Responsable de la Sécurité du Système d’Information (RSSI)
Dans une entreprise, on entend souvent parler du RSSI comme on entendrait parler du DG, du SG ou du PCA. Il est utile de préciser que l’abréviation RSSI désigne le Responsable de la Sécurité des Systèmes d’Information de l’entreprise. Au vu des risques croissants auxquels le système informatique d’une société est exposé, le RSSI joue un rôle important dans la politique de sécurité de l’information.
Dans cette fiche métier, nous allons rappeler ce qu’est un RSSI, puis voir son rôle et ses missions. Nous verrons ensuite les qualités d’un bon RSSI et la formation à suivre pour accéder à ce métier.
Qu'est-ce qu'un Responsable de la Sécurité du Système d’Information ?
Un Responsable de la Sécurité du Système d’Information est l’expert en sécurité de l’information dans une entreprise. Cela concerne surtout les réseaux de télécommunication et les applications. Il lui incombe d’identifier puis de mettre en place tous les moyens et toutes les solutions destinées à prévenir toute forme de menaces. Les menaces qu’il doit identifier sont celles qui risquent d’avoir un impact négatif sur l’activité de la société et sur la sécurité des données.
À titre d’exemple plus concret, le RSSI doit identifier les menaces telles que des tentatives de piratage de données de l’entreprise par des hackers, des actes de malveillance, l’espionnage numérique ou des demandes de rançon. Un autre exemple est le risque de virus indésirables. Les flux qui sont relatifs à l’utilisation d’internet rendent ces menaces de plus en plus fréquentes et de plus en plus dangereuses. Le responsable sécurité informatique est donc tenu d’assurer la sécurité et la fiabilité ainsi que l’intégrité du système d’information de son entreprise.
Pour ce faire, le RSSI doit définir une politique de sécurité propre à l’entreprise. Dans la société, un nombre indéfini d’acteurs ont accès ou interviennent sur des données confidentielles qui sont informatisées. Le Responsable de la Sécurité du Système d’Information doit veiller à ce que l’ensemble de ces acteurs applique de façon adéquate la politique de sécurité qu’il a définie.
Il revient ainsi au RSSI d’informer et de prévenir le personnel sur les risques encourus en cas de manque de sécurité des données ou des applications. Il sensibilise tous les acteurs (managers, employés et intervenants extérieurs) sur les règles qu’il faut respecter et le comportement à adopter en vue d’assurer la sécurité des systèmes informatiques.
Quel est son rôle ?
Le Responsable Sécurité des Systèmes d’Information est un poste stratégique dans le secteur informatique de l’entreprise. Il n’assure pas seulement la sécurité des données de la société, mais également celles de ses collaborateurs et des données collectées auprès des clients.
Rôle de conseil
Le RSSI joue un rôle de conseil auprès de tous ses collaborateurs en leur transmettant la stratégie de sécurité à adopter et en les conseillant sur la manière de l’adopter.
Rôle d’assistance
Le Responsable Sécurité du Système d’Information aide à chaque étape de la politique de sécurité informatique de l’entreprise.
Rôle d’information, de sensibilisation et de formation
Le responsable sécurité informatique informe, sensibilise, responsabilise et forme toutes les équipes et tous les services aux risques encourus par la sécurité informatique.
Rôle d’alerte
Il revient au Responsable Sécurité du Système d’Information d’alerter aussi bien les responsables que le personnel face aux risques inhérents au manque de sécurité des données et des applications.
Rôle d’interface
Le RSSI joue le rôle d’interface entre les exploitants et les chefs de projets, mais aussi entre les experts et les intervenants extérieurs pour les problèmes de sécurité du système d’information.
Quelles sont ses missions ?
Les différentes étapes de travail qui sont effectuées par le Responsable de Sécurité du Système d’Information relèvent de ses compétences professionnelles :
La définition de la politique de sécurisation des systèmes
Le Responsable de Sécurité du Système d’Information détermine les objectifs et les besoins de l’entreprise. Il élabore ensuite la mise en place des procédures appropriées en définissant l’organisation et la politique de sécurité du système informatique de l’entreprise.
L’évaluation des risques
L’évaluation des risques fait partie des missions du RSSI. Ce dernier évalue les risques, les menaces et les conséquences. Il étudie les moyens de protection qui sont disponibles et leur bonne utilisation. À partir de tous les éléments qui permettent de prendre les décisions, il entame la rédaction d’un plan de prévention.
La sensibilisation et la formation à la sécurité
La sensibilisation et la formation par le Responsable de Sécurité du Système d’Information commencent au niveau de la Direction Générale, puis des directions opérationnelles et les différents métiers. Le RSSI participe ensuite à la réalisation de la charte de sécurité qui est un cahier des règles de sécurité. Il apporte conseil et assistance aux équipes et assure la promotion de tous les utilisateurs.
La validation technique des outils de sécurité
À ce stade, le RSSI supervise les outils de sécurité qui ont été mis en place. Il définit les normes et les standards de sécurité et participe à l’élaboration des règles de sécurité au niveau global de l’entreprise. Il vérifie la cohérence de la politique de sécurité par rapport aux plans initiaux. Le RSSI est également tenu de vérifier le respect des règles de sécurité par le personnel.
Le suivi des évolutions nécessaires
Le Responsable Sécurité du Système d’Information doit s’assurer que les plans de sécurité ont été faits selon les plans préétablis et que toutes les équipes ont pris les dispositions destinées à gérer la sécurité physique et logique de tous les systèmes informatiques de l’entreprise. En cas de besoin, il peut réajuster les consignes de sécurité.
La veille technologique et prospective
Le Responsable Sécurité du Système d’Information doit assurer en permanence une veille technologique sur tous les sujets qui sont liés à la cybercriminalité et à la cybersécurité.
Les compétences requises
Le métier de Responsable Sécurité du Système d’information requiert un certain nombre de compétences techniques et de qualités humaines qui lui permettent de mener à bien ses missions.
Les compétences techniques que le métier de Responsable Sécurité du Système d’Information requiert sont :
- une bonne connaissance du système d’information, de l’urbanisation et de l’architecture du SI,
- la maîtrise de la charte d’utilisation des systèmes d’information de l’entreprise,
- une aisance avec les outils qui se rapportent à la sécurité informatique,
- la maîtrise de l’anglais, avec une approche technique, car la majorité des documents sur la sécurité sont en anglais,
- la maîtrise des différents systèmes de sécurité qui sont adoptés par l’entreprise,
- des compétences juridiques liées au domaine de la sécurité informatique.
Les qualités humaines qu’un RSSI doit avoir :
- de la curiosité sur l’actualité liée à la cybersécurité et sur les nouvelles technologies qui sont nombreuses et rapides. Le Responsable Sécurité du Système d’Information est tenu d’être au courant de tout : matériels, applications, virtualisations, langages de programmations, système d’exploitation, etc. Il doit aussi faire une veille permanente sur l’évolution des normes comme ISO/IEC 27001,
- de la rigueur pour garantir le respect des procédures par le personnel de l’entreprise et également pour recenser et faire face à des tentatives intrusives,
- le sens de l’organisation pour identifier les mesures de sécurité à mettre en œuvre,
- de la pédagogie pour sensibiliser les acteurs concernés ou dispenser des formations aux différentes équipes,
- un sens de l’écoute pour mieux s’adapter aux différents interlocuteurs au sein de l’entreprise,
- un sens de la communication aigu pour savoir transmettre les informations d’une manière professionnelle et objective à tous les niveaux de la société,
- une excellente gestion du stress pour être capable de surveiller en permanence la sécurité informatique de l’entreprise et de faire face à toutes les menaces et les problématiques rencontrées.
La formation pour devenir Responsable de la Sécurité du Système d’Information
Le diplôme requis pour devenir Responsable de la Sécurité du Système d’Information est un bac+5 (Master 2) en informatique, dans une école d’ingénieurs avec différentes spécialisations :
- sécurité informatique,
- télécoms,
- sécurité des systèmes informatiques et des réseaux,
- sécurité,
- cryptologie,
- codage de l’information,
- etc.
Après l’obtention d’un master professionnel délivré par une école d’ingénieurs, il peut également être exigé d’avoir un diplôme ou une certification en cybersécurité ou sur les normes ISO 2700X.
Une autre alternative est l’école d’ingénieurs avec une option ou une majeure en cybersécurité avec une accréditation par l’Agence Nationale de la Sécurité des Systèmes d’information, plus connue sous l’abréviation Anssi.
Comme le poste de Responsable de la Sécurité du Système d’Information requiert une certaine maturité et une bonne connaissance des systèmes d’information, une expérience d’au moins 5 à 7 ans est exigée.
En fonction du poste que vous convoitez, vous pouvez aussi vous concentrer sur un mastère spécialisé bac+6 tel que :
- le mastère spécialisé Cybersécurité, attaque et défense des systèmes informatiques aux Écoles des Mines à Nancy,
- le mastère spécialisé Sécurité Informatique à l’INSA à Toulouse,
- le mastère spécialisé Manager Stratégique de l’Information et des Technologies à l’École des Mines à Paris.
Pour compléter vos connaissances sur le sujet Responsable de la Sécurité du Système d’Information (RSSI)
Négociation d'achats - Niveau 1
Excel - Exploitation de données et TCD
Finance pour non-financiers
