Le passage de RSSI interne à consultant promet autonomie et impact, mais oblige également les responsables de la sécurité à repenser à la fois leurs compétences et leur état d’esprit.
Ce qui a finalement cristallisé la décision, c’est l’idée que son impact ne devait pas s’arrêter aux confins d’une seule organisation. « Je résolvais les mêmes problèmes à plusieurs reprises dans une entreprise », dit-il, « alors que je pouvais les résoudre pour plusieurs entreprises simultanément, multipliant ainsi mon impact et aidant davantage d’entreprises à se développer grâce à un leadership pragmatique en matière de sécurité. »
En août 2025, Kokhreidze a lancé son entreprise de conseil, Mandos. Mais il prend garde à ne pas idéaliser cette décision. « Il est important de rester réaliste », dit-il. Partir seul demande du temps et de la patience. Cela signifie déterminer où vous pouvez être le plus utile. Et être prêt à rester flexible. « Vous devez être prêt à changer de cap lorsque vous avez de nouvelles idées ou lorsque les choses ne fonctionnent pas », dit-il.
Comme Kokhreidze, un nombre croissant de RSSI se tournent vers des postes de conseil ou envisagent sérieusement de le faire. L’attrait est évident : plus de flexibilité et un apprentissage plus rapide, parallèlement à une demande constante de responsables de la sécurité expérimentés.
Certains de ces professionnels travaillent en tant que RSSI virtuels (vCISO), conseillant les entreprises à distance. D’autres fonctionnent comme des RSSI fractionnés, s’intégrant à l’organisation un ou deux jours par semaine.
« Le conseil me donne plus d’autonomie et de contrôle sur ma façon de travailler, tout en me permettant d’appliquer la même approche stratégique pour améliorer la résilience, la gouvernance et l’exécution pratique de la sécurité », déclare Antanas Kedys, fondateur et PDG d’ACyber. Il est passé du rôle de RSSI interne au conseil en 2022, car il souhaitait évoluer et travailler dans différents environnements.
Lorsqu’un RSSI passe au conseil, son rôle évolue d’une manière qui n’est pas toujours évidente au premier abord. Le nouvel emploi signifie perfectionner certaines compétences, en acquérir de toutes nouvelles et, ce qui est peut-être le plus difficile, apprendre à abandonner le contrôle.
« En tant que RSSI, vous pouvez mandater ; en tant que consultant, vous ne pouvez qu’influencer », explique Nigel Gibbons, directeur et conseiller principal chez NCC Group.
Comment se préparer à passer du statut de responsable de la sécurité à celui de consultant
Bien avant de quitter son poste à plein temps, Kokhreidze et d’autres responsables de la sécurité ont tenté de planifier tranquillement leur avenir. Ils ont testé des idées, acquis une visibilité, renoué avec d’anciens contacts et commencé à identifier leurs clients potentiels. La liste des potentiels devrait être longue, car peu de conversations ont tendance à se transformer en véritable travail.
« Si quelqu’un ne vous demande pas maintenant de le consulter, cela peut prendre 12 à 18 mois avant que vous décrochiez votre premier client », explique Carlota Sage. Elle a occupé un poste de RSSI à temps partiel dans une organisation à but non lucratif avant de se lancer dans le travail de vCISO. Plus tard, elle a fondé Pocket CISO, qui fournit des services de cybersécurité aux startups en démarrage et aux petites organisations.
Kokhreidze est d’accord avec elle. Pour une transition plus fluide, il suggère aux RSSI de recruter leurs premiers clients alors qu’ils sont encore employés. Autrement, dit-il, il faudra peut-être beaucoup de temps pour créer une dynamique. Et la pression pour que cela fonctionne peut rapidement se transformer en panique. À ce moment-là, les professionnels de la sécurité peuvent commencer à « se sous-évaluer parce qu’ils ont besoin d’argent immédiatement », dit-il. Une fois que les taux sont fixés en désespoir de cause, il est souvent difficile de les réinitialiser sans mettre à rude épreuve la relation.
D’autres RSSI devenus consultants mettent également l’accent sur la préparation. Kedys, par exemple, souligne la nécessité de se concentrer sur le marché. « Décidez qui vous souhaitez conseiller (secteur, taille de l’entreprise, maturité), quels problèmes vous allez résoudre et pourquoi vous êtes crédible dans ce domaine », explique-t-il. « La combinaison de solides compétences générales et d’une vision claire – qui, comment et pourquoi – constitue le meilleur point de départ pour une transition réussie. »
Gibbons ajoute que le conseil devrait découler de l’expérience existante d’un RSSI. Il suggère de traiter cette expérience comme un ensemble d’études de cas réels qui méritent d’être évoqués, capturant les décisions, les compromis, ce qui n’a pas fonctionné et ce qui a fonctionné. Il souligne également l’importance d’établir des relations au-delà de la fonction de sécurité, notamment avec les équipes juridiques, les auditeurs, les régulateurs et les investisseurs. « Le conseil est en fin de compte un métier de confiance et non un métier technique », ajoute-t-il.
Des compétences transposées dans le conseil
De nombreuses compétences acquises par les RSSI au sein des grandes organisations se traduisent directement par le nouveau métier de consultant, tandis que d’autres comptent soudainement plus qu’elles ne l’ont jamais été auparavant. Outre les compétences techniques, ce sont souvent les compétences pratiques qui s’avèrent les plus précieuses.
La capacité à établir des priorités – renforcée au fil des années dans un rôle de RSSI – devient particulièrement importante dans le conseil. «C’est plus important que toute autre chose», affirme Gibbons, car dans les environnements de conseil, les ressources sont souvent limitées. Les consultants ne sont pas payés pour tout savoir, mais pour savoir ce qui compte le plus, quels risques il faut résoudre en premier et quels problèmes peuvent attendre en toute sécurité.
La gestion de crise est une autre compétence essentielle. Associé à une connaissance pratique des processus et des bonnes pratiques en matière de cybersécurité, il donne aux anciens RSSI un réel avantage dans leur évolution vers le conseil. Kedys met l’accent sur la gestion du stress : la capacité à rester calme, concentré et à maintenir l’exécution sous pression, ce qui est tout aussi précieux en dehors de l’entreprise qu’à l’intérieur.
Mais s’il existe une compétence traduisible dont tout le monde parle, c’est bien celle de la communication. « Toutes vos connaissances en matière de sécurité et de conformité sont gaspillées si vous ne pouvez pas communiquer avec un public professionnel », déclare Sage.
Kokhreidzé est d’accord. Au lieu de diriger avec des contrôles, des outils ou des détails techniques, il se concentre sur ce qui intéresse réellement les CTO et autres dirigeants d’entreprise : les résultats. Il explique comment la sécurité protège les revenus, soutient la résilience ou renforce la confiance auprès des régulateurs.
Nouvelles compétences nécessaires dans la boîte à outils
À mesure que les RSSI se lancent dans le conseil, ils découvrent rapidement qu’ils ont également besoin de nouvelles compétences, dont certaines qu’ils ont peut-être délibérément évitées dans leurs fonctions internes. Le principal d’entre eux est la vente. « Quatre-vingts pour cent de votre travail consiste à vous vendre », explique Kokhreidze. « Vous êtes d’abord une entreprise, et ensuite le RSSI. »
Et être une entreprise prend du temps. Les consultants doivent jongler entre l’image de marque personnelle, le marketing, la comptabilité et la rédaction. La rédaction et la présence en ligne, en particulier, sont importantes car bien faites, elles signalent la crédibilité et donnent aux clients actuels et futurs une idée de la façon de penser d’un RSSI.
Les multiples rôles que les consultants doivent jouer – basculer entre la livraison, les ventes, le marketing et l’administration tout en jonglant avec plusieurs clients – ont un véritable fardeau mental. Pour de nombreux anciens cadres internes, s’adapter à ce changement constant de contexte est l’une des étapes les plus difficiles lorsqu’on quitte une organisation structurée. « Si vous dirigez votre propre cabinet de conseil, le changement de contexte peut s’avérer difficile », explique Sage.
Avec le temps, de nombreux consultants apprennent que la discipline compte et que dire non fait partie du travail. « Vous devez vous sentir à l’aise en disant non à un travail qui dilue votre positionnement ou fait de vous un opérateur externalisé plutôt qu’un conseiller de confiance », explique Gibbons.
Fixer le juste prix
De nombreux RSSI connaissent leur valeur au sein d’une entreprise, mais traduire cette valeur en prix de conseil est un tout autre défi. Cela nécessite de passer d’une réflexion comme un employé à une réflexion comme une entreprise.
« Les compétences ne sont pas différentes d’un produit », explique Kedys. « Il vous suffit de trouver le bon produit (dans ce cas, la compétence) et de le présenter de manière à ce qu’il soit le plus susceptible d’être accepté par le marché. »
Cette compréhension, ajoute-t-il, vient de l’analyse du marché : en observant comment les dirigeants achètent, ce qu’ils apprécient et combien coûtent des services comparables.
Sage est d’accord avec l’idée d’analyser le marché, mais affirme que les RSSI issus de grandes entreprises et ciblant les petites et moyennes organisations doivent souvent recalibrer leurs attentes. Ce qui semble être un tarif modeste pour une organisation mondiale peut ne pas correspondre aux réalités des petits clients, en particulier ceux qui achètent des services de conseil pour la première fois.
En réfléchissant aux prix, Kokhreidze a adopté une approche à double sens. Il a regardé le marché et évalué sa valeur. Il s’est ensuite fixé un objectif de revenu réaliste et a travaillé à rebours, en tenant compte du nombre de clients qu’il pouvait bien servir. Le résultat a été un modèle de tarification privilégiant la qualité au détriment du volume, un compromis avec lequel il savait que les clients avec lesquels il souhaitait travailler trouveraient un écho.
« Les entreprises B2B qui concluent des contrats d’entreprise comprennent qu’un leadership professionnel en matière de sécurité coûte bien moins cher que la perte d’un seul contrat de plus de 10 millions d’euros à cause d’échecs d’examens de sécurité », explique Kokhreidze.
Lors de la fixation des prix, l’une des erreurs les plus courantes consiste à facturer le temps plutôt que la valeur apportée par le consultant. Au début de sa carrière, Gibbons évaluait son travail à la journée plutôt qu’aux conséquences qu’il aidait les clients à éviter. Au fil du temps, il s’est orienté vers des engagements axés sur les résultats, tels que l’assurance du conseil d’administration, la préparation réglementaire et la reprise après incident, afin que les clients puissent comprendre plus facilement ce pour quoi ils paient.
« Les clients achètent du jugement, pas des heures », explique Gibbons.
Cette approche n’est cependant pas universelle. Certaines organisations plus traditionnelles restent fermement attachées aux tarifs journaliers. Dans ces environnements, changer de négociation peut s’avérer difficile, quelle que soit l’expertise proposée.
Erreurs potentielles à éviter
Demandez à des consultants expérimentés quelles erreurs les nouveaux arrivants ont tendance à commettre, et les réponses ont tendance à être cohérentes. Les plus grosses erreurs concernent rarement les compétences en matière de sécurité. Ils ont tendance à se regrouper autour de l’état d’esprit, de l’argent et de la manière de se présenter sur le marché.
« La leçon la plus difficile a été de réaliser qu’être un excellent RSSI ne garantit pas du tout les clients », explique Kokhreidze. « J’ai rapidement appris que l’expertise professionnelle ne signifie rien sans de solides compétences commerciales et de qualification, car vous perdrez des mois à courir après des entreprises qui n’ont pas le problème que vous essayez de résoudre ou qui ne sont pas prêtes à investir pour le résoudre.
Gibbons voit un problème connexe : les consultants tentent de recréer un rôle interne de l’extérieur. Ils assument la responsabilité opérationnelle, exécutent des programmes ou s’intègrent indéfiniment. « Cela érode les marges et la crédibilité », dit-il.
Un autre faux pas courant qu’il souligne consiste à diriger avec des outils, des cadres ou des certifications plutôt qu’avec du jugement et de l’expérience. « Les clients n’engagent pas d’anciens RSSI pour des modèles de politiques », affirme-t-il. « Ils les engagent pour les aider à prendre des décisions difficiles avec des informations incomplètes. »
Même les RSSI qui planifient soigneusement avant de se lancer découvrent souvent que la liberté de conseil s’accompagne de coûts cachés. Comme le dit Sage, « la plupart des RSSI consultants sous-estiment pour la première fois le temps et les efforts nécessaires à la simple gestion de votre propre entreprise ».
