CISO as a Service
Bénéficiez d'un responsable de la sécurité des systèmes d'information expérimenté, sans les contraintes d'un recrutement à temps plein.
Qu'est-ce que le CISO as a Service ?
Le CISO as a Service (ou RSSI externalisé) permet à une organisation de bénéficier d'un responsable de la sécurité des systèmes d'information expérimenté, sans les contraintes d'un recrutement à temps plein. Cette formule est particulièrement adaptée aux organisations de taille moyenne qui nécessitent une gouvernance de la sécurité structurée mais dont le volume d'activité ne justifie pas un poste dédié.
Le RSSI externalisé définit et pilote la stratégie de sécurité de l'information, assure la gouvernance des politiques de sécurité et rend compte à la direction. Il agit comme un véritable membre de l'équipe, avec une connaissance approfondie de l'environnement, des contraintes et du contexte réglementaire de l'organisation.
Nos engagements : certifications CISSP, CISA, CISM et ISO 27001 Lead Implementer au sein de l'équipe. Confidentialité stricte et indépendance dans les recommandations. Veille continue sur les menaces, les réglementations et les bonnes pratiques.
Conseils pragmatiques adaptés à votre réalité opérationnelle et à vos ressources. Disponibilité par email et téléphone avec réponse sous 48 heures, réunions périodiques de suivi et rapport annuel d'activité.
certifications sécurité
délai de réponse garanti
Lead Implementer
Les missions du RSSI externalisé
Un accompagnement complet couvrant l'ensemble des responsabilités du responsable de la sécurité des systèmes d'information.
Stratégie et gouvernance
Définition de la stratégie de sécurité de l'information, alignement avec les objectifs métiers et présentation des orientations à la direction. Élaboration et maintien du cadre de gouvernance : politiques, procédures et directives de sécurité.
Gestion des risques
Pilotage de l'analyse de risques et du registre des risques, suivi du plan de traitement et reporting régulier à la direction sur l'évolution de la posture de sécurité.
Conformité et certification
Maintien de la conformité aux référentiels applicables (ISO 27001, NIS2, DORA). Préparation et suivi des audits internes et externes, coordination avec les organismes de certification et les régulateurs.
Gestion des incidents
Définition des procédures de détection et de réponse aux incidents de sécurité. Coordination de la gestion de crise en cas d'incident majeur et accompagnement dans la notification aux autorités compétentes.
Sensibilisation et culture sécurité
Animation de sessions de sensibilisation auprès des collaborateurs et de la direction. Promotion d'une culture de la sécurité au quotidien au sein de l'organisation.
Reporting à la direction
Production de tableaux de bord et de rapports périodiques à destination de la direction et des organes de gouvernance. Suivi des indicateurs clés de sécurité et recommandations d'évolution.
Prérequis
Engagement de la direction dans la démarche de sécurité de l'information. Un interlocuteur dédié au sein de l'organisation (direction ou IT). Accès à la documentation existante : politiques, procédures, inventaires d'actifs, résultats d'audits. Implication du RSSI externalisé dans les projets ayant un impact sur la sécurité de l'information.
Infrastructure critique
RSSI externalisé combiné au maintien et à l'extension de la certification ISO 27001
Un opérateur belge d'infrastructure critique, déjà certifié ISO 27001 sur une partie de son périmètre, a confié à Tomeris le rôle de RSSI externalisé. La particularité de cette mission : elle combine le pilotage de la sécurité de l'information avec le maintien et l'extension de la certification ISO 27001.
Au quotidien, Tomeris assure la gouvernance des politiques de sécurité, le suivi du registre des risques, la coordination avec les équipes IT et le reporting à la direction. En parallèle, l'ensemble des travaux liés au SMSI sont pilotés dans la continuité : audits internes, revues de direction, mise à jour de l'analyse de risques et préparation des audits de surveillance.
Cette double casquette RSSI et Lead Implementer ISO 27001 offre une cohérence et une efficacité rares : la stratégie de sécurité et la démarche de certification avancent de concert, sans perte d'information ni redondance d'efforts.
Une approche intégrée qui maximise la valeur de chaque intervention en combinant gouvernance de la sécurité et démarche de certification.
Résultats
Besoin d'un RSSI externalisé ?
Confiez la gouvernance de votre sécurité de l'information à une équipe certifiée et expérimentée.