Responsable de la sécurité des systèmes d'information

Pour les articles homonymes, voir Responsable de la sécurité.

Le responsable de la sécurité des systèmes d'information (RSSI ; en anglais, Chief information security officer ou CISO) d'une organisation (entreprise, association ou institution) est l'expert qui garantit la sécurité, la disponibilité et l'intégrité du système d'information et des données.

Rôles[modifier | modifier le code]

Le RSSI est chargé notamment des choix et des actions concernant :

• la sensibilisation des utilisateurs aux problèmes de sécurité ;
• la sécurité des réseaux ;
• la sécurité des systèmes ;
• la sécurité des télécommunications ;
• la sécurité des applications ;
• la sécurité physique ;
• la mise en place de moyens de fonctionnement en mode dégradé (récupération sur erreur) ;
• la stratégie de sauvegarde des données ;
• la mise en place d'un plan de continuité d'activité « disaster recovery ».

Position[modifier | modifier le code]

Si le RSSI est souvent rattaché à la Direction des systèmes d'information (DSI), il est parfois rattaché à la direction générale de l'entreprise dans les grands groupes, compte tenu des enjeux et des risques (notamment juridiques) portés par le système d'information.

Le RSSI est tenu à une déontologie professionnelle stricte, et au respect du droit. Par exemple en 2012, celui d'EDF fut condamné à un an de prison ferme pour avoir orchestré la mise sur écoute illicite des systèmes informatiques de Greenpeace^[1].

Méthodes[modifier | modifier le code]

Le RSSI dispose de standards pour effectuer son travail :

• depuis ~1985, TCSEC ;
• depuis ~1990, ITSEC ;
• vers 1995, BS 7799 ;
• depuis 1996, COBIT ;
• en 1996 et 1998, ISO/CEI 15408 (dite "critères communs") V1 et V2, respectivement ;
• depuis décembre 2000 : ISO/CEI 17799, devenue ISO/CEI 27002 en 2005 ;
• depuis octobre 2005 : ISO/CEI 27001.

Notes et références[modifier | modifier le code]

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

• Sécurité des systèmes d'information
• Administrateur sécurité

Biographie[modifier | modifier le code]

• Bernard Foray, La fonction RSSI (Responsable Sécurité Système d'Information) - Guide des pratiques et retours d'expérience - 2^e édition, Dunod 2011
• Alexandre Fernandez-Toro, Management de la sécurité de l'information - 4^e édition, Eyrolles 2018

Lien externe[modifier | modifier le code]

• Le RSSI : recrutement et prise de fonction par Yuksel Aydin et Hervé Schauer

• Portail du travail et des métiers
• Portail de la sécurité de l’information