Le second baromètre national de la maturité cyber des TPE-PME, publié fin 2025, montre un paradoxe devenu classique: les dirigeants perçoivent mieux leur exposition, mais peu d'entreprises ont encore formalisé la gouvernance qui permet de tenir dans la durée. La procédure de réaction, la politique de sécurité et le pilotage régulier restent trop souvent absents.

C'est précisément là qu'intervient la question du RSSI à temps partagé. Pour une PME de 50 à 400 salariés, ce modèle ne remplace pas une équipe technique. Il donne un cadre, mesure les risques, arbitre les priorités et livre les documents que la direction doit pouvoir produire en cas d'incident, d'audit client ou de contrôle réglementaire.

16 %
des TPE-PME interrogées déclarent avoir subi au moins un incident cyber sur 12 mois.
24 %
disposent d'une procédure de réaction formalisée face aux cyberattaques.
44 %
se considèrent fortement exposées, signe que le sujet est désormais perçu au niveau direction.

Pourquoi les PME sont exposées, même lorsqu'elles n'ont pas de profil "à risque"

Une PME n'est pas vulnérable parce qu'elle serait petite. Elle l'est parce que la sécurité reste souvent répartie entre plusieurs acteurs qui n'ont ni le mandat ni le temps de la piloter. Le prestataire infogérance sécurise l'exploitation. Le responsable informatique traite les urgences. Le DAF gère les contrats. Le DG arbitre les dépenses. Mais personne ne tient la vue d'ensemble.

Sans RSSI, il manque généralement quatre éléments structurants: une politique de sécurité claire, une mesure régulière du niveau de risque, une priorisation des chantiers et un dispositif de crise. Tant qu'il ne se passe rien, cette absence reste invisible. Le jour où une sauvegarde ne redémarre pas, où un compte M365 est compromis ou où un client exige des preuves de maîtrise, l'entreprise découvre que sa cybersécurité n'était pas pilotée, seulement exploitée.

Le point critique pour une direction générale:le risque cyber n'est plus un sujet technique périphérique. Il affecte la continuité d'activité, la responsabilité vis-à-vis des données personnelles, la relation bancaire, la couverture assurantielle et la crédibilité commerciale face aux grands donneurs d'ordre.

NIS2, RGPD, DORA: les obligations qui se rapprochent des PME

Le RGPD est déjà là depuis longtemps, mais il reste souvent traité comme un dossier documentaire. En réalité, il impose une discipline opérationnelle: documenter les traitements, sécuriser les données, qualifier les incidents et notifier la CNIL dans les délais quand le risque l'exige. Sur ce terrain, un RSSI externalisé PMEtravaille avec la direction et les métiers, pas seulement avec l'informatique.

NIS2 change d'échelle. Son périmètre élargi touche de nouvelles entités et, surtout, leurs fournisseurs. Pour beaucoup de PME industrielles, de services ou de santé, l'effet concret ne viendra pas forcément d'un contrôle immédiat, mais d'une exigence contractuelle: questionnaire sécurité, plan de continuité, gestion des accès, gouvernance de crise, preuves de tests et de revue des prestataires.

DORA, de son côté, concerne directement les acteurs financiers et leurs prestataires TIC critiques. Mais son impact dépasse le secteur financier strict: dès qu'une PME travaille pour une banque, une assurance, un courtier ou une fintech, elle peut voir remonter les mêmes attentes de traçabilité, de résilience et de contrôle fournisseur.

RSSI à temps partagé ou RSSI interne: le calcul économique réel

La comparaison n'oppose pas un "vrai" RSSI à une version dégradée. Elle oppose deux modèles de capacité. Un RSSI interne est cohérent quand le volume de projets, l'intensité réglementaire et l'exposition justifient une présence permanente. Beaucoup de PME n'en sont pas là. Elles ont besoin d'une direction sécurité senior, mais pas d'un poste à temps plein.

Calcul économique
RSSI interne
Pertinent quand l'entreprise a déjà une forte volumétrie, une exposition réglementaire continue ou plusieurs chantiers cyber simultanés. En IDF, le coût complet d'un profil senior dépasse vite 110 k€ à 150 k€ par an une fois intégrés salaire, charges, recrutement, outils et temps de management.
Calcul économique
RSSI à temps partagé
Pertinent quand il faut cadrer, piloter et mesurer sans créer un poste permanent. À 2 à 4 jours par mois, beaucoup de PME structurent déjà leur gouvernance cyber pour un budget annuel nettement inférieur à un recrutement en CDI.

En pratique, le modèle à temps partagé permet d'acheter du niveau de décision plutôt que du temps opérationnel. Le RSSI ne passe pas ses journées à administrer des outils. Il cadre, pilote, sécurise les arbitrages et mesure les écarts. C'est précisément ce qui manque aux PME: une autorité cyber suffisamment senior pour dialoguer avec la direction, les métiers, les prestataires et, si nécessaire, les clients régulés.

Ce qu'un RSSI temps partagé livre concrètement

Un RSSI à temps partagé n'est utile que s'il produit des livrables et un rythme de pilotage. Son rôle n'est pas de tenir un discours général sur la cybersécurité. Il doit mettre l'entreprise en position de décider, de prouver et de réagir.

  • une PSSI proportionnée à l'activité, validée par la direction
  • une cartographie des risques et un plan d'actions priorisé
  • un PCA/PRA réaliste, avec scénarios testés et responsabilités claires
  • des audits ciblés sur les accès, les sauvegardes, les prestataires et les usages sensibles
  • un programme de sensibilisation des équipes et de formation des managers
Cadre
Gouvernance lisible
Comité sécurité, indicateurs de maturité, registre des décisions et calendrier de revues. La direction retrouve une vision exploitable, pas une liste d'alertes techniques.
Résilience
Crise préparée
Qui décide, qui communique, qui coupe les accès, qui relance l'activité. Quand ces rôles sont définis avant l'incident, la perte de temps et les erreurs de coordination chutent fortement.
Culture
Équipes sensibilisées
Formation ciblée des managers, rappels sur les usages sensibles, exercices simples et réguliers. La sécurité cesse d'être une campagne ponctuelle pour devenir un réflexe managérial.

Conclusion

Pour une PME d'Île-de-France, la vraie question n'est plus de savoir s'il faut "faire de la cyber". Elle est de savoir qui la pilote avec suffisamment d'autorité, de méthode et de continuité. Tant que ce rôle n'est pas attribué, le risque reste diffus, donc mal traité.

Le RSSI temps partagén'est pas un luxe réservé aux structures très réglementées. C'est souvent le seuil minimal pour sécuriser la décision, mesurer l'exposition réelle et livrer les preuves attendues par les partenaires, les assureurs et les autorités. Une direction qui n'a pas encore répondu à cette question devrait au moins l'inscrire à son agenda stratégique.