Les systèmes informatiques d’une entreprise et les données confidentielles qu’ils abritent font souvent l’objet de convoitises qui peuvent mettre en péril une organisation. Assurer la sécurité, la sûreté et la pérennité des systèmes d'information et de communication d’une entité passe par la définition, la mise en œuvre et le contrôle d’un processus opérationnel dédié. Tout cela est dans les mains du ou de la Responsable sécurité des systèmes d’information (RSSI).

 

Pourquoi sécuriser les systèmes d'informations ? 

Avec l’essor du numérique, le stockage sur le cloud et l’ouverture des systèmes d’information de l’entreprise vers l’externe, la cybersécurité est devenue un enjeu stratégique fort. Malveillance ou négligence, l’organisation ne peut nier les failles de ses systèmes, au risque de voir ses activités bouleversées ou totalement interrompues. C’est là que prend toute la dimension du RSSI, même si, bien au-delà de la gestion de crise, il reste avant tout le gardien du bon fonctionnement de l’organisation, en charge de sa continuité de service.
 

Comment mettre en place une politique générale de sécurité ? 

L’élaboration d’une politique de sécurité des systèmes d’information (PSSI) passe par un audit du domaine SSI, sur la base de référentiels volontaires internationaux comme ISO 20000-1 ou ISO/IEC 27001, et par la mise en place de mesures adaptées aux enjeux selon les risques encourus. Elle donne lieu à la rédaction d’un guide, reflet de la stratégie de la direction en matière de sécurité informatique, prévoit le plan d’actions et peut même inscrire l’entité dans une démarche d’amélioration continue. Pour accompagner ses dirigeants dans la prise de décisions efficaces, le RSSI doit partager les valeurs et la finalité de l’entreprise.


Qu'est-ce qu'un(e) responsable SSI ? Quelles sont ses missions ?

Le RSSI s’assure de l’application des solutions techniques et des processus opérationnels pour :
  • garantir la disponibilité du système d’information de l’entreprise
  • préserver son intégrité et sa confidentialité
  • sécuriser les transactions

Son champ d’intervention est étendu à tout ou partie des systèmes informatiques et télécoms de son entité, tant au niveau technique qu’organisationnel : sécurité des réseaux, architecture des SI, sécurité des postes de travail, traitement des incidents, conformité, audit, contrôle…

Il effectue également un travail de veille technologique constante pour contrôler l’impact de potentiels nouveaux risques et prend en compte les évolutions réglementaires de son domaine pour maintenir un niveau de sécurité optimal.

Son rôle est transversal : le RSSI est l’int  erface des opérationnels, des chefs de projets, des experts mais aussi des intervenants extérieurs. Il lui appartient également de piloter le budget alloué à la cybersécurité avec ses dirigeants.

Le RSSI doit faire preuve de pédagogie et de persuasion pour que chacun, utilisateur et décideur, puisse s’approprier la culture SSI. Conseil, formation aux outils et bonnes pratiques à adopter... A lui de s’assurer que les politiques et les règles de sécurité des SI sont correctement appliquées sur son périmètre, mais également auprès de toutes les parties prenantes de l’organisation.

 

RSSI oui, mais jamais sans DPO

Pour mener sa mission à bien, le RSSI doit travailler aux côtés du DPO (data protection office, ou délégué.e à la protection des données personnelles), lui-même en charge de la protection des données. Il ne peut y avoir d’un côté, une personne en charge des aspects juridiques et de l’autre, une personne en charge des aspects techniques. Les nouvelles réglementations soulignent l’importance de cette démarche convergente pluridisciplinaire. Seule l’adhésion à tous les niveaux favorise la protection des données personnelles (clients, usagers, employés) mais également l’entreprise et son patrimoine.

Qualités requises
  • Capacité d’analyse, de rigueur
  • Appropriation des enjeux de sécurité sur tout ou partie de l’entreprise : infrastructure, applicative et métiers
  • Forte appétence pour la gestion du risque
  • Maîtrise des réglementations et des normes volontaires en vigueur
  • Capacité à convaincre des interlocuteurs de haut niveau
  • Sens de l’intérêt général
  • Maîtrise de l’anglais technique
  • Management d’équipe
  • Goût pour la veille technologique 
  • Bonne résistance au stress et à la pression
 
Salaire
Selon la taille, la nature de l’entreprise et l’expérience, la rémunération mensuelle d’un RSSI s’échelonne entre 4 000 et 10 000 € bruts. L’ancienneté influe également sur le niveau de rémunération.

Formations pour devenir responsable SSI
  • Bac+5
  • Diplôme d’école d’ingénieurs
  • Master ingénierie du domaine de l’informatique et des réseaux
  • Master management des SI
  • MBA en management de la cybersécurité

Aller plus loin avec les parcours certifiés d’AFNOR Compétences
Devenir Auditeur de système de Management de la Sécurité de l’Information
Elargir ses compétences aux systèmes de Management de la Sécurité de l’Information
Acquérir les outils pour devenir Lead Implémenter
Le guide AFNOR sur le parcours progressif en confiance numérique