Scorecard de recrutement · CYBERSÉCURITÉ / DIRECTION

Scorecard RSSI

Voici comment évaluer un RSSI en entretien : les compétences à noter, les questions à poser et les signaux d'alerte. Une grille de base, à ajuster selon votre contexte et vos priorités.

i

Un exemple à adapter. Cette scorecard est un modèle, pas une grille à appliquer telle quelle. Gardez les critères qui correspondent à votre poste et à votre équipe, ajustez ou retirez les autres. Le bon profil dépend de votre contexte.

Scorecard de recrutement

RSSI

La mission en une phrase

Résultats attendus
1

Une stratégie de sécurité alignée sur les enjeux métier

Le profil construit une feuille de route de sécurité priorisée selon le niveau de risque réel de l'entreprise, et il la fait valider par la direction plutôt que de l'imposer comme une contrainte technique.

2

Une gouvernance des risques et de la conformité maîtrisée

Il tient une cartographie des risques à jour, pilote les obligations réglementaires applicables et sait démontrer la posture de sécurité lors d'un audit ou d'une revue interne.

3

Une capacité de réponse aux incidents et aux crises éprouvée

Il met en place les dispositifs de détection et de réaction, coordonne la gestion de crise et conduit les retours d'expérience qui réduisent l'exposition dans la durée.

4

Une culture sécurité diffusée dans toute l'organisation

Il fait progresser les réflexes des équipes par la sensibilisation et l'accompagnement, et il obtient l'adhésion des métiers sans bloquer leur fonctionnement quotidien.

Compétences à noter de 1 à 5
1-2 Insuffisant
3 Correct, à challenger
4-5 Excellent
MUST-HAVEDéfinition et pilotage d'une stratégie de sécurité
12345

✗ Faible · Énumère des outils ou des projets isolés sans logique d'ensemble, et n'arrive pas à expliquer pourquoi tel chantier passait avant tel autre.

✓ Excellent · Décrit une feuille de route de sécurité qu'il a construite, explique ses arbitrages de priorisation et relie chaque chantier à un risque ou à un enjeu business identifié.

MUST-HAVEGouvernance des risques et conformité
12345

✗ Faible · Confond conformité et sécurité réelle, récite des référentiels sans les avoir appliqués et reste flou sur la mesure du niveau de risque.

✓ Excellent · Explique sa méthode de cartographie des risques, cite les cadres réglementaires qu'il a portés et raconte comment il a préparé et passé un audit de sécurité.

MUST-HAVEPolitique de sécurité et gestion de crise
12345

✗ Faible · Décrit des procédures restées théoriques, ou parle d'une crise comme spectateur sans avoir tenu de rôle de coordination ni tiré d'enseignement.

✓ Excellent · Détaille une politique de sécurité qu'il a rédigée et fait appliquer, et raconte un incident ou une crise qu'il a coordonné en précisant son rôle, ses décisions et le retour d'expérience.

MUST-HAVEGouvernance, leadership et pilotage d'équipe
12345

✗ Faible · Se positionne en expert technique solitaire, peine à fédérer d'autres équipes et reste démuni pour défendre un budget ou une décision en comité.

✓ Excellent · Explique comment il structure et anime une fonction sécurité, embarque des équipes transverses et obtient des moyens et des décisions auprès de la direction.

NICE-TO-HAVESécurité opérationnelle et architecture
12345

✗ Faible · Reste à un niveau de discours managérial, ne peut pas entrer dans le détail technique et perd la confiance des équipes opérationnelles.

✓ Excellent · Maîtrise les grands domaines techniques de la sécurité, sait dialoguer avec les équipes infrastructure et applicatives et challenge des choix d'architecture sans tout déléguer.

NICE-TO-HAVESensibilisation et diffusion de la culture sécurité
12345

✗ Faible · Réduit la sensibilisation à une formation annuelle obligatoire et n'a aucun indicateur de progression des réflexes des équipes.

✓ Excellent · Décrit des actions de sensibilisation concrètes qu'il a menées, mesure leur effet sur les comportements et adapte son discours aux métiers comme à la direction.

NICE-TO-HAVEPilotage des prestataires et des outils de sécurité
12345

✗ Faible · Délègue entièrement la sécurité à des prestataires sans capacité de contrôle, et juge les outils sur le discours commercial plutôt que sur le besoin réel.

✓ Excellent · Explique comment il sélectionne et pilote ses partenaires et ses solutions, en gardant la maîtrise du niveau de service et en évitant la dépendance excessive.

Savoir-être

Sens politique et relation avec la direction

✗ Faible · Reste dans le jargon technique face au comité de direction, ou alarme à tout propos au point de ne plus être écouté.

✓ Excellent · Sait traduire un risque technique en enjeu business, porter un message difficile au bon niveau et obtenir des décisions sans dramatiser.

Arbitrage entre sécurité et continuité du business

✗ Faible · Pose des exigences absolues qui bloquent les métiers, ou cède systématiquement à la pression au détriment de la sécurité.

✓ Excellent · Assume des compromis explicites entre niveau de protection et fluidité des activités, et défend une position fondée sur le risque plutôt que sur le principe.

Sang-froid en situation de crise

✗ Faible · Se laisse déborder, multiplie les actions désordonnées ou se referme et coupe la communication au plus mauvais moment.

✓ Excellent · Garde une posture claire sous pression, hiérarchise les actions, communique avec calme et tient son rôle de coordination jusqu'au retour à la normale.

Pédagogie et capacité à embarquer

✗ Faible · Impose des règles sans les expliquer, suscite du contournement par les utilisateurs et se coupe des métiers qu'il doit protéger.

✓ Excellent · Explique les enjeux de sécurité avec des mots simples, fait adhérer les équipes par le sens plutôt que par la contrainte et reste accessible au quotidien.

Questions d'évaluation
1

Compétences techniques

Comment construisez-vous et maintenez-vous une cartographie des risques, et comment vous en servez-vous pour décider ?

Évaluez la méthode, la mise à jour dans le temps et l'usage de la cartographie comme outil de décision et non comme document mort.

Comment préparez-vous et passez-vous un audit de sécurité ou une revue de conformité, et comment démontrez-vous votre posture ?

Évaluez la maîtrise des cadres applicables, la capacité à prouver le niveau réel de sécurité et la distinction entre conformité formelle et protection effective.

2

Réalisations & expérience

Racontez la stratégie de sécurité que vous avez définie dans votre dernier poste. Par où avez-vous commencé et comment avez-vous priorisé ?

Cherchez une démarche partant du risque et du contexte métier, des arbitrages assumés et une feuille de route réellement portée, pas une liste d'outils.

3

Mise en situation

Décrivez un incident de sécurité sérieux que vous avez géré. Quel a été votre rôle, vos décisions et ce que vous en avez tiré ensuite ?

Cherchez un rôle de coordination réel, des décisions sous pression, une communication maîtrisée et un retour d'expérience qui a fait évoluer le dispositif.

Un projet stratégique avance vite et un risque de sécurité important apparaît. Comment vous y prenez-vous avec l'équipe et avec la direction ?

Évaluez la capacité à arbitrer entre protection et continuité, à proposer des options graduées et à porter le sujet au bon niveau sans bloquer ni laisser passer.

4

Motivation & fit

Qu'est-ce qui vous attire dans une fonction de RSSI plutôt que dans un rôle d'expert ou de consultant en cybersécurité ?

Cherchez une appétence pour la gouvernance, le leadership et la relation à la direction, et non une fuite de la technique ou une recherche de titre.

5

Savoir-être & collaboration

Comment faites-vous pour qu'une politique de sécurité soit réellement appliquée plutôt que contournée par les équipes ?

Cherchez de la pédagogie, des actions de sensibilisation mesurées et une recherche d'adhésion plutôt qu'un raisonnement uniquement coercitif.

Signaux d'alerte
!

Raisonne uniquement en exigences techniques absolues sans tenir compte du business

Un RSSI qui ne sait pas arbitrer finit ignoré ou contourné, et la sécurité recule au lieu de progresser.

!

Confond conformité réglementaire et sécurité réelle

Cocher des cases ne protège pas l'entreprise. Un profil qui s'arrête à la conformité laisse passer les risques qui comptent vraiment.

!

Aucune expérience concrète de gestion de crise ou d'incident sérieux

C'est dans la crise que le rôle se joue. Sans vécu de coordination sous pression, la posture annoncée reste théorique.

!

Incapable de vulgariser ou se positionne en surplomb des métiers

Sans pédagogie ni relation de confiance, la direction ne suit pas et les équipes contournent les règles.

!

Délègue toute la sécurité aux prestataires et outils sans capacité de contrôle

La responsabilité reste interne. Un RSSI qui ne maîtrise pas ce qu'il sous-traite perd la main sur sa propre posture de sécurité.

Lecture du score

Notez chaque compétence et savoir-être de 1 à 5. Repère de décision : moyenne supérieure ou égale à 4 sur les must-have et aucun red flag majeur = go ; 3 à 4 avec réserves = à challenger en second tour ; un must-have sous 3 ou un red flag majeur = no-go. Un nice-to-have faible ne doit jamais éliminer un bon profil.

Questions fréquentes

Qu'est-ce qu'une scorecard pour recruter un RSSI ?

Une scorecard rssi est une grille d'évaluation structurée : elle liste les compétences et savoir-être à noter de 1 à 5, les questions d'entretien à poser et les signaux d'alerte. Elle permet de comparer les candidats sur des critères objectifs plutôt que sur une impression. On parle aussi de scorecard responsable de la sécurité des systèmes d'information, scorecard responsable sécurité si, scorecard ciso.

Comment utiliser cette scorecard RSSI ?

Téléchargez-la en PDF, Excel ou Notion, notez chaque critère de 1 à 5 pendant l'entretien, puis additionnez les scores du panel pour décider sur des faits. La version Excel calcule la moyenne et la décision automatiquement.

Quelle est la différence entre un RSSI et un consultant en cybersécurité ?

Le consultant en cybersécurité intervient sur un périmètre défini et pour une durée donnée. Il apporte une expertise pointue sur un audit, une remédiation ou un projet précis, puis passe au mandat suivant. Le RSSI est une fonction interne et permanente. Il porte la stratégie de sécurité dans la durée, gouverne les risques, anime une équipe et rend des comptes à la direction. Là où le consultant recommande, le RSSI décide, arbitre et assume la responsabilité dans le temps. Recruter un bon consultant ne dispense donc pas d'un RSSI, et un excellent expert technique ne fait pas forcément un bon RSSI.

RSSI ou CISO, faut-il distinguer les deux intitulés ?

RSSI et CISO désignent le même rôle, l'un en français et l'autre en anglais. La nuance est surtout une question de positionnement et de maturité de l'organisation. Le titre de CISO est souvent employé dans les contextes internationaux ou très structurés, et tend à signaler un rattachement et un poids plus proches du comité de direction. Au moment du cadrage du poste, l'important n'est pas l'intitulé mais le niveau de rattachement réel, le périmètre de décision et les moyens accordés. Un même titre peut recouvrir un rôle très opérationnel comme un rôle de gouvernance au plus haut niveau, et c'est cette réalité qu'il faut clarifier avant de recruter.