RSSI : Responsable de la Sécurité des Systèmes d'Information

Le Responsable de la sécurité des systèmes d'information (RSSI) assure le pilotage de la démarche de cybersécurité sur un périmètre organisationnel. Il définit ou décline, selon la taille de l'organisation, la politique de sécurité des systèmes d'information (prévention, protection, détection, résilience, remédiation) et veille à son application. Il garantit la sécurité du système d'information et assure la disponibilité, l'intégrité, la confidentialité des données et la traçabilité.

Détails du métier

Le RSSI assure un rôle de conseil, d'assistance, d'information, de formation et d'alerte, en particulier auprès des directeurs métiers et/ou de la direction de son périmètre. Ses missions couvrent l'identification et l'analyse des risques cyber, la définition d'un plan d'actions annuel ou pluriannuel, l'animation de sessions de sensibilisation et le suivi des incidents de sécurité.

Il effectue un travail de veille technologique et réglementaire sur son domaine et propose des évolutions qu'il juge nécessaires pour garantir la sécurité logique et physique du système d'information dans son ensemble. Le RSSI intervient sur la gestion de crise cyber, l'audit de vulnérabilités, le contrôle de l'application des procédures de sécurité et la gestion des relations avec les prestataires externes (PASSI, PRIS, PDIS).

Dans les grands groupes, compte tenu des enjeux et des risques (notamment juridiques) portés par le système d'information, cette fonction est importante en particulier car la sécurité informatique est prise en compte pour la validité des comptes des entreprises et dans la valorisation des entreprises.

Lien avec NIS2

Le RSSI occupe une position centrale dans la mise en conformité NIS2. L'Article 21 de la directive exige que les entités essentielles et importantes prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques liés à la sécurité des systèmes d'information qu'elles utilisent. Le RSSI pilote la mise en œuvre de ces 10 mesures minimales : analyse de risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, gestion des vulnérabilités, etc.

L'Article 20 de NIS2 place la responsabilité explicite sur l'organe de direction pour l'approbation et la supervision de la mise en œuvre des mesures de l'Article 21. Le RSSI devient donc l'interface opérationnelle entre la gouvernance (dirigeants) et les équipes techniques, assurant le reporting régulier vers la direction et la conformité aux obligations de notification d'incidents (Article 23).

Pour les entités régulées, le RSSI doit également structurer les relations avec les prestataires qualifiés (PASSI, PRIS) et documenter les mesures techniques pour les audits de conformité.

Pour aller plus loin

• ANSSI – Référentiel des missions RSSI
• Directive NIS2 – Article 21 (EUR-Lex)