Fonction RSSI

En matière de cybersécurité, la moindre petite brique compte. Ce constat est fait par tous les Responsables de la Sécurité des Systèmes d’Information (RSSI), dont la mission est de garantir un niveau de sécurité optimal et la tâche est ardue.

Mission du RSSI

  • Construire et mettre en œuvre une politique de sécurité,
  • Contrôler et mesurer en continu le niveau de sécurité,
  • Assurez un rôle de conseil, d’assistance, d’information, de formation et d’alerte,
  • Définir, rédiger et actualiser la Politique de Sécurité des Systèmes d’Information,
  • Garantir l’intégrité du SI et le déploiement de cette politique,
  • Mettre en place et animer le Comité SSI transverse à l’entreprise,
  • Gérer les risques,
  • Analyser les risques, proposer et conduire des plans d’actions,
  • Sensibiliser et former l’ensemble des collaborateurs de l’entreprise aux enjeux SSI,
  • Concevoir et suivre les tableaux de bord SSI,
  • Réaliser une veille technologique, réglementaire et prospective.

Audits

Il doit aussi conduire des audits SSI internes et externes :

  • Fixer les objectifs à atteindre en termes SSI (périmètre, planning, moyens) avant les audits internes et externes.
  • Coordonner les actions transverses SSI (mesures de sécurité, rédaction et application de procédures…).
  • Superviser le passage en audit annuel auprès de l’organisme auditeur et analyser les résultats obtenus pour déterminer les futures actions correctives.

La liste de ces missions est non exhaustive et peut évoluer en fonction de l’activité et des besoins du service.

PCA

Le RSSI est un contributeur majeur au plan de continuité (PCA / BCP – Business Continuity Plan). C’est lui qui s’assure, de la qualité, de l’existence d’un PSI (Plan de Secours Informatique) qui fait naturellement partie du PCA et en est un élément essentiel.

Les deux rôles RSSI et RPCA ne sont pas incompatibles et peuvent donc être exercés par la même personne/entité.
Dans ce cas, des garde-fous et des définitions précises des rôles et responsabilités de chaque acteur doivent être formalisés, pour bien couvrir toutes les dimensions et pas seulement la partie SI.

Le RSSI, tout comme le DPO, a un devoir de conseil et d’alerte, il doit produire pour les MOA les appréciations des risques nécessaires à la prise de décision, mais l’arbitrage final relève de la MOA et d’elle seule, qui décide, ou non, de tenir compte des préconisations du RSSI puisqu’elle assume seule les conséquences de sa décision.
La MOA accepte formellement les risques, pour autant que le RSSI ait produit une analyse aussi juste que claire et joué en toute transparence son rôle de conseil et d’alerte.

Conclusion

En synthèse, le RSSI est un homme ou une femme d’expérience qui assure une fonction transversale. Il ou elle doit avoir des qualités de communiquant et se poser comme un facilitateur.

  • Son efficacité se mesure au travers de la maîtrise des risques SI par l’entreprise.
  • Son action et celle de ses correspondants au sein de l’entreprise doivent permettre aux différents acteurs de connaître les risques encourus, de les réduire et d’assumer les risques résiduels.
  • Sa position au sein de la société dépend de l’histoire, de la culture de l’entreprise, mais aussi de sa taille. Il ne peut être réellement efficace pour l’entreprise que s’il est proche de la direction générale.

La fonction de RSI n’est pourtant pas ouverte à toutes les structures.
Pour des PME ou des TPE, l’externalisation de cette fonction peut se révéler une opportunité intéressante notamment en matière d’optimisation des coûts