RSSI externalisé en Belgique : le temps partagé au service de NIS2

Publié le — par Matthieu Roland

Art. 30Gouvernance exigée
Art. 32Responsabilité dirigeants
2-5 j/moisModèle temps partagé

La directive NIS2, transposée en Belgique par la loi du 26 avril 2024, ne cite pas le mot « RSSI ». Elle fait pourtant de la gouvernance de la sécurité une obligation légale dont la direction répond personnellement. Pour les PME et moyennes entreprises belges, souvent sans expert sécurité en interne, le RSSI externalisé à temps partagé (aussi appelé CISO as a Service) est devenu la réponse la plus pragmatique : la séniorité d'un responsable sécurité expérimenté, quelques jours par mois, sans les délais ni le coût d'un recrutement à temps plein.

Pourquoi NIS2 impose de fait une gouvernance sécurité

Deux articles de la loi belge rendent la fonction incontournable :

Ajoutez les obligations opérationnelles — notification des incidents significatifs au CCB en 24 h (alerte précoce), 72 h (notification) et 1 mois (rapport final), enregistrement sur Safeonweb@Work, préparation aux inspections du CCB — et le constat s'impose : sans responsable sécurité désigné, une entité NIS2 ne tient pas ses obligations dans la durée. C'est en ce sens que NIS2 impose « de fait » un RSSI, même si le titre n'est pas exigé.

Une pénurie de profils bien réelle en Belgique

Le marché belge de l'emploi cyber est structurellement tendu : les profils de RSSI expérimentés — capables à la fois de dialoguer avec un comité de direction, de piloter un référentiel comme CyFun ou ISO 27001 et de gérer un incident — sont rares, courtisés et chers. Pour une entreprise de 50 à 250 personnes, recruter un tel profil à temps plein est souvent difficile à justifier : la charge de travail réelle représente quelques jours par mois une fois la mise en conformité initiale réalisée. Résultat : des recrutements qui traînent, des postes confiés par défaut au responsable IT (juge et partie), et une gouvernance qui reste sur papier. Le temps partagé résout précisément cette équation.

RSSI temps partagé ou recrutement : le comparatif

CritèreRSSI externalisé (temps partagé)RSSI salarié à temps plein
Coût indicatif2 000 – 7 000 € / mois pour 2 à 5 jours (estimation de marché)Package souvent supérieur à 120 000 € / an charges comprises pour un senior (estimation de marché belge)
Délai de démarrageQuelques semaines4 à 9 mois de recrutement, plus la période d'intégration
SénioritéProfil senior d'emblée, nourri par plusieurs contextes clientsVariable selon le budget ; les seniors sont rares sur le marché
FlexibilitéVolume de jours ajustable selon les phases du projetCoût fixe, quelle que soit la charge réelle
ContinuitéBackup possible au sein de l'équipe du prestataireRisque de départ et de perte de connaissance
IndépendanceRegard externe, distinct de l'IT interneRisque de cumul de casquettes IT et sécurité
Présence quotidienneLimitée aux jours contractuels (à compléter par des relais internes)Permanente — pertinent au-delà d'une certaine taille

Les montants sont des estimations de marché indicatives, pas des tarifs : chaque mission dépend du périmètre, du secteur et de la maturité de l'organisation.

Au-delà d'une certaine taille — typiquement les grandes entités essentielles des secteurs de l'énergie, de la santé ou de la finance (où DORA s'ajoute à NIS2) — un RSSI interne à temps plein se justifie pleinement ; le temps partagé sert alors de renfort ou de transition.

Ce que couvre une mission de RSSI externalisé

Les modèles d'engagement

Le bon contrat définit un socle mensuel de jours, un mécanisme d'ajustement, des livrables identifiés et une clause de réversibilité (transfert de la documentation et des accès en fin de mission).

Comment choisir son RSSI externalisé : 6 critères

  1. Connaissance du contexte belge : loi du 26 avril 2024, référentiel CyFun, pratique du CCB et de Safeonweb@Work — pas uniquement la directive européenne.
  2. Double compétence : gouvernance (politiques, risques, reporting) et réalité technique (le RSSI doit challenger l'IT, pas seulement produire des documents).
  3. Expérience multi-référentiels : capacité à arbitrer CyFun vs ISO 27001 selon votre situation, plutôt qu'à vendre un cadre unique.
  4. Séniorité de l'intervenant réel : exigez le CV de la personne qui viendra, pas celui de l'équipe commerciale ; rencontrez-la avant de signer.
  5. Indépendance : un RSSI qui ne revend ni licences ni matériel donne des recommandations sans conflit d'intérêts.
  6. Continuité et backup : un remplaçant identifié en cas d'absence, et un engagement de transfert de connaissance.

Chez Cryptaguard, la mission de RSSI à temps partagé s'inscrit dans notre offre de cyber-gouvernance et audit, portée par Matthieu Roland, expert NIS2 / RSSI. Pour situer d'abord votre niveau de maturité, commencez par le quiz d'auto-évaluation NIS2 ; pour cadrer le budget global, consultez notre analyse du coût d'une mise en conformité NIS2.

FAQ — RSSI externalisé et NIS2

Qu'est-ce qu'un RSSI externalisé (ou à temps partagé) ?

Un RSSI externalisé est un responsable de la sécurité des systèmes d'information mis à disposition par un prestataire, quelques jours par mois, pour assurer la gouvernance sécurité d'une organisation : politiques, gestion des risques, pilotage de la conformité (CyFun, ISO 27001, NIS2), gestion des incidents et reporting à la direction. On parle aussi de CISO as a Service ou de RSSI à temps partagé.

NIS2 impose-t-elle d'avoir un RSSI ?

La loi belge du 26 avril 2024 n'impose pas formellement le titre de RSSI. Mais l'article 30 exige des mesures de gestion des risques couvrant notamment les politiques de sécurité, la gestion des incidents et la continuité, et l'article 32 rend les organes de direction responsables de l'approbation et de la supervision de ces mesures, avec obligation de formation. En pratique, il faut donc quelqu'un qui porte cette gouvernance au quotidien : c'est le rôle du RSSI, interne ou externalisé.

Combien coûte un RSSI externalisé en Belgique ?

À titre d'estimation de marché purement indicative, une mission de RSSI à temps partagé en Belgique se situe souvent entre 2 000 et 7 000 € par mois pour 2 à 5 jours de présence mensuelle, selon la séniorité du profil et la complexité du périmètre. À comparer, toujours à titre indicatif, au package salarial annuel d'un RSSI senior à temps plein, souvent supérieur à 120 000 € charges comprises sur le marché belge. Ces chiffres sont des estimations de marché : chaque cas varie.

Combien de jours par mois faut-il prévoir ?

Tout dépend de la taille et de la phase du projet : 1 à 2 jours par mois suffisent souvent pour du maintien en conditions de conformité dans une PME ; 3 à 5 jours par mois pour piloter activement une mise en conformité CyFun Important ou Essential ; davantage pendant les phases intensives (préparation d'une certification, gestion d'un incident majeur). Un bon contrat prévoit un socle mensuel ajustable.

Externaliser le RSSI dégage-t-il la responsabilité des dirigeants ?

Non. L'article 32 de la loi belge NIS2 fait peser la responsabilité de l'approbation et de la supervision des mesures de cybersécurité sur les organes de direction, qui doivent en outre suivre une formation adaptée. Le RSSI externalisé outille et éclaire cette responsabilité (reporting, indicateurs, dossiers de décision), mais il ne s'y substitue pas juridiquement.

Sources officielles

Votre gouvernance NIS2, sans recruter à temps plein

Parlons de votre contexte : classification NIS2, niveau CyFun visé, échéances. Nous vous proposons un modèle d'engagement adapté — et rien de plus que nécessaire.

Discuter d'une mission RSSI →