Pour Jean-Luc Nier, le RSSI solo peut intervenir quelle que soit la situation dans l’entreprise, avec ou sans RSSI en interne, et y compris auprès de PME de taille moyenne, et pas uniquement les plus modestes. “Même dans une entreprise de 250 personnes, comme c’est le cas pour mon premier client, un RSSI à plein temps ne se justifie pas”, explique Jean-Luc Nier, RSSI à temps partagé. “Et puis de toute manière, les sociétés privilégient souvent l’opérationnel. Donc même avec quelqu’un en place en interne, elles sont souvent intéressées par un pilotage ponctuel à plus haut niveau, sans que cela ne puisse justifier un plein temps”, poursuit-il.

Mais qu’il soit RSSI ou adjoint, le freelance doit cependant arriver avec un solide bagage métier en plus de ses compétences sécurité. “Les clients apprécient certes l’ouverture d’esprit qu’apporte le fait d’intervenir auprès de plusieurs autres sociétés. Mais pour que cette mutualisation fonctionne réellement, le RSSI freelance doit avoir une spécialité, une vraie compétence métier en dehors de la sécurité et de l’informatique. Il doit se spécialiser dans une branche : il offrira ainsi un vrai retour métier, des conseils sur la politique de sécurité la mieux adaptée à l’activité de son client, une vraie connaissance des réglementations de son secteur”, met en garde Jean-Luc Nier.

Il devra aussi étendre plus largement le spectre de son intervention pour séduire l’entreprise. “J’offre aussi une assistance à la négociation des contrats de qualité de service, des conventions de service, en relation avec les métiers. J’estime que c’est également le rôle du RSSI que d’aider à garantir la fourniture des services essentiels à l’entreprise. Après tout, mon client ne peut pas s’engager à fournir ses services à ses clients si lui ne bénéficie pas de la même garantie de ses fournisseurs essentiels”, continue le RSSI freelance.

Et lorsqu’on lui demande quels sont les avantages de cette position de solo, il répond en la comparant avec son ancien poste de RSSI en interne : “En freelance, j’échappe aux jeux politiques internes ! Ce sont souvent des enjeux très forts, mais étant extérieur, je peux mettre plus facilement le doigt où ça fait mal, et jouer réellement mon rôle de RSSI. Je peux plus facilement en arriver à dire ‘ça c’est important, et en tant que RSSI externalisé, j’ai une responsabilité légale donc je demande une décharge si vous tenez vraiment à ne pas m'écouter’, par exemple”, explique Jean-Luc Nier.

Sur le front des inconvénients, en revanche, c’est bien entendu l’absence d’une structure capable de financer, notamment, les formations professionnelles, qui est jugée handicapante. “J’ai du planifier dans mon business plan mes formations ISO 27001, ISO 27005 et ISO 20000”.

Côté business enfin, Jean-Luc Nier, tout comme Patrick Boulet, l’autre freelance que nous avons rencontré, compte conserver une activité annexe. “Je vise deux ou trois clients au maximum, avec un contrat raisonnable de quatre à huit jours par mois pour chacun. Car je compte offrir par ailleurs d’autres services - tout un panel, en fait - et accueillir à terme d’autres personnes. Le RSSI sera, au final, celui qui organisera ces services pour son client”, prévoit-il.

Et est-ce que c’est rentable, en définitive, d’être RSSI freelance ? “Je gagne à peu près autant que lorsque j’étais salarié, mais je travaille plus ! J’apprécie toutefois la liberté et la diversité que cela m’offre. Et puis surtout, je n’ai plus à gérer les aspects politiques !” conclue Jean-Luc Nier.