Responsable sécurité des systèmes d'information
Responsable sécurité des systèmes d'information
Le Responsable sécurité des systèmes d'information (RSSI), parfois désigné sous l'appellation de Chief Information Security Officer (CISO), est un acteur clé au sein des organismes, des entreprises, et des administrations publiques, chargé de garantir la protection, l'intégrité et la confidentialité des systèmes d'information contre les menaces et les attaques informatiques.
Définition et Mission
Le RSSI incarne un poste stratégique à la croisée de la gouvernance informatique et de la cybersécurité. Il élabore, met en œuvre et contrôle la politique de sécurité des systèmes d'information (PSSI) en lien avec la DSI, la direction générale et différents métiers.
Ses principales missions sont :
- Évaluer et maîtriser les risques liés aux SI selon les normes ISO/CEI 27001, ISO/CEI 27002.
- Définir et piloter la PSSI.
- Sensibiliser et former les utilisateurs aux bonnes pratiques de sécurité.
- Assurer la mise en conformité réglementaire (notamment RGPD, Loi informatique et libertés, directive NIS).
- Gérer les incidents de sécurité informatique et piloter la gestion de crise.
- Veiller à la supervision technique et à la veille technologique.
- Interagir avec les prestataires, fournisseurs et organismes externes (par exemple : Agence nationale de la sécurité des systèmes d’information, CNIL).
Contexte au sein de la fonction publique
Le poste de RSSI est largement reconnu au sein de la fonction publique. Il s'étend de la collectivité territoriale (communes, départements, régions) aux ministères, et entités comme les agences publiques, établissements publics de coopération intercommunale, ou EPAs.
Le RSSI doit tenir compte de la spécificité des SI publics, de l’exigence de protection des données et des nombreuses couches d’activités et systèmes hétérogènes.
Principales responsabilités
Le RSSI exerce les responsabilités suivantes de manière transversale :
| Domaine | Description |
|---|---|
| Gouvernance de la sécurité | Définir les orientations stratégiques en matière de sécurité du SI. |
| Gestion des risques | Réaliser l’analyse, l’évaluation et la réduction des risques informatiques. |
| Sensibilisation et formation | Organiser des sessions de sensibilisation, former les utilisateurs à la cybersécurité. |
| Suivi réglementaire | Assurer la veille et l’application des réglementations (RGPD, directives européennes...). |
| Intervention en cas d’incident | Détecter, analyser et coordonner la réponse aux incidents de sécurité. |
| Supervision et contrôle | Vérifier l’application effective des mesures de sécurité déployées. |
| Pilotage de la sécurité opérationnelle | Superviser la sécurité des infrastructures, du réseau, des applications, des bases de données, etc. |
Compétences et profil
Le poste exige des compétences techniques, organisationnelles et humaines. Un RSSI efficace réunit :
- Maîtrise des normes de gestion de la sécurité (ex : ISO 27001, Ebios, NIST SP 800-53)
- Compétence en cryptographie et en gestion des accès
- Bonne connaissance du droit informatique, de la protection des données
- Aptitudes en gestion de projet
- Capacité à communiquer avec personnels, cadres et partenaires externes
- Savoir piloter des audits de sécurité
- Capacités d’analyse, de synthèse et d’anticipation
Certaines certifications sont recommandées comme CISSP, CISM, CISA, Lead Implementer ISO 27001.
Outils et ressources utilisés
Pour remplir ses missions, le RSSI dispose de ressources, solutions et outils :
- Solutions de gestion des accès (Identity and Access Management)
- Firewalls et IDS/IPS
- systèmes d'information et d'événements de sécurité
- scanners de vulnérabilités
- Politiques et plans : PRA, PCA
- Tableaux de bord de la sécurité
Liste non exhaustive :
- Monitoring
- Centralisation des logs
- Gestion centralisée des identités
- Chiffrement de disques
- Détection des vulnérabilités
Environnement réglementaire et normatif
Le RSSI veille à la conformité des systèmes selon de nombreux référentiels et textes :
- RGPD
- Loi informatique et libertés
- Référentiel général de sécurité
- Directives NIS
- Articles relatifs à la cybercriminalité
- Guides de l’Agence nationale de la sécurité des systèmes d’information
- Référentiels propres à certains secteurs, tels que la santé (ex : Politique générale de sécurité des systèmes d'information de santé)
Formation et parcours professionnel
L’accès au métier de RSSI nécessite généralement un diplôme d’ingénieur ou un master en sécurité informatique, complété par une expérience significative en administration réseaux ou en conseil en sécurité.
Les parcours sont variés :
- Ingénieur sécurité
- Administrateur systèmes
- Consultant sécurité
- Chefs de projets techniques
L’évolution peut conduire à des postes de DSI, consultant expert, ou chef de mission auprès d’organismes spécialisés (par exemple l'ANSSI).
Interlocuteurs et partenaires
Le RSSI travaille avec de nombreux acteurs internes et externes :
- Direction générale
- DSI
- DPO
- CIL
- Utilisateurs
- Fournisseurs et sous-traitants
- [[ANSSI}},CNIL, Club de la sécurité de l'information français
Défis actuels
Face, entre autres, à la multiplication des malwares, à l’essor du cloud et à la transformation numérique accélérée des services publics, le rôle du RSSI connaît une visibilité accrue et exige une adaptation continue. Les grands défis incluent :
- Sécurisation du télétravail et des systèmes distants
- Protection contre les rançongiciels
- Sécurité des objets connectés (Internet of Things)
- Implémentation de la confiance numérique (authentification forte, chiffrement généralisé)
- Maintien de la résilience face aux crises
Voir aussi
- Sécurité des systèmes d'information
- Cybercriminalité
- Gestion de crise
- Protection des données à caractère personnel
- Sensibilisation à la cybersécurité
- PRA/PCA