Responsable de la sécurité des systèmes d'information
Le responsable de la sécurité des systèmes d'information (RSSI ; en anglais, Chief information security officer ou CISO) d'une organisation (entreprise, association ou institution) est l'expert qui garantit la sécurité du système d'information et assure la disponibilité, l'intégrité et la confidentialité des données.
Pour les articles homonymes, voir Responsable de la sécurité.
Rôles
Le RSSI est chargé notamment des choix et des actions concernant :
- la sensibilisation des utilisateurs aux problèmes de sécurité ;
- la sécurité des réseaux ;
- la sécurité des systèmes ;
- la sécurité des télécommunications ;
- la sécurité des applications ;
- la sécurité physique ;
- la mise en place de moyens de fonctionnement en mode dégradé (récupération sur erreur) ;
- la stratégie de sauvegarde des données ;
- la mise en place d'un plan de continuité d'activité « disaster recovery ».
Position
Si le RSSI est souvent rattaché à la Direction des systèmes d'information (DSI), il est parfois rattaché à la direction générale de l'entreprise dans les grands groupes, compte tenu des enjeux et des risques (notamment juridiques) portés par le système d'information.
Le RSSI est tenu à une déontologie professionnelle stricte, et au respect du droit. Par exemple en 2012, celui d'EDF fut condamné à un an de prison ferme pour avoir orchestré la mise sur écoute illicite des systèmes informatiques de Greenpeace[1].
Méthodes
Le RSSI dispose de standards pour effectuer son travail :
- depuis ~1985, TCSEC ;
- depuis ~1990, ITSEC ;
- vers 1995, BS 7799 ;
- depuis 1996, COBIT ;
- en 1996 et 1998, ISO/CEI 15408 (dite "critères communs") V1 et V2, respectivement ;
- depuis : ISO/CEI 17799, devenue ISO/CEI 27002 en 2005 ;
- depuis : ISO/CEI 27001.
Notes et références
- « Les dérives illicites de l’intelligence économique », sur Données personnelles (consulté le ).
Voir aussi
Articles connexes
Biographie
- Bernard Foray, La fonction RSSI (Responsable Sécurité Système d'Information) - Guide des pratiques et retours d'expérience - 2e édition, Dunod 2011
- Alexandre Fernandez-Toro, Management de la sécurité de l'information - 4e édition, Eyrolles 2018
Lien externe
- Le RSSI : recrutement et prise de fonction par Yuksel Aydin et Hervé Schauer
- Portail du travail et des métiers
- Portail de la sécurité de l’information