Recruter un RSSI à temps plein coûte entre 120 et 180 000 € par an chargé. Pour la majorité des PME et ETI, ce poste n'est ni accessible ni nécessaire. Le RSSI externalisé (ou vCISO — virtual Chief Information Security Officer) répond à cette équation en apportant le même niveau d'expertise, dosé au volume réellement utile.
Trois chiffres à retenir
Le marché en un coup d'œil
150 k€
Coût annuel chargé d'un RSSI senior interne
Salaire 90-120 k€ + charges + formation + outils
1 200 à 1 800 €
Tarif jour d'un RSSI externalisé senior
Selon expérience, secteur et région
20 à 50 j/an
Volume typique pour une PME 50-300 salariés
Soit 24 à 90 k€ HT par an
À quel moment
À partir de quelle taille d'entreprise ?
La question n'est pas seulement la taille — c'est le trio taille / secteur / exposition réglementaire.
Oui
Un audit ponctuel + de la sensibilisation suffisent. RSSI externalisé pas encore prioritaire.
Non
Le RSSI externalisé devient pertinent.
Oui
Sweet spot du RSSI externalisé : flexibilité, expertise, conformité.
Non
Cas particulier — audit personnalisé recommandé.
Oui
Le recrutement d'un RSSI interne devient économiquement plus pertinent.
Non
Le mix interne + externalisé fonctionne souvent (vCISO en backup d'un RSSI junior).
Les 4 modèles
Comment se facture un RSSI externalisé ?
Le plus flexible
Régie au jour
- Tarif : 1 000 à 2 000 € HT / jour senior
- Volume : 1 à 5 jours / mois selon besoin
- Idéal pour : démarrage, mission ponctuelle, audit
- Risque : facilité à dériver si pas de cadrage
Le plus prévisible
Forfait mensuel
- Tarif : 1 500 à 6 000 € HT / mois
- Volume : 2 à 8 jours forfaitaires
- Idéal pour : pilotage continu, conformité, comité
- Risque : sous-utilisation possible certains mois
Le plus engageant
Forfait annuel global
- Tarif : 18 000 à 60 000 € HT / an
- Volume : programme défini, jalons trimestriels
- Idéal pour : trajectoire NIS2 / ISO 27001
- Risque : nécessite un partenaire de confiance
Le plus large
Mission complète + outillage
- Tarif : 40 000 à 150 000 € HT / an
- Volume : RSSI + EDR/MDR + sensibilisation incluse
- Idéal pour : externalisation totale du dispositif sécu
- Risque : verrouillage technologique
Le calcul qui tranche
Interne vs externalisé : la comparaison chiffrée
| Poste | RSSI interne (1 ETP) | RSSI externalisé (50 j/an) |
|---|---|---|
| Salaire / honoraires | 90 à 120 k€ | 60 à 90 k€ |
| Charges patronales | 40 à 50 k€ | — (inclus) |
| Formation continue | 5 à 10 k€ | — (inclus) |
| Outils, abonnements | 8 à 15 k€ | partiellement inclus |
| Recrutement initial | 15 à 30 k€ (cabinet) | — |
| Risque turnover (12-18 mois) | Élevé sur ce poste | Faible |
| Total annuel | 140 à 200 k€ | 60 à 90 k€ |
| Disponibilité | 100 % du temps | 5 à 20 % du temps |
| Expertise multi-sectorielle | Limitée à son parcours | Diversifiée par essence |
Ce que vous achetez vraiment
Le contenu d'une mission RSSI externalisée
- Pilotage stratégique : feuille de route, priorisation, comité sécurité trimestriel
- Conformité : suivi NIS2 / ISO 27001 / RGPD / DORA selon votre secteur
- Gestion des risques : analyse, cartographie, plan de traitement
- Politique SSI : rédaction, mise à jour, déclinaison opérationnelle
- Sensibilisation : programme annuel, simulations, indicateurs
- Réponse à incident : pilotage de crise, coordination forensic et juridique
- Audits & contrôles : préparation, réponse aux questionnaires clients, audits fournisseurs
- Veille réglementaire et technologique adaptée à votre secteur
Comment décider
3 étapes pour cadrer votre besoin
Étape 1
Auto-diagnostic en 30 minutes
Posez votre maturité actuelle (gouvernance, technique, conformité) sur une échelle 0-3.
Étape 2
Volumétrie cible
Évaluez le nombre de jours/an nécessaires : 12 jours (conformité légère) à 60 jours (trajectoire NIS2 + ISO).
Étape 3
Choix du modèle
Forfait mensuel sur 6 mois pour démarrer, puis forfait annuel structurant une fois la trajectoire posée.
Discutons-en 30 minutes, sans engagement
Un échange franc avec un consultant sénior pour cadrer vos priorités cybersécurité et clarifier vos obligations.
Prendre rendez-vous