Au fur et à mesure des avancées technologiques, les responsabilités du RSSI se sont développées, le transformant en véritable orchestrateur de la cybersécurité. En plus de gérer les ressources, le personnel et les opérations en matière de cybersécurité, la fonction du RSSI nécessite aujourd’hui une connaissance approfondie du droit et une maitrise des législations. Cette accumulation de compétences rend le travail du Responsable de la sécurité du SI de plus en plus complexe. Décryptage !
RSSI : un rôle essentiel au sein de l’organisation
Le Responsable de la Sécurité du Système d’Information (RSSI) occupe la position d’expert en cybersécurité au sein de l’entité. Il lui incombe d’identifier et de mettre en œuvre l’ensemble des moyens et des solutions requis afin de limiter et anticiper les menaces. En étroite collaboration avec le DSI et le DPO, le RSSI a pour mission de garantir la stricte exécution des mesures de cybersécurité.
Dans cette optique, il est chargé de :
- Piloter la démarche de cybersécurité : c’est au RSSI d’assurer la conduite des opérations de cybersécurité au sein de l’organisme. Il doit ainsi mener le plan cyber et veiller à son application.
- Conseiller et assister : le RSSI assume une fonction consultative envers l’ensemble de ses collaborateurs, en leur communiquant la stratégie de sécurité à suivre et en leur prodiguant des recommandations sur les manières de l’appliquer.
- Alerter en cas de risque ou d’attaque : le RSSI doit avertir aussi bien les responsables que le personnel des dangers encourus en cas d’incident, ainsi que les mesures à suivre.
- Assurer les liaisons entre les différents acteurs : le RSSI fait office d’intermédiaire entre les opérateurs et les chefs de projets, ainsi qu’entre les spécialistes et les intervenants externes pour tout ce qui concerne la sécurité des systèmes d’information.
Lire aussi – CISO : un poste clé en matière de sécurité informatique
Les obligations cyber du RSSI
Qui dit missions variées, dit responsabilités plurielles : en tant que responsable de la sécurité, le RSSI est soumis à des obligations relevant du cadre juridique – mais pas seulement !
Les obligations juridiques du RSSI
Pour les organismes, la conformité envers les lois et les règlements encadrant la cybersécurité est cruciale :
- D’une part, il faut s’assurer « d’être conforme », en mettant en place les procédures, processus et contrôles opérationnels appropriés.
- D’autre part, il s’agit de « rester conforme » en suivant de près les évolutions réglementaires, et en étant en mesurer de fournir à tout instant les preuves d’un bon respect des procédures.
Avec l’accumulation de règlementations et de directives applicables, le RSSI fait face à de plus en plus de responsabilités au niveau juridique. En effet, en pratique, c’est souvent lui qui doit gérer cette conformité en parallèle de ses tâches de sécurisation du SI.
La question de la responsabilité du RSSI
Face au rôle de plus en plus complexe du RSSI, la question de sa responsabilité – civile ou pénale – se pose. Pour éviter toute ambiguïté, la direction de l’entreprise doit faire bénéficier le RSSI d’une délégation de pouvoir qui encadre, limite et clarifie sa responsabilité civile en cas d’incident. Et ce, que le responsable de la sécurité des SI soit interne ou externe à l’organisme. Cependant, en cas de mise en cause, le manque de budget, de formation dédiée ou de moyens mis à disposition de la cybersécurité peuvent être mise en avant par le RSSI afin de prouver son innocence.
Ainsi, face à ces risques, tout comme le DPO, le RSSI a intérêt à mettre en place des mesures de traçabilité et de transparence afin de démontrer tant aux autorités de contrôle qu’auprès de son organisation le respect de la législation en vigueur.
Pour cela, il est nécessaire dans un premier temps, de mettre en œuvre des dispositifs afin de sensibiliser le management et les collaborateurs aux risques de non-conformité. Chartre pour les utilisateurs, code de conduite pour les dirigeants, délégations de pouvoir et de signature… Le RSSI ne doit rien laisser au hasard pour garantir la conformité de l’organisme et se protéger en cas d’incident.
Au-delà des obligations, le RSSI endosse des responsabilités variées
En plus de ses obligations juridiques, le RSSI est tenu d’endosser certaines responsabilités non édictées par la loi.
Sensibiliser et former
En tant que responsable de la sécurité informatique, le RSSI assure la sensibilisation et la formation des équipes et contribue à susciter leur engagement en matière de cybersécurité. Il doit notamment former les employés aux bonnes pratiques pour protéger le SI de l’organisation.
Lire aussi : Sensibilisation cybersécurité : pourquoi et comment communiquer auprès de vos collaborateurs ?
Encadrer les usages
Le RSSI doit également encadrer l’application de ces bonnes pratiques à l’échelle de l’entité. Il définit les normes et standards de sécurité à appliquer au niveau global de l’organisme et il est chargé de veiller au respect des règles par le personnel. Pour cela, il est notamment recommandé d’établir une chartre d’utilisation des outils informatique : ce document permet d’encadrer la pratique en interne mais aussi en externe, par exemple en cas de connexion au SI de l’organisation.
Suivre l’évolution des réglementations
Enfin, pour s’assurer que l’organisme reste conforme, le RSSI doit tenir ses connaissances à jour en matière de cybersécurité. Nouvelles réglementations, outils novateurs, recrudescence des menaces… Le responsable sécurité du SI est tenu d’exercer une veille technologique active sur tous les aspects liés à la cybersécurité et à la cybercriminalité afin de protéger l’organisation sur le long terme.
RSSI : faites-vous accompagner !
Devant l’ampleur de leurs obligations et avec un paysage numérique en constante évolution, il devient de plus en plus difficile pour les RSSI d’assurer avec brio l’ensemble de leurs missions. Ainsi, en 2023, 96% d’entre eux déclarent avoir besoin de solutions plus adaptées pour renforcer la cyber-résilience de leur entreprise (source : « The Mind of the CISO », Trellix). Ce chiffre alarmant démontre bien de la nécessité pour les RSSI de se faire accompagner dans leurs missions.
Société de conseil en Systèmes d’Information, Netsystem propose un service d’assistance au RSSI afin d’aider les professionnels de la cybersécurité à répondre à leurs obligations. Notre offre modulaire s’adapte à votre secteur et vos besoins en matière de cybersécurité.
Notre promesse ? Grâce à notre approche professionnalisante, assurez la sécurité du SI sur le long terme, tout en montant progressivement en compétences. Contactez-nous !
