Les 90 premiers jours du RSSI, par où commencer ?

Publié le 16 février 2026 à 17:25

Lorsque que l’on prend son poste de RSSI, il nous faut trouver l’équilibre entre comprendre, prioriser et créer de la traction.

Alors par où commencer ?

 

1 - Cartographier la réalité et remplacer les suppositions par des faits en impliquant :

 

  • Direction générale / COMEX
  • DSI / responsables infra / cloud / poste de travail
  • Risk, juridique, conformité, audit interne
  • Métiers critiques (prod, finance, R&D…)
  • Équipe SOC / CERT / prestataires MSSP s’il y en a

 

Afin d’essayer de comprendre :

 

  • Leurs attentes vis-à-vis de la sécurité
  • Leurs irritants
  • Leur perception du niveau de risque
  • Les incidents marquants passés

 

Récupérer tout l’existant :

 

  • Politiques et PSSI
  • Cartographie du SI
  • Résultats d’audits / pentests
  • Registre de risques
  • Backlog projets sécurité
  • Contrats d’infogérance / cloud

 

Puis analyser ce qui est vital pour l’entreprise :

 

  • Qu’est-ce qui ferait la une des journaux demain ?
  • Où sont les données les plus sensibles ?
  • Qu’est-ce qui empêche d’améliorer la sécurité aujourd’hui ?

 

2 - Comprendre la maturité actuelle

Choisis un référentiel simple pour parler le même langage que la direction.

Par exemple :

 

  • National Institute of Standards and Technology (CSF)
  • International Organization for Standardization / ISO 27001
  • Center for Internet Security Controls

 

Faire une photographie macro :

 

  • Gouvernance
  • Gestion des identités
  • Sauvegardes
  • Détection / réponse à incident
  • Gestion des vulnérabilités
  • Sécurité cloud
  • Sensibilisation utilisateurs

 

Le but est d’identifier les trous béants, les quick wins et les sujets structurants à long terme.

3 - Identifier les risques dominants

En général, ils tombent souvent dans ces familles :

 

  • Ransomware
  • Compromission de comptes (phishing / MFA absent)
  • Exposition internet mal maîtrisée
  • Dépendance fournisseurs
  • Absence de PRA/PCA testé

 

L’objectif est de pouvoir dire rapidement à la direction : « Voici les 3 scénarios qui peuvent arrêter le business. Voici notre niveau de préparation. ».

4 - Livrer quelque chose de visible rapidement

Rien de pire qu’un RSSI perçu comme théorique. Exemples de gains rapides :

 

  • Activer / généraliser le MFA
  • Corriger les vulnérabilités critiques exposées
  • Formaliser l’astreinte incident
  • Remettre en état les sauvegardes
  • Tableau de bord clair pour le COMEX

 

L’objectif est de rentrer rapidement dans l’action et de montrer des résultats concrets.

5 - Construire La feuille de route sécurité

Typiquement sur 12–24 mois, priorisée par le risque et la capacité réelle de l’organisation.

Il est généralement nécessaire d’y mettre :

 

  • Fondations (IAM, patch, logging, backup)
  • Conformité / réglementaire
  • Outillage SOC
  • Gouvernance
  • Culture sécurité

 

Cette roadmap est un contrat moral avec la direction.

6 - Installer un positionnement politique dans l’organisation

Un RSSI performant est :

 

  • Partenaire du business
  • Pas le département du « non »
  • Capable de proposer des alternatives sécurisées

 

Il faut très tôt créer des alliances avec la DSI et quelques sponsors métiers.

7 – Enfin il y a des pièges classiques à éviter

 

  • Vouloir tout faire / refaire immédiatement
  • Publier 200 pages de politique
  • Parler uniquement technique
  • Ignorer la dette organisationnelle
  • Promettre une sécurité parfaite

«