La cybersecurite n'est plus une question uniquement technique. La loi 05-20 et les referentiels DGSSI imposent aux operateurs d'infrastructures vitales (OIV) une gouvernance structuree de la securite de l'information. Mais toutes les entreprises n'ont pas les moyens — ou le besoin — d'un CISO a temps plein. La solution : le CISO as a Service (CISOaaS).

Qu'est-ce que le CISOaaS ? Un professionnel certifie de la securite de l'information qui intervient a temps partiel ou sur mission pour assumer le role de CISO. Vous beneficiez d'un leadership strategique sans les couts d'un cadre dirigeant permanent.

Quand faire appel a un CISO externe ?

Un CISOaaS est particulierement pertinent dans ces situations :

  • Vous etes un OIV — la loi 05-20 vous impose des obligations de securite et de declaration d'incidents
  • Vous visez une certification ISO 27001 ou IEC 62443 — un CISO pilote le projet de mise en conformite
  • Vous n'avez pas d'expertise security interne — le responsable IT cumule toutes les fonctions
  • Apres un incident — vous souhaitez structurer votre approche de la securite
  • Vos clients ou partenaires l'exigent — les exigences de la supply chain se renforcent, notamment pour les exportateurs

Que fait concretement un CISO externe ?

  • Elaboration et maintien de la politique de securite de l'information
  • Analyse de risques et priorisation des mesures
  • Pilotage des projets securite (certifications, tests d'intrusion, sensibilisation)
  • Reporting a la direction sur la posture securite
  • Conseil en cas d'incident et gestion de crise
  • Accompagnement des audits DGSSI
  • Evaluation des fournisseurs et risques tiers

CISOaaS vs CISO interne

Au Maroc, recruter un RSSI (Responsable de la Securite des Systemes d'Information) qualifie represente un investissement consequent en salaire et avantages. Un CISO externe intervient sur base d'un nombre de jours fixes par mois, a un cout bien inferieur — typiquement entre 15 000 et 40 000 MAD par mois selon le perimetre.

De plus, un CISO externe apporte une experience multisectorielle. Cette vision large permet d'eviter l'effet tunnel et d'importer les meilleures pratiques observees dans d'autres organisations.

Criteres de choix

  1. Certifications reconnues — CISA, CISSP, ISO 27001 Lead Auditor ou equivalent
  2. Experience sectorielle — un CISO qui comprend les environnements OT est essentiel pour l'industrie
  3. Independance — privilegiez un prestataire qui ne vend pas simultanement des produits
  4. Disponibilite et SLA — nombre de jours par mois, reactivite en cas d'incident, frequence de reporting
  5. Connaissance du cadre marocain — loi 05-20, referentiels DGSSI, specificites locales

A la recherche d'un CISO externe ?

Resotech propose un service CISO as a Service avec des professionnels certifies, maitrisant aussi bien la securite IT que OT et le cadre reglementaire marocain.

Nous contacter   Notre service CISOaaS