Responsable de la sécurité des systèmes d'information

Pour les articles homonymes, voir Responsable de la sécurité.

Le responsable de la sécurité des systèmes d'information (RSSI ; en anglais, Chief information security officer ou CISO) d'une organisation (entreprise, association ou institution) est l'expert qui garantit la sécurité du système d'information et assure la disponibilité, l'intégrité, la confidentialité des données et la traçabilité.

Le RSSI est chargé notamment des choix et des actions concernant :

• identifier et analyser les enjeux et les risques de cybersécurité en tenant compte des évolutions réglementaires et techniques ;
• définir les objectifs de cybersécurité en collaboration avec les parties prenantes et élaborer les mesures de sécurité appropriées ;
• participer à l’élaboration et au suivi de la politique de sécurité des systèmes d’information en collaboration avec les parties prenantes ;
• définir pour la mise en œuvre de la politique de sécurité des systèmes d’information un plan d’actions annuel ou pluriannuel ;
• assurer le suivi de la gestion des incidents de cybersécurité ;
• rapporter régulièrement à sa hiérarchie les risques de sécurité des systèmes d’information ;
• animer des sessions de sensibilisation au profit du personnel.

Le RSSI est un cadre supérieur d'une organisation chargé d'établir et de maintenir la vision, la stratégie et le programme de la sécurité des systèmes d'information afin de garantir une protection adéquate des actifs et des technologies de l'information.

Le RSSI est membre de direction. Le RSSI est rattaché à la Direction Générale. Dans les grands groupes, compte tenu des enjeux et des risques (notamment juridiques) portés par le système d'information, cette fonction est importante en particulier car la sécurité informatique est prise en compte pour la validité des comptes des entreprises et dans la valorisation des entreprises.

Le RSSI dirige le personnel dans l'identification, le développement, la mise en œuvre et le maintien des processus dans l'ensemble de l'entreprise afin de réduire les risques liés à l'information et aux technologies de l'information (NTIC). Le rôle du RSSI n’est pas limité à l’informatique : l’organisation, les ressources humaines et la sécurité physiques sont aussi prises en compte dans la gestion des risques.

Il supervise la réponse aux incidents, établit des normes et des contrôles appropriés, gère les technologies de sécurité et dirige l'établissement et la mise en œuvre de politiques et de procédures. Le RSSI est aussi généralement responsable de la conformité liée à l'information (par exemple, il supervise la mise en œuvre pour obtenir la certification ISO/CEI 27001. pour une entité ou une partie de celle-ci). Le RSSI est également responsable de la protection des informations et des actifs exclusifs de l'entreprise, y compris les données des clients et des consommateurs. Le RSSI travaille avec d'autres cadres pour s'assurer que l'entreprise se développe de manière responsable et éthique.

Le RSSI est tenu à une déontologie professionnelle stricte, et au respect du droit. Par exemple en 2012, celui d'EDF fut condamné à un an de prison ferme pour avoir orchestré la mise sur écoute illicite des systèmes informatiques de Greenpeace^[1].

Le RSSI dispose de standards pour effectuer son travail :

• depuis ~1985, TCSEC ;
• depuis ~1990, ITSEC ;
• vers 1995, BS 7799 (en) ;
• depuis 1996, COBIT ;
• en 1996 et 1998, ISO/CEI 15408 (dite "critères communs") V1 et V2, respectivement ;
• depuis décembre 2000 : ISO/CEI 17799, devenue ISO/CEI 27002 en 2005 ;
• depuis octobre 2005 : ISO/CEI 27001.

• Sécurité des systèmes d'information
• Administrateur sécurité

• Bernard Foray, La fonction RSSI (Responsable Sécurité Système d'Information) - Guide des pratiques et retours d'expérience - 2^e édition, Dunod 2011
• Alexandre Fernandez-Toro et Hervé Schauer (Auteur de l'introduction, etc.), Management de la sécurité de l'information : présentation générale de l'ISO 27001 et de ses normes associées, Paris, Eyrolles Paris, 2018, 4^e éd., 363 p. (ISBN 978-2-212-13814-6, OCLC 1055912400)

• Le RSSI : recrutement et prise de fonction par Yuksel Aydin et Hervé Schauer
• La stratégie du RSSI par Alain Bouillé et Yuksel Aydin

• Portail du travail et des métiers
• Portail de la sécurité de l’information