Responsable de la sécurité des systèmes d'information

métier en matière de sécurité informatique

Le responsable de la sécurité des systèmes d'information (RSSI ; en anglais, Chief information security officer ou CISO) d'une organisation (entreprise, association ou institution) est l'expert qui garantit la sécurité du système d'information et assure la disponibilité, l'intégrité, la confidentialité des données et la traçabilité.

Responsable de la sécurité des systèmes d'information

Le RSSI est chargé notamment des choix et des actions concernant :

  • identifier et analyser les enjeux et les risques de cybersécurité en tenant compte des évolutions réglementaires et techniques ;
  • définir les objectifs de cybersécurité en collaboration avec les parties prenantes et élaborer les mesures de sécurité appropriées ;
  • participer à l’élaboration et au suivi de la politique de sécurité des systèmes d’information en collaboration avec les parties prenantes ;
  • définir pour la mise en œuvre de la politique de sécurité des systèmes d’information un plan d’actions annuel ou pluriannuel ;
  • assurer le suivi de la gestion des incidents de cybersécurité ;
  • rapporter régulièrement à sa hiérarchie les risques de sécurité des systèmes d’information ;
  • animer des sessions de sensibilisation au profit du personnel.

Position

modifier

Le RSSI est un cadre supérieur d'une organisation chargé d'établir et de maintenir la vision, la stratégie et le programme de la sécurité des systèmes d'information afin de garantir une protection adéquate des actifs et des technologies de l'information.

Le RSSI est membre de direction. Le RSSI est rattaché à la Direction Générale. Dans les grands groupes, compte tenu des enjeux et des risques (notamment juridiques) portés par le système d'information, cette fonction est importante en particulier car la sécurité informatique est prise en compte pour la validité des comptes des entreprises et dans la valorisation des entreprises.

Le RSSI dirige le personnel dans l'identification, le développement, la mise en œuvre et le maintien des processus dans l'ensemble de l'entreprise afin de réduire les risques liés à l'information et aux technologies de l'information (NTIC). Le rôle du RSSI n’est pas limité à l’informatique : l’organisation, les ressources humaines et la sécurité physiques sont aussi prises en compte dans la gestion des risques.

Il supervise la réponse aux incidents, établit des normes et des contrôles appropriés, gère les technologies de sécurité et dirige l'établissement et la mise en œuvre de politiques et de procédures. Le RSSI est aussi généralement responsable de la conformité liée à l'information (par exemple, il supervise la mise en œuvre pour obtenir la certification ISO/CEI 27001. pour une entité ou une partie de celle-ci). Le RSSI est également responsable de la protection des informations et des actifs exclusifs de l'entreprise, y compris les données des clients et des consommateurs. Le RSSI travaille avec d'autres cadres pour s'assurer que l'entreprise se développe de manière responsable et éthique.

Le RSSI est tenu à une déontologie professionnelle stricte, et au respect du droit. Par exemple en 2012, celui d'EDF fut condamné à un an de prison ferme pour avoir orchestré la mise sur écoute illicite des systèmes informatiques de Greenpeace[1].

Méthodes

modifier

Le RSSI dispose de standards pour effectuer son travail :

Notes et références

modifier
  1. « Les dérives illicites de l’intelligence économique », sur Données personnelles (consulté le ).

Voir aussi

modifier

Articles connexes

modifier

Biographie

modifier
  • Bernard Foray, La fonction RSSI (Responsable Sécurité Système d'Information) - Guide des pratiques et retours d'expérience - 2e édition, Dunod 2011
  • Alexandre Fernandez-Toro et Hervé Schauer (Auteur de l'introduction, etc.), Management de la sécurité de l'information : présentation générale de l'ISO 27001 et de ses normes associées, Paris, Eyrolles Paris, , 4e éd., 363 p. (ISBN 978-2-212-13814-6, OCLC 1055912400)

Lien externe

modifier