La fiche de poste RSSI selon l’ANSSI

Le rôle stratégique du RSSI : missions et compétences clés

Dans un monde où la numérisation des échanges croît et les attaques informatiques constituent de véritables menaces pour les organisations, former et/ou recruter des experts compétents dans le domaine s’avère primordial. Au sein des métiers de la cybersécurité se déclinent plusieurs familles de professions. Parmi elles, la gestion de la sécurité de l’entreprise et le pilotage des projets liés à celle-ci, à laquelle appartient notamment le responsable de la sécurité des systèmes d’information (RSSI). Rôle, missions et compétences : nous faisons le point sur le poste de responsable des systèmes d’information.

Le RSSI, qu’est-ce que c’est ?

Expert en sécurité de l’information, le responsable de la sécurité des systèmes d’information est employé pour s’occuper du pilotage de la démarche de cybersécurité au sein d’une entreprise. Il prend ainsi le temps d’évaluer la vulnérabilité du système d’information pour ensuite aboutir à la définition d’une politique de sécurité adaptée aux besoins et à la taille de l’organisation.

De la prévention à la protection en passant par la résilience et la remédiation, il s’impose comme véritable architecte de la sécurité des systèmes d’information d’une entreprise puisqu’en plus d’en déterminer les objectifs et solutions, il veille à la bonne application de la politique de sécurité.

Fort de ses rôles opérationnels et de conseil, le rôle du RSSI s’est progressivement développé : il s’assure ainsi de la mise en place des différentes stratégies de sécurité tout en informant et/ou formant sa hiérarchie et ses équipes quant aux différents risques relatifs à la sécurité informatique de l’organisation.

Les missions du responsable de la sécurité des systèmes d’information

Poste stratégique au sein d’une entreprise (grande entreprise, TPE ou PME), le responsable de la sécurité des systèmes d’information gère des tâches variées, essentielles au bon fonctionnement de la politique de sécurité des SI.

Les tâches génériques du RSSI

La première mission du RSSI consiste à identifier les enjeux et les risques en matière de cybersécurité. Ainsi, il :

  • Détermine les axes et les objectifs stratégiques qu’il fait valider par la direction compétente ; 
  • Définit un plan d’actions annuel ou pluriannuel ; 
  • Maintient et adapte la politique de sécurité des systèmes d’information avec les acteurs concernés ;
  • Définit une politique d’investissement en fonction des objectifs prédéterminés ;
  • Contribue à définir et animer l’organisation de la cybersécurité ;
  • Effectue de la veille technologique pour suivre l’évolution des risques au sein de son secteur.

Le RSSI veille également à la protection de l’entreprise, puisqu’il :

  • Définit les actions organisationnelles et techniques à mettre en place pour atteindre les objectifs de cybersécurité ; 
  • Offre un support à ces actions via une assistance technique et méthodologique et des outils et services de sécurité ;
  • Diffuse une culture SSI et assure la promotion des chartes de sécurité informatique ;
  • Réalise des audits périodiques et des contrôles pour évaluer le niveau de sécurité de l’entreprise ;
  • Contrôle la bonne application des politiques de sécurité des SI dans l’entreprise, mais aussi vis-à-vis des tiers ;
  • Répond aux sollicitations des clients de l’entreprise quant aux questions de sécurité.

À cela s’ajoute une mission de détection, consistant à instaurer un Centre des Opérations de Sécurité et à prendre les mesures organisationnelles et techniques nécessaires pour surveiller l’ensemble des événements de sécurité, relever les incidents et réagir efficacement aux potentielles attaques. 

Le RSSI est naturellement chargé de répondre aux problèmes de sécurité des SI en s’assurant du bon fonctionnement du dispositif de gestion de crise de sécurité et en contribuant à son pilotage.

Par ailleurs, il assure la continuité des opérations de l’entreprise en :

  • Mettant en place des plans de continuité et de reprise informatique, en lien avec le PCA et le PRA ;
  • Proposant un plan de cyber-résilience.

Si le RSSI joue un rôle de conseiller envers sa hiérarchie, il doit aussi lui rendre compte de ses actions quant au niveau de couverture des risques de sécurité SI tout en jouant un rôle de représentant auprès des autorités de régulation.

Les tâches du RSSI au sein d’une PME ou TPE

En fonction de l’activité, le RSSI ne constitue pas toujours un poste dédié au sein d’une PME ou d’une TPE. Dans ce cas, le DSI, le responsable informatique ou encore un exploitant peut se charger de missions plus ajustées à la taille du réseau de l’entreprise.

Ce professionnel se charge ainsi d’identifier les risques de sécurité et de définir la politique de sécurité des systèmes d’information. Il s’assure de la protection de l’organisation en :

  • Définissant, déployant et assurant le fonctionnement des actions organisationnelles et techniques de sécurité ;
  • S’assurant de la mise en place sécurisée des projets ; 
  • Veillant à la bonne application des règles de sécurité et pilotant les audits de sécurité sur le SI ; 
  • Paramétrant et administrant les outils de sécurité ;
  • Diffusant et sensibilisant les décideurs à la culture SSI.

Là aussi, il se charge de détecter et piloter la gestion des incidents et crises de sécurité tout en instaurant un plan de continuité informatique.

Enfin, le responsable de ces missions est tenu d’une tâche de reporting : il rend compte de l’état des actions de sécurité menées et mobilise des expertises extérieures en cas de besoin.

Les compétences du responsable de sécurité SI

Le métier de responsable de sécurité des systèmes d’information est un poste nécessitant généralement un bac +5 ainsi qu’une spécialisation en cybersécurité. Une expérience professionnelle supérieure à 5 ans dans le domaine est, par ailleurs, souvent nécessaire puisque le RSSI requiert de multiples compétences techniques et humaines.

Au niveau technique, le responsable de sécurité SI doit :

  • Disposer d’une bonne connaissance des enjeux, du fonctionnement et de l’organisation de l’entreprise ; 
  • Connaître les systèmes d’information, leurs principes d’architecture et leurs interfaces ;
  • Maîtriser les fondamentaux dans les principaux domaines de la SSI et comprendre les menaces liées à la cybersécurité ;
  • Connaître les technologies et les outils de sécurité afin de pouvoir construire une stratégie adaptée ; 
  • Disposer de connaissances juridiques en matière de droit informatique et de protection des données et de connaissances des normes et standards dans le domaine de la sécurité.

En ce qui concernent les soft skills, la capacité d’influence, le management d’équipe, le sens de l’intérêt général, la gestion de la pression et des situations de crise, l’adaptabilité et la compréhension des enjeux métiers ou encore la capacité à animer des équipes transverses sont autant de compétences comportementales qui lui permettront de mener à bien ses missions.