Responsable de la sécurité des systèmes d'information

Le RSSI est chargé notamment des choix et des actions concernant :

• la sensibilisation des utilisateurs aux problèmes de sécurité ;
• la sécurité des réseaux ;
• la sécurité des systèmes ;
• la sécurité des télécommunications ;
• la sécurité des applications ;
• la sécurité physique ;
• la mise en place de moyens de fonctionnement en mode dégradé (récupération sur erreur) ;
• la stratégie de sauvegarde des données ;
• la mise en place d'un plan de continuité d'activité « disaster recovery ».

Si le RSSI est souvent rattaché à la Direction des systèmes d'information (DSI), il est parfois rattaché à la direction générale de l'entreprise dans les grands groupes, compte tenu des enjeux et des risques (notamment juridiques) portés par le système d'information.

Le RSSI est tenu à une déontologie professionnelle stricte, et au respect du droit. Par exemple en 2012, celui d'EDF fut condamné à un an de prison ferme pour avoir orchestré la mise sur écoute illicite des systèmes informatiques de Greenpeace[1].

Le RSSI dispose de standards pour effectuer son travail :

• depuis ~1985, TCSEC ;
• depuis ~1990, ITSEC ;
• vers 1995, BS 7799 ;
• depuis 1996, COBIT ;
• en 1996 et 1998, ISO/CEI 15408 (dite "critères communs") V1 et V2, respectivement ;
• depuis décembre 2000 : ISO/CEI 17799, devenue ISO/CEI 27002 en 2005 ;
• depuis octobre 2005 : ISO/CEI 27001.