15/07/2026
Cybersecurity Insights
RSSI : la quête du Graal commence par renoncer à l’outil parfait
Deux RSSI, deux générations, une même désillusion productive.
François EHLY est RSSI depuis une quinzaine d’années. Florence EXMELIN est experte en gestion des risques et vient de prendre ses premières fonctions de RSSI. Profils complémentaires, ils ont accepté de confronter leurs visions sur une question qui revient à chaque salon, chaque appel d’offres, chaque comité de direction : comment s’outiller ? Réponse en dialogue.
Acte I — Le fantasme de l'outil universel
Florence
Quand j’ai pris mon poste de RSSI, l’une de mes premières missions a été de cartographier les outils en place. Et honnêtement, c’était vertigineux. Un SIEM par-là, une solution GRC bricolée sous Excel par-là, une solution de gestion des risques à moitié déployée, des tableaux de bord PowerPoint alimentés à la main. Je me suis dit : il doit bien exister un outil qui fait tout ça correctement.
François
Bienvenue dans le club. Cette pensée, je l’ai eue au moins dix fois dans ma carrière. Et dix fois, j’ai déchanté. Pas parce que les outils sont mauvais — certains sont excellents — mais parce que la question de départ est mal posée. On ne cherche pas l’outil qui fait tout. On cherche l’outil ou la combinaison d’outils qui colle à notre contexte, à notre organisation, à nos priorités du moment.
Florence
Ce que tu décris ressemble à une forme de deuil.
François
Exactement. Et comme tout deuil, il est libérateur. Tant qu’on court après le Graal, on ne construit rien. On pilote en attendant mieux. Le jour où j’ai accepté que le Graal n’existait pas, j’ai commencé à travailler sérieusement sur mon écosystème d’outils. À chercher, non pas la perfection, mais une combinaison cohérente : suffisamment robuste pour répondre aux besoins du moment, mais aussi suffisamment compréhensible pour durer au-delà de la personne qui l’a mise en place.
Acte II — La jungle des éditeurs
Florence
Justement, quand j’ai commencé à regarder le marché pour compléter notre stack, j’ai été frappée par le chevauchement entre solutions : un outil de GRC qui fait de l’analyse de risques, un outil d’analyse de risques qui intègre un module de conformité, une plateforme de conformité qui propose maintenant de la gestion des incidents… On ne sait plus très bien ce qu’on achète, ni ce qu’on double.
François
C’est le recouvrement fonctionnel classique entre éditeurs. Chaque éditeur étend son périmètre vers les territoires voisins pour élargir son adressable et surtout pour créer du lien durable avec ses clients. Le RSSI se retrouve alors devant un catalogue où tout se ressemble sans que rien ne soit identique. Comparer les outils relève alors de la gageure, parce qu’on ne compare jamais des périmètres strictement équivalents.
Florence
Et comment on s’en sort ?
François
En arrêtant de comparer les outils entre eux et en commençant par définir soi-même les frontières fonctionnelles selon ses besoins. Avant toute démo, je pose sur papier : quel est le périmètre que je veux couvrir avec cet outil et qu’est-ce qui doit rester dans un autre ? C’est ce cadre qui permet de résister au discours parfois trop optimiste. La discipline de définition du besoin est la seule protection contre la jungle.
Acte III — Deux familles d'outils, deux logiques
Florence
En réalisant cet inventaire, j’ai eu l’impression que certains outils me servaient à moi — pour voir, comprendre, piloter — et d’autres avaient une vocation plus externe, comme parler aux métiers ou à la direction. Est-ce que tu fais cette distinction ?
François
Oui, et c’est une distinction fondamentale que l’on ne fait pas assez quand on construit sa stack. Je ne parlerais pas de deux familles étanches, mais de deux finalités principales. La première consiste à mieux piloter en interne, avec des outils au service du RSSI : les consoles techniques, les tableaux de bord de KPI, les agrégateurs d’alertes, les outils de reporting interne. Ce sont des outils de pilotage, de « visibilité » — ils te donnent l’information dont tu as besoin pour faire ton travail, pour prendre des décisions, pour rendre compte à ta hiérarchie. Sans eux, tu opères à l’aveugle.
Florence
Et de l’autre côté ?
François
La seconde finalité est de faire agir et dialoguer l’organisation. Les outils GRC qui permettent à un chef de projet de déclarer lui-même un nouveau traitement ou un nouveau composant. Les plateformes de sensibilisation qui parlent aux collaborateurs dans leur propre langage. Les outils de gestion des risques fournisseurs qui impliquent les métiers et les achats. Ces outils-là ne te servent pas à toi directement : ils servent l’organisation à travers toi. Et c’est précisément là que se joue l’influence du RSSI.
Florence
Donc un bon outillage, c’est un équilibre entre les deux finalités ?
François
Un équilibre, oui, mais surtout une articulation. Un RSSI qui n’a que des outils de visibilité reste dans sa tour. Il reste dans une logique de pilotage interne : il voit beaucoup, mais peine à faire agir. À l’inverse, un RSSI qui mise tout sur le dialogue sans avoir ses propres instruments de mesure parle sans chiffres, sans preuves. Les deux dimensions se nourrissent mutuellement : les KPI internes alimentent les conversations externes et les remontées du terrain enrichissent la cartographie des risques. C’est un circuit, pas deux étagères séparées.
Acte IV — Le piège du « one man / one tool »
Florence
Ce que tu décris suppose que l’outil soit vraiment ancré dans l’organisation : pas seulement dans la tête du RSSI. Et justement, en prenant mon poste, j’ai découvert des outils que personne d’autre ne savait utiliser. Mon prédécesseur était parti et avec lui, la connaissance de la moitié de la stack.
François
C’est l’un des angles morts les plus sous-estimés du métier. J’appelle ça le syndrome « one man / one tool » : un RSSI arrive, choisit ses outils, les configure à sa façon, les alimente de ses propres schémas de pensée et quand il part, l’outil part avec lui. Pas physiquement, bien sûr, mais fonctionnellement. Les tableaux de bord ne veulent plus rien dire pour son successeur, les workflows tombent en désuétude, et l’organisation se retrouve avec des licences qui tournent à vide.
Florence
C’est presque une forme de dette technique, mais appliquée à la gouvernance cyber.
François
Et comme toute dette technique, elle est invisible tant qu’on ne la rembourse pas — c’est-à-dire tant que le RSSI est là. Le problème éclate au moment de la transition : nouveau RSSI, audit, crise. C’est là qu’on réalise que l’outil était en réalité une extension du RSSI, pas un actif de l’organisation. Un bon outil doit survivre à son initiateur. Ça signifie de la documentation, des processus associés, des personnes formées autour, pas juste un super-utilisateur unique.
Florence
Et ça change aussi le critère de choix dès le départ. Un outil qu’on est seul à maîtriser, c’est peut-être déjà un mauvais signe.
François
Exactement. La courbe d’apprentissage d’un outil, c’est aussi la courbe d’apprentissage de l’organisation. Si cette courbe est trop raide, trop personnalisée, trop dépendante du RSSI en place, l’outil devient un risque en lui-même. J’ai vu des organisations perdre six mois à reconstruire une cartographie des risques après un départ, simplement parce que personne ne comprenait comment l’outil avait été configuré. Six mois, pour rétablir un reporting fiable, préparer un audit ou remettre des plans de traitement en mouvement, c’est considérable.
La transférabilité, comme la réversibilité plus généralement, ne doit donc pas être traitée comme un simple sujet de déploiement. C’est un critère de choix dès l’achat.
Acte V — Ce que l'outillage dit de la maturité
Florence
Si tu devais résumer ce qu’un bon outillage dit d’une organisation, tu dirais quoi ?
François
Je dirais que . Une organisation qui empile des outils sans les intégrer n’a pas un problème d’outils, elle a un problème de gouvernance. Une organisation qui a peu d’outils mais qui les fait vraiment travailler ensemble, qui a pensé ses flux, qui sait pourquoi chaque brique est là et qui est capable de l’expliquer à un successeur — celle-là est souvent bien plus résiliente que sa voisine bardée de licences.
Florence
Et pour un RSSI qui commence, tu conseilles quoi concrètement ?
François
De ne pas commencer par les outils. De commencer par les flux et les populations. Qu’est-ce que je dois voir ? Qu’est-ce que je dois faire circuler, vers qui, à quel moment ? Est-ce que cet outil me sert à moi, ou est-ce qu’il crée de la valeur pour les autres ? Et avant toute démo : ai-je défini mes propres frontières fonctionnelles, pour ne pas me laisser emporter par le discours de l’éditeur ? Une fois que tu as ces réponses, le choix des outils devient presque secondaire. Dernière chose : documente. Pas pour toi. Pour ton successeur. Un outil que tu es le seul à comprendre n’est pas un actif, c’est une dépendance.
Florence
L’outil parfait n’existe pas. Mais l’outillage juste : celui qui connecte, qui fait circuler, qui sert autant le RSSI que ses interlocuteurs et qui survit à son initiateur, lui, il est à notre portée.
François
Exactement. Et c’est déjà beaucoup.
Florence EXMELIN
Consultante GRC, RSSI
François EHLY
Manager GRC, RSSI