Responsable de la sécurité des systèmes d'information

Pour les articles homonymes, voir Responsable de la sécurité.

Le responsable de la sécurité des systèmes d'information (RSSI, ou CISO en anglais) d'une organisation (entreprise, association ou institution) y est responsable du maintien du niveau de sécurité du système d'information.

[modifier] Rôles

Le RSSI est chargé notamment des choix et des actions concernant :

• la sensibilisation des utilisateurs aux problèmes de sécurité.
• la sécurité des réseaux.
• la sécurité des systèmes.
• la sécurité des télécommunications.
• la sécurité des applications.
• la sécurité physique.
• la mise en place de moyens de fonctionnement en mode dégradé (récupération sur erreur).
• la stratégie de sauvegarde des données.
• la mise en place d'un plan de continuité d'activité « disaster recovery ».

[modifier] Position

Si le RSSI est quelquefois rattaché à la DSI (DSI), il est fréquemment rattaché à la Direction générale de l'entreprise, compte tenu des enjeux et des risques (notamment juridiques) portés par le Système d'information.

Le RSSI est tenu à une déontologie professionnelle stricte, et au respect du droit ; certains RSSI on fait de la prison ferme pour avoir violé des normes pénales. Un sens de la mesure et de la prudence est donc nécessaire dans cette profession.

[modifier] Méthodes

Le RSSI dispose de standards pour effectuer son travail :

• depuis ~1985, TCSEC
• depuis ~1990, ITSEC
• vers 1995, BS 7799
• depuis 1996, COBIT
• en 1996 et 1998, ISO/CEI 15408 (dite "critères communs") V1 et V2, respectivement.
• depuis décembre 2000 : ISO/CEI 17799
• depuis octobre 2005 : ISO/CEI 27001

[modifier] Voir aussi

• Sécurité des systèmes d'information
• Administrateur sécurité

• Portail du travail et des métiers
• Portail de la sécurité de l’information