Le Responsable de la Sécurité des Systèmes d'Information, ou RSSI, évalue les failles du système d'information de l'entreprise et assure la sécurité de ce SI. Ces activités limitent alors des pertes de l'entreprise : données, temps et argent.
Qu'est-ce qu'un RSSI ?
Le RSSI (Responsable de la Sécurité des systèmes d'information) est un professionnel possédant une grande expertise du système d'information de son entreprise. Il a la charge de mettre en place sa politique de sécurité et s'assure que celle-ci soit appliquée au sein de son périmètre d'action.
Quel est le rôle d'un RSSI ?
Le RSSI pilote la démarche de cybersécurité au sein de son périmètre dans l'entreprise. Son rôle dépend de la taille et de la politique de sécurité de son organisation. Il peut être amené à gérer la prévention, la protection ou la détection des menaces. Il fait de la veille, prodigue des conseils, informe, assiste, forme et alerte les collaborateurs, ainsi que la direction. Il apporte des solutions et élabore des processus opérationnels. Il respecte la protection des données et sécurise le SI. Il joue donc un rôle opérationnel pour mettre en place la politique de sécurité de l'entreprise et encadrer les équipes.
Quelles sont les missions d'un RSSI ?
- Définir la politique de sécurité des systèmes d'information
- Evaluer les risques de cybersécurité
- Sensibiliser et former les collaborateurs
- Vérifier la bonne marche des outils de sécurité
- Réaliser une veille technologique
- S'adapter aux évolutions techniques
Définir la politique de sécurité des systèmes d'information
Le RSSI a pour mission de définir et d'intervenir sur la politique de sécurité des systèmes d'information (SI). Il doit, pour ce faire, tenir compte des besoins de l'organisation, organiser et animer sa cybersécurité. Il propose donc des objectifs stratégiques sur différents axes qu'il fait valider par la direction compétente et présente sa politique d'investissement au regard de ces objectifs. Enfin, il met en place des procédures liées à la sécurité SI et donc à la politique de sécurité de l'administration.
Evaluer les risques de cybersécurité
Ce responsable de la sécurité évalue les risques, les menaces et les conséquences d'une défaillance des systèmes d'information. Il étudie les différentes méthodes permettant d'apporter plus de sécurité dans l'entreprise et d'utiliser les systèmes d'information de manière optimale. Ces actions aboutissent à la rédaction d'un plan d'action, de prévention annuel ou pluriannuel qui tient compte des enjeux et des risques majeurs en termes de sécurité des systèmes d'information.
Sensibiliser et former les collaborateurs
Quel que soit le niveau hiérarchique du collaborateur, le RSSI s'assure de le sensibiliser et de le former aux enjeux de la sécurité des systèmes d'information. Il diffuse donc sa culture SSI pour tous les utilisateurs SI dont l'équipe IT, l'architecte de solution et les décideurs de son organisation. Il participe à la rédaction de la charte de sécurité et en fait la promotion au sein des différentes équipes de l'entreprise.
Vérifier la bonne marche des outils de sécurité
Le RSSI contrôle et garantit l'application des principes et des règles de sécurité du système d'information. Il organise des audits périodiques et des contrôles permanents pour évaluer la vulnérabilité du système d'information. Il assure la mise en place de solutions et de processus opérationnels pour préserver la protection des données. Il exerce également une fonction de support, d'assistance technique et méthodologique. La politique de sécurité SI est maintenue avec toutes les parties prenantes.
Dans les situations d'urgence, il peut être nommé « responsable de la cellule de crise ».
Réaliser une veille technologique
De plus, ce responsable de la sécurité se consacre au suivi des évolutions réglementaires et technologiques de son domaine d'activité. En plus de cette veille technologique, il entretient des relations étroites avec les acteurs experts dans les domaines de la cybersécurité et de la cybercriminalité.
S'adapter aux évolutions techniques
Le responsable de la sécurité SI vérifie que les plans de sécurité respectent bien les plans initiaux de prévention et d'actions. La question est de savoir si les équipes en charge de la sécurité SI ont pris les dispositions nécessaires pour gérer la sécurité SI, qu'elles soient physiques ou logiques. Le RSSI peut, au besoin, prendre l'initiative d'ajuster les consignes de sécurité.
Quelles sont les compétences d'un RSSI ?
- Maîtriser les SI et les systèmes de sécurité
- Comprendre les aspects juridiques et réglementaires
- Savoir communiquer
- Posséder une bonne connaissance des enjeux et des métiers de l'organisation
- Connaître les évolutions technologiques
- Pratiquer l'anglais technique
Maîtriser les SI et les systèmes de sécurité
Pour mettre en place sa politique de sécurité, le RSSI maîtrise :
- Les logiciels.
- Les standards d'exploitation.
- La charte d'utilisation des systèmes d'informations.
- Les principes d'architecture.
- L'urbanisation.
- Les systèmes de sécurité.
- Les processus de réponse aux différentes problématiques SI.
Il utilise plus globalement la cyberdéfense, des connaissances lui permettent d'identifier les besoins et les défaillances de sécurité en plus de savoir gérer les crises. Pour y parvenir, il élabore des procédures et des outils de sécurité informatique tout en gérant la démarche qualité. Il gouverne donc le système d'information et aligne sa stratégie à l'administration de celui-ci.
Comprendre les aspects juridiques et réglementaires
Le RSSI possède des connaissances juridiques et réglementaires sur les systèmes d'informations et sur la sécurité informatique. Parmi ses sujets de prédilection se trouvent la sécurité des utilisateurs et la conformité aux exigences réglementaires, notamment le RGPD. Il est notamment responsable de la confidentialité et de la disponibilité des données présentes dans le SI. Il connait la gouvernance, les normes et les standards dans le domaine de la sécurité comme les normes ISO (2700X) ou les normes sectorielles (PCI-DSS…). Il déploie alors des qualités d'organisation et de rigueur.
Savoir communiquer
La sécurité est souvent considérée comme une contrainte. Il peut alors être compliqué de faire passer ses idées. Des connaissances en communication permettent au RSSI de sensibiliser les salariés concernant la sécurité informatique et le système d'information. Il est également amené à former les collaborateurs, qu'il s'agisse des équipes qui travaillent sur les SI ou les dirigeants. Il est performant au niveau relationnel et apporte son point de vue expert. Il guide les dirigeants et clients pour leurs prise de décisions stratégiques.
Posséder une bonne connaissance des enjeux et des métiers de l'organisation
Le RSSI connait les enjeux et les métiers de l'organisation. Il sait que le SI doit être plus agile, qu'il doit valoriser les données et innover. Il accompagne également les équipes dans les changements. En effet, les collaborateurs de l'entreprise doivent alors apprendre à travailler ensemble pour être efficace.
Connaître les évolutions technologiques
Il se tient informé des innovations technologiques en réalisant une veille. En effet, celles-ci s'avèrent d'une grande importance. Le RSSI est donc très curieux et se tient toujours au courant des nouveautés. Il s'intéresse aux langages de programmation, aux applications, à la virtualisation, etc. Cette connaissance lui permet de proposer une politique de gestion des risques efficace.
Pratiquer l'anglais technique
Le RSSI doit maîtriser l'anglais avec un approche technique. En effet, beaucoup des documents nécessaires à son activité, notamment de veille, sont en anglais.
Quel est le salaire d'un RSSI ?
Le salaire d'un RSSI est fixé selon la taille de l'entreprise pour laquelle il travaille et son niveau d'expertise. Le salaire moyen se situe aux environs de 100 000 euros par an avec une rémunération qui peut démarrer à 40 000 euros et atteindre les 150 000 euros. Aux Etats-Unis, un RSSI peut percevoir entre 80 000 et 200 000 dollars par an.
Pour aller plus loin, définissez vos objectifs et vos perspectives de carrières grâce au modèle de plan de développement professionnel, ou découvrez les formations gratuites de HubSpot Academy.