Les systèmes informatiques d’une entreprise et les données confidentielles qu’ils abritent font souvent l’objet de convoitises qui peuvent mettre en péril une organisation. Assurer la sécurité, la sûreté et la pérennité des systèmes d'information et de communication d’une entité passe par la définition, la mise en œuvre et le contrôle d’un processus opérationnel dédié. Tout cela est dans les mains du ou de la Responsable sécurité des systèmes d’information (RSSI).

 

Pourquoi sécuriser les systèmes d'informations ? 

Avec l’essor du numérique, le stockage sur le cloud et l’ouverture des systèmes d’information de l’entreprise vers l’externe, la cybersécurité est devenue un enjeu stratégique fort. Malveillance ou négligence, l’organisation ne peut nier les failles de ses systèmes, au risque de voir ses activités bouleversées ou totalement interrompues. C’est là que prend toute la dimension du RSSI, même si, bien au-delà de la gestion de crise, il reste avant tout le gardien du bon fonctionnement de l’organisation, en charge de sa continuité de service.
 

Comment mettre en place une politique générale de sécurité ? 

L’élaboration d’une politique de sécurité des systèmes d’information (PSSI) passe par un audit du domaine SSI, sur la base de référentiels volontaires internationaux comme ISO 20000-1 ou ISO/IEC 27001, et par la mise en place de mesures adaptées aux enjeux selon les risques encourus. Elle donne lieu à la rédaction d’un guide, reflet de la stratégie de la direction en matière de sécurité informatique, prévoit le plan d’actions et peut même inscrire l’entité dans une démarche d’amélioration continue. Pour accompagner ses dirigeants dans la prise de décisions efficaces, le RSSI doit partager les valeurs et la finalité de l’entreprise.

 

Qu'est-ce qu'un(e) responsable SSI ? Quelles sont ses missions ?

Le RSSI s’assure de l’application des solutions techniques et des processus opérationnels pour :
  • garantir la disponibilité du système d’information de l’entreprise
  • préserver son intégrité et sa confidentialité
  • sécuriser les transactions

Son champ d’intervention est étendu à tout ou partie des systèmes informatiques et télécoms de son entité, tant au niveau technique qu’organisationnel : sécurité des réseaux, architecture des SI, sécurité des postes de travail, traitement des incidents, conformité, audit, contrôle…

Il effectue également un travail de veille technologique constante pour contrôler l’impact de potentiels nouveaux risques et prend en compte les évolutions réglementaires de son domaine pour maintenir un niveau de sécurité optimal.

Son rôle est transversal : le RSSI est l’int  erface des opérationnels, des chefs de projets, des experts mais aussi des intervenants extérieurs. Il lui appartient également de piloter le budget alloué à la cybersécurité avec ses dirigeants.

Le RSSI doit faire preuve de pédagogie et de persuasion pour que chacun, utilisateur et décideur, puisse s’approprier la culture SSI. Conseil, formation aux outils et bonnes pratiques à adopter... A lui de s’assurer que les politiques et les règles de sécurité des SI sont correctement appliquées sur son périmètre, mais également auprès de toutes les parties prenantes de l’organisation.
 

RSSI oui, mais jamais sans DPO


Pour mener sa mission à bien, le RSSI doit travailler aux côtés du DPO (data protection office, ou délégué.e à la protection des données personnelles), lui-même en charge de la protection des données. Il ne peut y avoir d’un côté, une personne en charge des aspects juridiques et de l’autre, une personne en charge des aspects techniques. Les nouvelles réglementations soulignent l’importance de cette démarche convergente pluridisciplinaire. Seule l’adhésion à tous les niveaux favorise la protection des données personnelles (clients, usagers, employés) mais également l’entreprise et son patrimoine.

Qualités requises
  • Capacité d’analyse, de rigueur
  • Appropriation des enjeux de sécurité sur tout ou partie de l’entreprise : infrastructure, applicative et métiers
  • Forte appétence pour la gestion du risque
  • Maîtrise des réglementations et des normes volontaires en vigueur
  • Capacité à convaincre des interlocuteurs de haut niveau
  • Sens de l’intérêt général
  • Maîtrise de l’anglais technique
  • Management d’équipe
  • Goût pour la veille technologique 
  • Bonne résistance au stress et à la pression
 
Salaire
Selon la taille, la nature de l’entreprise et l’expérience, la rémunération mensuelle d’un RSSI s’échelonne entre 4 000 et 10 000 € bruts. L’ancienneté influe également sur le niveau de rémunération.

Formations pour devenir responsable SSI
  • Bac+5
  • Diplôme d’école d’ingénieurs
  • Master ingénierie du domaine de l’informatique et des réseaux
  • Master management des SI
  • MBA en management de la cybersécurité

Formations associées

Auditeur ICA ISO 27001

Devenez auditeur de Système de Management de la Sécurité de l'Information

À l'issue de cette formation, vous serez capable de :

  • Maîtriser toutes les étapes pour réaliser un audit de Système de Management SI selon ISO 27001
  • Passer l'examen ICA, la formation est un prérequis pour devenir auditeur ICA
  • Candidater pour devenir auditeur tierce partie : rendez-vous sur le site dédié du Groupe AFNOR

Formation enregistrée par l'ICA sous la référence AU/SDI-001.

5 jours (35 heures) Eligible CPF Eligible CPF Certification Certification Nouveau Nouveau

En savoir plus

Conversion ISO 27001 pour auditeurs déjà certifiés ICA

Élargissez vos compétences aux Systèmes de Management de la Sécurité de l'Information

À l'issue de cette formation, vous serez capable de :

 

Formation enregistrée par l'ICA sous le numéro SDI/AU-002

3 jours (21 heures) Eligible CPF Eligible CPF Certification Certification Nouveau Nouveau

En savoir plus

Lead implementer ISO 27001

Acquérir les outils pour devenir lead implementer -Certification à la clé

À l'issue de cette formation, vous serez capable de :

  • Traduire les exigences de l'ISO 27001 en actions à mener
  • Construire et mettre en oeuvre un système de management de la sécurité de l'information (SMSI) efficace
  • Comprendre l'articulation entre l'ISO 27001 et l'ISO 27002 pour la mise en place des mesures de sécurité

5 jours (35 heures) Certification Certification

En savoir plus

Cybersécurité : devenez le référent de votre entreprise!

Des fondamentaux à l'organisation de la cybersécurité dans son entreprise

A l'issue de ce cursus, vous serez capable de :

  • Connaître les référentiels et outils indispensables en matière de cybersécurité afin de bâtir votre stratégie de défense
  • Définir une stratégie de protection de l’information sensible
  • Identifier les risques d’attaque et les points de vulnérabilité
  • Identifier les moyens de protection du patrimoine immatériel de votre entreprise
  • Identifier la notion d’analyse des risques par les méthodes Ebios et Mehari
  • Gérer une externalisation sécurisée de votre activité SI
  • Sécuriser la gestion de vos sites web 

3 jours (23,5 heures) Nouveau Nouveau

En savoir plus