Responsable de la sécurité des systèmes d'information
Le responsable de la sécurité des systèmes d'information (RSSI ; en anglais, Chief information security officer ou CISO) d'une organisation (entreprise, association ou institution) est l'expert qui garantit la sécurité du système d'information et assure la disponibilité, l'intégrité, la confidentialité des données et la traçabilité.
Rôles
Le RSSI est chargé notamment des choix et des actions concernant :
- la sensibilisation des utilisateurs aux problèmes de sécurité ;
- la sécurité des réseaux ;
- la sécurité des systèmes ;
- la sécurité des télécommunications ;
- la sécurité des applications ;
- la sécurité physique ;
- la mise en place de moyens de fonctionnement en mode dégradé (récupération sur erreur) ;
- la stratégie de sauvegarde des données ;
- la mise en place d'un plan de continuité d'activité « disaster recovery ».
Position
Le RSSI est un cadre supérieur d'une organisation chargé d'établir et de maintenir la vision, la stratégie et le programme de l'entreprise afin de garantir une protection adéquate des actifs et des technologies de l'information.
Le RSSI est membre de l’équipe de direction. L’appellation de directeur de la sécurité de l'information (dont l’acronyme est DSI) est néanmoins rare en raison de la confusion possible avec le DSI.
Si le RSSI était souvent rattaché à la Direction des systèmes d'information (DSI), il est de plus en plus membre de a direction générale de l'entreprise ou rattaché à celle ci. Dans les grands groupes, compte tenu des enjeux et des risques (notamment juridiques) portés par le système d'information, cette fonction est importante en particulier car la sécurité informatique est prise en compte pour la validité des comptes des entreprises et dans la valorisation des entreprises.
Le RSSI dirige le personnel dans l'identification, le développement, la mise en œuvre et le maintien des processus dans l'ensemble de l'entreprise afin de réduire les risques liés à l'information et aux technologies de l'information (NTIC). Le rôle du RSSI n’est pas limité à l’informatique : l’organisation, les ressources humaines et la sécurité physiques sont aussi prises en compte dans la gestion des risques.
Il supervise la réponse aux incidents, établit des normes et des contrôles appropriés, gère les technologies de sécurité et dirige l'établissement et la mise en œuvre de politiques et de procédures. Le RSSI est aussi généralement responsable de la conformité liée à l'information (par exemple, il supervise la mise en œuvre pour obtenir la certification ISO/CEI 27001. pour une entité ou une partie de celle-ci). Le RSSI est également responsable de la protection des informations et des actifs exclusifs de l'entreprise, y compris les données des clients et des consommateurs. Le RSSI travaille avec d'autres cadres pour s'assurer que l'entreprise se développe de manière responsable et éthique.
Le RSSI est tenu à une déontologie professionnelle stricte, et au respect du droit. Par exemple en 2012, celui d'EDF fut condamné à un an de prison ferme pour avoir orchestré la mise sur écoute illicite des systèmes informatiques de Greenpeace[1].
Méthodes
Le RSSI dispose de standards pour effectuer son travail :
- depuis ~1985, TCSEC ;
- depuis ~1990, ITSEC ;
- vers 1995, BS 7799 ;
- depuis 1996, COBIT ;
- en 1996 et 1998, ISO/CEI 15408 (dite "critères communs") V1 et V2, respectivement ;
- depuis : ISO/CEI 17799, devenue ISO/CEI 27002 en 2005 ;
- depuis : ISO/CEI 27001.
Notes et références
- « Les dérives illicites de l’intelligence économique », sur Données personnelles (consulté le ).
Voir aussi
Articles connexes
Biographie
- Bernard Foray, La fonction RSSI (Responsable Sécurité Système d'Information) - Guide des pratiques et retours d'expérience - 2e édition, Dunod 2011
- Alexandre Fernandez-Toro, Management de la sécurité de l'information - 4e édition, Eyrolles 2018
Lien externe
- Le RSSI : recrutement et prise de fonction par Yuksel Aydin et Hervé Schauer