Responsable de la sécurité des systèmes d'information

Un article de Wikipédia, l'encyclopédie libre.
Page d’aide sur l’homonymie

Pour les articles homonymes, voir Responsable de la sécurité.

Responsable de la sécurité des systèmes d'information

modifier - modifier le code - modifier WikidataDocumentation du modèle

Le responsable de la sécurité des systèmes d'information (RSSI ; en anglais, Chief information security officer ou CISO) d'une organisation (entreprise, association ou institution) est l'expert qui garantit la sécurité du système d'information et assure la disponibilité, l'intégrité et la confidentialité des données.

Rôles[modifier | modifier le code]

Le RSSI est chargé notamment des choix et des actions concernant :

Position[modifier | modifier le code]

Le RSSI est un cadre supérieur d'une organisation chargé d'établir et de maintenir la vision, la stratégie et le programme de l'entreprise afin de garantir une protection adéquate des actifs et des technologies de l'information.

Le RSSI est membre de l’équipe de direction. L’appellation de directeur de la sécurité de l'information (dont l’acronyme est DSI) est néanmoins rare en raison de la confusion possible avec le DSI.

Si le RSSI était souvent rattaché à la Direction des systèmes d'information (DSI), il est de plus en plus membre de a direction générale de l'entreprise ou rattaché à celle ci. Dans les grands groupes, compte tenu des enjeux et des risques (notamment juridiques) portés par le système d'information, cette fonction est importante en particulier car la sécurité informatique est prise en compte pour la validité des comptes des entreprises et dans la valorisation des entreprises.

Le RSSI dirige le personnel dans l'identification, le développement, la mise en œuvre et le maintien des processus dans l'ensemble de l'entreprise afin de réduire les risques liés à l'information et aux technologies de l'information (NTIC). Le rôle du RSSI n’est pas limité à l’informatique : l’organisation, les ressources humaines et la sécurité physiques sont aussi prises en compte dans la gestion des risques.

Il supervise la réponse aux incidents, établit des normes et des contrôles appropriés, gère les technologies de sécurité et dirige l'établissement et la mise en œuvre de politiques et de procédures. Le RSSI est aussi généralement responsable de la conformité liée à l'information (par exemple, il supervise la mise en œuvre pour obtenir la certification ISO/CEI 27001. pour une entité ou une partie de celle-ci). Le RSSI est également responsable de la protection des informations et des actifs exclusifs de l'entreprise, y compris les données des clients et des consommateurs. Le RSSI travaille avec d'autres cadres pour s'assurer que l'entreprise se développe de manière responsable et éthique.

Le RSSI est tenu à une déontologie professionnelle stricte, et au respect du droit. Par exemple en 2012, celui d'EDF fut condamné à un an de prison ferme pour avoir orchestré la mise sur écoute illicite des systèmes informatiques de Greenpeace[1].

Méthodes[modifier | modifier le code]

Le RSSI dispose de standards pour effectuer son travail :

Notes et références[modifier | modifier le code]

  1. « Les dérives illicites de l’intelligence économique », sur Données personnelles (consulté le ).

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Biographie[modifier | modifier le code]

  • Bernard Foray, La fonction RSSI (Responsable Sécurité Système d'Information) - Guide des pratiques et retours d'expérience - 2e édition, Dunod 2011
  • Alexandre Fernandez-Toro, Management de la sécurité de l'information - 4e édition, Eyrolles 2018

Lien externe[modifier | modifier le code]

Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Responsable_de_la_sécurité_des_systèmes_d%27information&oldid=201034859 ».