“Le RSSI, qu’il soit interne ou externe, freelance ou délégué par une société, fera le même métier ! En revanche, je ne pense pas que le niveau puisse être comparable sur le long terme entre un RSSI qui exerce seul et un autre qui bénéficie du soutien d’une structure”, avance Pedro Sousa, PDG de Plenium, une société qui fournit des DSI et RSSI délégués. “C’est un peu comme la médecine, poursuit-il. Je peux être généraliste, mais aussi chirurgien, orthopédiste, etc… C’est un domaine très vaste et il est difficile pour une personne isolée de tout maîtriser. Ceci-dit, le problème se pose aussi dans une certaine mesure pour le RSSI en interne”.

D’après Pedro Sousa, une société prestataire sera plus à même de tirer profit de la mutualisation des expériences de ses délégués. “Cela peut porter sur la rédaction de la charte internet, ou de la politique de sécurité, qui s’appuiera sur une expérience terrain plus importante que celle d’un RSSI solo”.

La formation, également, est facilitée par la présence d’une structure. “Il est extrêmement difficile de se former régulièrement. Le risque pour un individuel est de rester ‘scotcher’ à une période, un niveau technologique. Tandis qu’il nous sera plus facile de faire tourner nos DSI / RSSI afin qu’ils se forment régulièrement”, argumente le PDG.

Pedro Sousa reconnaît cependant que, lorsqu’arrive la facture, le RSSI freelance, qui n’a justement pas de frais de structure à assumer, sera probablement moins cher.

Moins cher d’un côté, plus de ressources de l’autre : les deux approches sont-elles concurrentes ou complémentaires ? “Pas vraiment concurrentes dans la mesure ou notre véritable concurrent, en fait, c’est le DSI ou le RSSI en interne ! Car la plupart des PME ne sous-traitent pas encore leur DSI ou leur RSSI. Il faut donc qu’elles franchissent déjà le pas de la sous-traitance ! Pour le reste, nous sommes parfaitement capables de travailler avec un RSSI freelance si c’est le choix de la société (en déléguant un DSI, par exemple, ndlr)”, conclue Pedro Sousa.