Les missions de RSSI en délégation

Pourquoi recruter un RSSI en délégation ?


  • Je suis une PME, ETI ou un grand groupe et la personne occupant le poste de RSSI est partie ou est absente pour une longue période ; je souhaite donc assurer une continuité des missions SSI en attendant un recrutement ou un retour. Le RSSI de délégation prendra donc le poste de RSSI de transition. A ce titre, il pourra participer aux entretiens de recrutement et assurer le transfert de compétences nécessaire.

 

  • Je suis une PME, ETI ou un grand groupe et le poste de RSSI n’existe pas actuellement. Je souhaite donc disposer d’un expert qui pourra accompagner la montée en compétences d’un interne, travailler à temps partiel si les missions ne nécessitent pas un plein temps…

 

  • Je suis une ETI ou un grand compte, et je dispose déjà d’un RSSI en place ; je viens donc compléter son équipe avec des compétences complémentaires pour l’aider à traiter tous les sujets cybersécurité

 

 

Quelles sont les principales missions ?

Trois grands types de missions peuvent être menées par un RSSI en délégation :

 

  • Être le Référent Gouvernance SSI : mener des Analyses de risques, rédiger ou mettre à jour des Politiques de Sécurité, suivre la sécurité dans les projets, participer à la gestion de crise cybersécurité ;

 

  • Être le Référent Sécurité opérationnelle : travailler en collaboration avec les équipes opérationnelles (réseau, système, développement, sécurité) en définissant des processus techniques, des plans de contrôle SSI, suivre et analyser les indicateurs techniques, piloter ou réaliser des audits, assurer la veille et le suivi de vulnérabilités du SI, etc. ;

 

  • Être l’Architecte Sécurité du SI : challenger et accompagner les équipes projets et DSI dans la mise en œuvre d’architecture sécurisée by design, définir des standards et des référentiels d’architecture sécurisée.

 

Focus sur l’intégration du RSSI dans le process d’Intégration de la sécurité dans les projets


L’objectif de ce processus est de s’assurer que les nouveaux projets, qu’ils soient applicatifs ou d’infrastructures, intègrent nativement des mesures de sécurité qui permettront de réduire les risques identifiés et assurer ainsi un niveau de sécurité adapté aux données manipulées et aux fonctionnalités attendues du projet.

 

En quelques mots et de façon simplifié, le processus d’intégration de la sécurité dans les projets va s’appuyer sur les principes suivants :

 

  • Dès la phase d’expression du besoin, identification des évènements redoutés et des menaces possibles afin de définir les grands objectifs de sécurité à couvrir ;

 

  • Être présent dans le dépouillement des offres ou le choix d’un prestataire / fournisseur de solutions afin de vérifier que les réponses aux objectifs de sécurité soient satisfaisantes.

 

  • Une fois l’architecture applicative et technique définie, formaliser une analyse de risques afin de valider les choix et s’assurer que les principaux risques sont couverts ; si ce n’est pas le cas proposer des mesures complémentaires à mettre en œuvre.

 

  • Et enfin, mettre en œuvre une recette sécurité qui s’assurera que les mesures prévues ont bien été implémentées. Un audit pourra être réalisé également en fonction de la sensibilité des données et des fonctionnalités

 

Les principales difficultés auxquelles sont confrontées le RSSI

 

Être sollicité pour chaque nouveau projet dès la phase de conception et non pas uniquement une fois que le projet est prêt à être mis en production

  • Une des solutions est d’être intégré au comité d’engagement projet, afin de disposer d’une vue sur tous les nouveaux projets

 

Pouvoir être disponible pour tous les projets (souvent très nombreux) et ne pas retarder le bon déroulement de celui-ci

  • Une des solutions est de créer un formulaire permettant de catégoriser la sensibilité du projet et de définir des objectifs de sécurité ; sensibiliser les chefs de projets à son utilisation et au gain (financier, délai) attendu sur le projet
  • Définir un kit de mesures SSI à intégrer dans tous les projets

 

Disposer de toutes les compétences techniques pour apporter un avis et une analyse SSI : les projets pouvant être liées à des sujets aussi variés que la mise en œuvre d’une infrastructure réseaux et sécurité sur plusieurs sites, la migration d’un système virtualisé vers un cloud public, la migration des environnements de développement virtualisé vers un environnement de type Container, ou la mise en conformité réglementaires en tant que système d’information d’importance vitale

  • C’est là un des principal avantage du RSSI en délégation que de pouvoir s’appuyer sur les autres consultants de sa société de service et de pouvoir ainsi faire bénéficier à la société cliente les multiples compétences acquises. Vous ne bénéficiez donc pas d’un seul consultant spécifique pour votre accompagnement, mais de toute l’expérience et l’expertise de la société.

 

Avoir les ressources suffisantes pour pouvoir suivre l’ensemble des projets de front et suivre l’avancement de toutes les actions de sécurité identifiées (réduction de risque, traitement d’incident, correction d’écart, externalisation, …)

  • Une des solutions est de tenir rigoureusement un suivi du pilotage des actions et mettre en place une comitologie adaptée au contexte de l’entreprise (participants, fréquence, ordre du jour, …)
  • Les consultants Fidens utilisent la solution de pilotage de gouvernance de la cybersécurité APOS by Fidens, fruit d’une réflexion de dix années d’accompagnement SSI.

 

Un RSSI en délégation, c’est :

 

  • Un consultant sur site à temps complet, qui possède une solide expérience du terrainet qui va être capable de mettre en pratique pour un client donné ses connaissances et expériences acquises, afin de faire progresser la maturité cybersécurité de celui-ci

 

  • Un consultant sur site à temps partiel, 1 ou 2 jours par semaine, permettant à l’organisation d’intégrer le niveau de sécurité suffisant dans son système d’information.

 

  • Un consultant intervenant ponctuellement pour des missions spécifiques en assistance d’un RSSI interne afin d’absorber la charge de travail à réaliser.

 

Synthèse

 

La demande de RSSI externalisé s’inscrit dans une logique globale de gouvernance adressant le management de la sécurité : réflexion sur les projets à mener et priorisation de ceux-ci (schéma directeur ou plan d’actions), mise en place des comités de pilotage stratégique et opérationnel, mise à jour des politiques de sécurité, plan de reprise d’activités, …

 

FIDENS accompagne depuis plusieurs années certains de ses clients dans la mise en place de leur gouvernance sécurité, en assistance RSSI ou RSSI par intérim. FIDENS a donc développé un grand savoir-faire de la gouvernance de la sécurité des systèmes d’information, qu’il s’agisse du développement de son logiciel APOS (www.cybergouvernance.fr), d’élaboration de plan d’actions, d’animation de comités de pilotage opérationnels ou stratégiques, de formalisation de tableaux de bord, de rédaction de politiques, ou de sensibilisation auprès des collaborateurs.

 

Pour en savoir plus ...

N'hésitez pas à prendre contact avec nous pour tout complément d'information ou avoir un devis de prestation RSSI en délégation !