Le Rôle du RSSI

 

La nature des risques a fondamentalement changé, lié à la complexité accrue des systèmes d’information, à l’ouverture aux réseaux, aux nombres de domaines complémentaires qu’on lui demande de traiter (aspects juridiques, communication interne et externe). Le RSSI ne peut plus être un technicien, il lui faut acquérir des compétences organisationnelles et d’architecte de système d’informations, de connaissance des métiers et de conduite du changement.

Le rattachement du RSSI : à la Direction des Systèmes d’Information ou à la Direction Générale ?

Si on voit des rattachements forts différents dans les entreprises de la fonction de RSSI (à la DSI, à la DG, à la Direction Financière), cela se comprend aisément par l’évolution des missions de RSSI : d’homme de la sécurité informatique vers homme orchestre de la sécurité du patrimoine informationnel de l’entreprise.

thumb_rattachement-RSSI

Ce rattachement est donc éminemment dépendant de la maturité de l’entreprise à la sécurité de l’information.

Pour simplifier, on peut dire qu’en période de démarrage de la sécurité de l’information, il est souhaitable que le RSSI soit rattaché à la DSI car il doit participer au développement d’une conscience sécurité dans la DSI (elle ne doit pas se faire contre la DSI).

Ensuite sa mission doit évoluer vers du Risk Management, plus d’organisation et de communication, et là un rattachement plus proche des utilisateurs est nécessaire.

Évolution des missions du RSSI lié à la maturité de l’entreprise à la sécurité de l’information

Quand le poste de RSSI n’existe pas dans une entreprise, la fonction de sécurité de l’information est assurée à la DSI sur un plan uniquement technique et souvent au coup par coup (mise en œuvre d’Antivirus, pare-feu pour site Web).

Dès la prise de conscience, la fonction de RSSI est créée, soit au travers d’une embauche, soit via un consultant externe. Sa première mission va être de développer une Politique de Sécurité de l’Information en s’appuyant sur des normes et méthodes. Il devra mettre en chantiers l’évaluation gestion des actifs et des risques, le plan de continuité d’activité, …

 

En période de développement, le RSSI va devEoir diffuser cette culture sécurité et avoir une mission de diffusion de ce savoir et savoir faire dans l’ensembles des entités de l’entreprise.

Enfin, à la maturité de l’entreprise, qui correspond à l’époque où la culture sécurité s’est diffusée dans l’entreprise (comme la culture qualité), le RSSI sera impliquée dans la stratégie de l’entreprise et participera notamment à l’élaboration du schéma directeur.

Évolution des missions du RSSI lié à la maturité de l’entreprise à la sécurité de l’information

Dans certaines grandes entreprises, on voit apparaître deux missions correspondant au partage des responsabilités du RSSI entre deux interlocuteurs : l'un pour la maîtrise d’œuvre, et l'autre pour la maîtrise d'ouvrage.

Le CISO (Chief Information Security Officer), a une mission centrée sur la gestion des risques (Risk Manager) et l’organisation de la sécurité. Il participera aux réunions du Comité de Direction.

Le RSSI (Responsable Sécurité des Systèmes d’Information) a la responsabilité opérationnelle d’appliquer les règles à l’ensemble du domaine informatique. Il disposera d'un savoir-faire d’architecte technique de la sécurité et d'une parfaite connaissance des processus et des systèmes d'information.

 

Quelles sont les entreprises qui ont créé une fonction de RSSI ?

La majorité des grands comptes en France emploie maintenant un tel manager, selon l'enquête 2010 menée par le Clusid.

A l'échelle mondiale, 50% des grandes entreprises sont dépourvues d'un poste de RSSI (source KPMG, 2002).

attribution-RSSI

En revanche, le poste de RSSI reste rare dans les PME ou les entreprises importantes, où le DSI en assume souvent les responsabilités. Un solution réside certainement dans l’externalisation de la fonction de RSSI (voir article sur les avantages et les limites de l'externalisation de la mission de RSSI).

La mission du RSSI vue du terrain

« Le RSSI type, c’est un moustachu, plaisante Philippe Chalon, Directeur des Systèmes d’Information du groupe Total. Un homme de terrain avec beaucoup d’expérience, un architecte généraliste technicien. La sécurité est un domaine de responsabilités sensibles. Un RSSI, c’est un homme qui a la trempe d’accepter cette charge »

« Le RSSI est un homme qui répand la sécurité dans l’entreprise, avance, Bernard Foray, RSSI de Gemplus. Mais les acteurs de la sécurité, ce sont les gens, non le RSSI.C’est à peu de choses près le même discours que peut tenir un responsable qualité.»

«On ne s’improvise pas responsable sécurité, explique Serge Saghroune, directeur du département sécurité informatique du groupe Accor. Cela requiert de la maturité et des spécialistes chevronnés. On a aujourd’hui trop tendance à mettre des jeunes en avant. Or, pour exercer ce métier, une très bonne connaissance et une parfaite maîtrise des systèmes d’information est primordial.»

 

Définition de la mission de RSSI suivant le CIGREF (nomenclature 2002)

Le RSSI assure un rôle de conseil, d’assistance, d’information, de formation et d’alerte. Il peut intervenir directement sur tout ou partie des systèmes informatiques et télécoms de son entité. Il effectue un travail de veille technologique et réglementaire sur son domaine et propose des évolutions qu’il juge nécessaires pour garantir la sécurité logique et physique du système d’information dans son ensemble. Il est l’interface reconnu des exploitants et des chefs de projets mais aussi des experts et des intervenants extérieurs pour les problématiques de sécurité de tout ou partie du SI. Le RSSI est généralement rattaché à la direction informatique.

Profil : Ingénieur ou équivalent bac + 4 ou 5 en informatique.

Expérience : 10 à 15 ans d’expérience, dont une première expérience minimale dans le domaine de la sécurité.

L'externalisation de la fonction de RSSI

L'externalisation de la fonction de RSSI peut séduire des PME, mais également des sociétés plus importantes ne disposant pas d’un poste de RSSI.

Si la première raison peut être budgétaire, cette externalisation de cette fonction peut aussi répondre à d'autres objectifs :

  • meilleure définition de la mission du futur RSSI
  • définition du rattachement du RSSI

Voir article joint : l'externalisation du RSSI

En savoir plus :
Dossier du Cigref sur la définition des missions au sein de la DSI :
http://www.cigref.fr


Copyright Ysosecure © 2002 - 2018