilà comment ça se passe.
La promesse du mois 1
Trois objectifs explicites :
- Comprendre le terrain réel. Pas la vision idéalisée, le terrain tel qu'il est aujourd'hui.
- Stabiliser les urgences identifiables sans tout casser. Un ou deux quick wins, pas plus.
- Produire la feuille de route 12 mois qui sert de boussole. Datée, chiffrée, priorisée, validée par la direction.
À J+30, le client doit pouvoir présenter à son board ou à son CA un état des lieux clair, un plan, et un budget.
Semaine 1 — Cartographie et écoute
Jour 1-2 — Kick-off et accès
Pas de magie. Une demi-journée de kick-off avec le DG/CTO et les sponsors. On définit :
- Sponsors et décideurs clés (qui valide quoi).
- Périmètre couvert (toute l'entreprise ? juste le produit ? un BU ?).
- Rituels de pilotage (revue hebdo, comité mensuel, escalade).
- Données accessibles : architecture, contrats fournisseurs, polices RH, registres CNIL existants, incidents passés.
Demander en parallèle les accès lecture sur l'essentiel : GitHub/GitLab, AWS/GCP/Azure console (lecture), Okta/Workspace admin (lecture), outil de monitoring, outil de ticketing.
Jour 3-5 — Entretiens éclair
Entre 8 et 15 entretiens de 30-45 minutes selon la taille. Population type : CTO, lead tech par squad, DPO, RH, finance, sales ops, lead infra/SRE, premier support, juriste si présent.
Une grille simple, identique pour tout le monde :
- Décris-moi ton job en 2 minutes.
- C'est quoi le pire qui peut arriver demain matin selon toi ?
- Qu'est-ce qui marche bien aujourd'hui côté sécu ?
- Qu'est-ce qui te frustre ?
- Si je devais changer une seule chose, ce serait quoi ?
Livrable semaine 1 : note d'écoute de 4-6 pages, anonymisée. Restituée au DG/CTO en fin de semaine. C'est souvent la première fois que le DG entend, condensé, ce que ses équipes pensent vraiment de la sécu.
Semaine 2 — Diagnostic technique et conformité
Jour 6-8 — Diagnostic technique
Pas un audit complet, c'est trop long. Un sondage ciblé sur 6 zones :
- Identités et accès : MFA partout ? gestion des départs ? comptes orphelins ? privilèges admin ?
- Cloud : exposition publique, configuration des buckets, secrets dans le code, IAM minimal ?
- Code et CI/CD : SCA en place ? secrets hooks ? branch protection ? signature des artefacts ?
- Endpoints et messagerie : EDR / MDM ? politique BYOD ? phishing déjà testé ?
- Données et RGPD : registre à jour ? sous-traitants documentés ? réversibilité backup testée ?
- Fournisseurs tiers : top 10 connus ? DPA signés ? scoring de risque ?
Pour chaque zone : un score sur 4 (à risque / à renforcer / acceptable / mature), 2 à 3 constats illustrés, 1 à 2 actions correctives proposées.
Jour 9-10 — Scoping conformité
État des lieux objectif sur les obligations qui s'appliquent :
- RGPD : registre, DPIA, sous-traitants, mesures techniques et organisationnelles.
- NIS2 si concerné (vérifier le scope, beaucoup pensent l'être à tort ou inversement).
- DORA si fintech.
- CRA si éditeur logiciel.
- AI Act si usage IA dans le produit.
- ISO 27001 / SOC 2 si demandes clients enterprise documentées.
Livrable semaine 2 : note de diagnostic technique + scoping conformité (8-12 pages). Format : constats factuels, pas de jugement. On documente, on ne note pas.
Semaine 3 — Quick wins et priorisation
Jour 11-13 — 2 quick wins exécutés
À ce stade, on identifie 2 actions très visibles à fort impact et faible effort. Exemples typiques observés en mission :
- Activer MFA admin partout où elle n'est pas (souvent 2-3 endroits surprenants).
- Fermer 5 à 10 secrets exposés dans des repos.
- Désactiver 20-30 comptes admin orphelins.
- Mettre en place une procédure d'offboarding RH/IT en 1 page (signée par le DG).
- Activer SSO sur les 3 SaaS critiques où il était disponible mais pas branché.
Le RSSI les exécute (ou les fait exécuter par les équipes en pilotage direct). C'est la preuve tangible que la mission produit du concret.
Jour 14-15 — Priorisation du backlog
Tous les constats identifiés en semaine 1 et 2 entrent dans un backlog priorisé. Méthode simple : matrice impact × effort × urgence. Sortie : 25 à 40 actions classées par trimestre.
Livrable semaine 3 : compte-rendu des quick wins + backlog priorisé sur 12 mois. Format Notion ou Excel partagé, vivant.
Semaine 4 — Roadmap et gouvernance
Jour 16-18 — Roadmap 12 mois chiffrée
Construire la roadmap qui sera présentée au comité de pilotage. Format qui marche :
- 4 trimestres, 5 à 8 chantiers par trimestre.
- Pour chaque chantier : objectif, livrable attendu, owner, dépendances, budget estimé (jours-homme + outils + prestations externes).
- Cohérence avec les jalons réglementaires (CRA décembre 2027, AI Act août 2026, etc.).
- Cohérence avec le commercial (questionnaires clients enterprise prévus, certifications visées).
Jour 19-20 — Cadre de gouvernance
- Comité sécurité mensuel : agenda type, participants, livrables attendus.
- Tableau de bord trimestriel pour le board : 10 indicateurs max.
- Procédure d'escalade incident.
- Politique sécurité courte (5-8 pages) signée par le DG.
Jour 21 — Comité de pilotage J+30
Restitution au DG + sponsors. 1h30. Format :
- 10 minutes : ce qu'on a vu (top 3 forces, top 3 risques).
- 15 minutes : les 2 quick wins faits, ce qu'ils ont produit.
- 30 minutes : la roadmap 12 mois, chantiers, budget, jalons.
- 20 minutes : décisions à prendre (arbitrages budgétaires, hire, outils).
- 15 minutes : rituels et prochaines étapes.
Livrable semaine 4 : deck de 25 slides + roadmap chiffrée + cadre de gouvernance.
Les pièges qui font dérailler le mois 1
Vouloir tout auditer
Tentation classique : faire un audit ISO 27001 complet, un pentest, un audit code source, le tout en 30 jours. Résultat : on produit 200 pages que personne ne lit, et zéro action. Le mois 1 doit poser le cadre, pas tout faire.
Ne pas exécuter de quick win
Un RSSI fractionné qui passe son mois 1 à "observer" perd la confiance des équipes. Deux quick wins visibles, c'est non négociable. Même petits.
Faire la roadmap seul dans son coin
Si la roadmap n'est pas co-construite avec le CTO et au moins un lead par squad, elle ne sera pas exécutée. La mission RSSI ne pose pas la roadmap, elle l'arbitre.
Sauter le comité J+30
Sans le rituel formel à J+30, le mois 2 démarre dans le flou. Le comité, c'est ce qui transforme le mois 1 en décision et qui libère le budget pour la suite.
Le contre-exemple instructif
Le CTO du début de l'article. RSSI fractionné en mission depuis 4 mois. Pas de livrable daté, pas de quick win, pas de roadmap chiffrée. Coût mensuel : 6 k€. Production visible : zéro. On a refait un mois 1 carré en parallèle (passation propre, pas de bataille), produit la roadmap, et acté un changement de prestataire en mois 6 avec un livrable de transition propre.
Coût du flou : 4 mois × 6 k€ = 24 k€ payés sans rien à montrer, plus le retard cumulé sur des sujets devenus urgents (AI Act, questionnaires clients enterprise).
Pour le préalable PME, voir Sécurité PME : 7 priorités avant de prendre un RSSI. Pour anticiper les deals enterprise, voir Questionnaire sécurité enterprise.