DSI et RSSI : une collaboration stratégique

DSI & RSSI : une alliance stratégique pour la cybersécurité

Confrontées à la complexité croissante des systèmes d’information, couplée à la hausse des cybermenaces, les entreprises ont des besoins métiers spécifiques en termes de responsabilité de la sécurité des systèmes d’information. Pour relever les nouveaux défis liés au développement du numérique, une étroite collaboration entre les directeurs des systèmes d’information (DSI) et les responsables de la sécurité des systèmes d’information (RSSI) semble primordiale.

Si le RSSI et le DSI sont parfois confondus, les deux postes poursuivent, en réalité, des objectifs différents bien que complémentaires. Missions, rôles, responsabilités… Nous faisons le point sur les avantages d’une collaboration stratégique entre ces deux métiers.

DSI et RSSI : quel est le rôle de chacun ?

Au sein de certaines entreprises, le DSI joue aussi le rôle de RSSI. Avec l’évolution des défis liés à la cybersécurité, cette tendance paraît, elle aussi, évoluer. Le directeur des systèmes d’information et le responsable sécurité des systèmes d’information sont, en effet, deux métiers distincts aux missions complémentaires. 

Quelles sont les missions du DSI ?

Le directeur des systèmes d’information est en charge de la supervision de l’ensemble des systèmes d’information et des réseaux d’une entreprise. Son but est ainsi de pouvoir aligner les technologies avec les besoins métiers et les objectifs stratégiques de l’organisation.

Plusieurs missions lui sont de fait confiées : 

  • Gérer les infrastructures IT (serveurs, réseaux locaux ou étendus, équipements de stockage…) ;
  • Proposer un support aux différents départements de métiers via des outils technologiques adaptés (messagerie, CRM, plateformes collaboratives…) ;
  • Conduire des projets de transformation numérique pour assurer la modernisation des processus ;
  • Être en mesure de gérer le budget qui lui est alloué (évaluation des besoins, planifications et justification des dépenses).

Quelles sont les missions du RSSI ?

Le responsable sécurité des systèmes d’information est, lui, comme son nom l’indique, le garant de la sécurité des SI. Il est ainsi le responsable de la protection des données, mais aussi des actifs matériels et des collaborateurs face aux menaces liées à la sécurité informatique.

Ce sont quatre missions principales qui lui sont assignées : 

  • Gérer les risques liés à la sécurité (état des lieux, audits, stratégies, actions correctives…) ; 
  • Instaurer des politiques de sécurité conformes aux normes en vigueur ;
  • Former et sensibiliser à la culture de la cybersécurité auprès de l’ensemble des métiers et des fonctions de l’entreprise ;
  • Surveiller et réagir face aux incidents de sécurité pour en minimiser l’impact sur les activités de l’organisation.

Deux profils de métier aux fonctionnalités distinctes

Si le DSI porte parfois la double casquette en jouant aussi le rôle du RSSI, il paraît indispensable de faire la différence entre les deux postes dans un environnement dans lequel la cybersécurité est un enjeu prépondérant pour les entreprises.

Ainsi, on l’a vu, la portée des missions, les objectifs ou encore l’orientation stratégique des deux métiers diffèrent. Là où le RSSI se focalise sur les vulnérabilités des systèmes d’information d’une organisation et la cybersécurité, le DSI cherche, notamment, à garantir la résilience et la continuité de celle-ci en minimisant les perturbations en cas de problèmes.

Séparer les deux postes s’avère donc essentiel pour assurer une expertise optimale dans chacune des missions du RSSI et du DSI. Puisque la cybersécurité est un domaine particulièrement spécialisé (en termes de normes juridiques, d’évolutions technologiques, etc.), recruter un expert en la matière permettra d’assurer une excellente sécurité à l’entreprise.

De cette manière, l’organisation assure une gestion objective des risques liés à la sécurité. En étant un poste indépendant, le RSSI s’appuie, en effet, sur ses compétences spécifiques pour veiller à la protection des systèmes d’information sans être influencé par les impératifs de budget du DSI.

Une alliance nécessaire pour une gestion équilibrée des systèmes d’informations

Si la séparation des rôles est avantageuse pour les entreprises, celle-ci ne signifie pas qu’elles doivent fonctionner de manière indépendante. Au contraire, une collaboration ouverte entre les deux métiers est indispensable pour offrir des solutions coordonnées face aux incidents de sécurité et pouvoir planifier des projets IT efficaces.

Obtenir une meilleure vue des systèmes d’information

En effet, le partage d’informations et la communication entre les deux métiers permettent de disposer d’une meilleure vue d’ensemble des SI. DSI et RSSI sont en mesure de mieux coordonner leurs efforts de défense et, de fait, gagner en efficacité en ce qui concerne la gestion des systèmes d’information.

Minimiser les risques de sécurité liés aux SI

S’ils s’occupent chacun efficacement d’un aspect relatif aux systèmes d’information (optimisation des processus d’un côté et risques liés à la cybersécurité de l’autre), développer des initiatives communes s’avère, par ailleurs, être un bon moyen de minimiser les risques de sécurité. En intégrant pleinement des mesures de sécurité — déterminées par le RSSI — à ses projets IT, le DSI peut mettre en place des projets plus sûrs et pertinents.

Puisqu’ils constituent un binôme expert veillant à la protection maximale des SI, une collaboration s’avère être un véritable atout. De fait, elle aide à convaincre les différents acteurs de l’entreprise (salariés, comités de direction…) de l’importance de pouvoir maitriser les risques informatiques.

Réagir rapidement en cas d’incident de sécurité

Un incident de sécurité ou encore une menace impliquent une réaction rapide et efficace. Aussi, la bonne coordination des actions du DSI et du RSSI est essentielle pour pouvoir minimiser l’impact du problème au sein de l’entreprise.

C’est pourquoi il convient de correctement définir le rôle de chaque métier quant à la gestion de ces complications, notamment en mettant en place, en amont, des procédures et des champs d’actions clairs.

Dans ce contexte, celles-ci ont pour but de clarifier les missions du directeur des systèmes d’information — pouvant, par exemple, veiller à la bonne continuité des opérations de l’organisation — et du responsable sécurité des systèmes d’information — pouvant, quant à lui, se charger de la détection et de la suppression du danger menançant la sécurité de l’entreprise.

Ainsi, l’objectif d’une coopération et d’une communication entre les directeurs des systèmes d’information et les responsables sécurité des systèmes d’information est, à terme, de pouvoir assurer à chaque entreprise des SI à la fois innovants, performants et sécurisés tout en renforçant ses fondations technologiques sur le long terme.