Le Responsable de la Sécurité des Systèmes d Information : organisateur ou technicien?

Documents pareils
Module Projet Personnel Professionnel

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Prestations d audit et de conseil 2015

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Métiers - informatique et Internet Jobs - IT and Internet

Plus de 20 ans d expérience en Risk Management, Gestion des crises, PCA, Sécurité de l information, SSI et des infrastructures télécom

Votre Réseau est-il prêt?

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

Quelques missions d Amedrys

Janus Consulting. 24 Janvier Janus Consulting 8, Rue de la Chapelle Vienne en Arthies

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

INDICATIONS DE CORRECTION

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

6 ème Orientation INFORMATION ET SENSIBILISATION THEMATIQUE 1: KIT DE COMMUNICATION ENVIRONNEMENT EN ENTREPRISE

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

FICHE METIER. «Assistant son» Assistant son APPELLATION(S) DU METIER DEFINITION DU METIER

NOVA BPM. «Première solution BPM intégr. Pierre Vignéras Bull R&D

Sécurité des Systèmes d Information

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Fournisseur AVENUE DE L'UNIVERSITE BP SAINT-ETIENNE-DU-ROUVRAY CEDEX

Rsa Corporate Finance. Visitez notre site web

Mastère Spécialisé MSI-PME/PMO. aitrise des ystèmes d nformation pour les

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

LES FORMATIONS OBLIGATOIRES EN HYGIENE ET SECURITE

Systèmes et réseaux d information et de communication

CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS

DOSSIER DE PRESSE. Sommaire

Vers un nouveau modèle de sécurité

groupesolucom Devenez architecte d infrastructure

OFFRES DE SERVICE 1/2

Information Technology Services - Learning & Certification

Harmonisation comptable et mondialisation Alain B urlaud, Professeur au Conservatoire national des arts et metiers

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

Brève étude de la norme ISO/IEC 27003

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

UDSG CLASSIFICATION DOSSIER DOCUMENTAIRE

NESS ESSENTIEL, TOUT SIMPLEMENT...

La sécurité informatique

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

de la DSI aujourd hui

AUDIT MAINTENANCE CURATIVE MAINTENANCE PREVENTIVE HOTLINE

Sécuriser les données est primordial pour une entreprise, cependant au niveau

Position du CIGREF sur le Cloud computing

Connaître les Menaces d Insécurité du Système d Information

Contact : Didier Maignan DOSSIER DE COMPETENCES

ORGANISATION DES NATIONS UNIES POUR L EDUCATION, LA SCIENCE ET LA CULTURE CONVENTION SUR LA PROTECTION DU PATRIMOINE CULTUREL SUBAQUATIQUE

Chapitre 3 : Les étapes de la consolidation

Excellence. Technicité. Sagesse

Cloud Computing: de la technologie à l usage final. Patrick CRASSON Oracle Thomas RULMONT WDC/CloudSphere Thibault van der Auwermeulen Expopolis

Caisse Nationale de l'assurance Maladie des Travailleurs Salariés Sécurité Sociale

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder

Conseil opérationnel en organisation, processus & système d Information. «Valorisation, Protection et Innovation de votre Patrimoine Numérique»

Opération Management & Compétitivité

Filière métier : Administrateur Virtualisation

LA GESTION DES SERVICES INFORMATIQUES À L'ÉPREUVE DU TERRAIN

METIERS DE L INFORMATIQUE

RESPONSABLE DU DEPARTEMENT ADMINISTRATIF ET FINANCIER

Introduction Que s est-il passé en 2014? Qu attendre de 2015?

Poursuivre ses études à l'université de Rouen Masters professionnels en Informatique et en Mathématiques. UFR Sciences et Techniques /18

CobiT une expérience pratique

À titre de professionnel en sécurité informatique, monsieur Clairvoyant intervient à différents niveaux lors de projets en sécurité informatique.

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

L avenir. est au numérique

Fonctions Informatiques et Supports Opérationnels

Définition. Caractéristiques. - Du partage des ressources : espace de stockage, imprimantes, lignes de communication.

Banque Nationale de Belgique Certificate Practice Statement For External Counterparties 1

Bull, un catalogue de service particulier pour répondre aux environnements complexes

NOMENCLATURE 2005 RAPPORT. Les emplois-métiers du système d'information dans les grandes entreprises FEVRIER 2005

L attention du public est attirée sur les risques liés à cette opération qui figurent à la section facteurs de risques dudit prospectus.

2012 / Excellence. Technicité. Sagesse

w w w. e p - p a r i s. f r

Compte rendu d activité

Les métiers des Systèmes d Information dans les grandes entreprises

1 Présentation de France Telecom 2 Concentrons nous sur la DISU

Rapport d évaluation du master

Politique de Sécurité des Systèmes d Information

COMMUNIQUE DE PRESSE CONJOINT MODELLIS & DATAVALUE CONSULTING

Responsabilité Civile Professionnelle et Décennale Architectes et Bureaux d Etudes QUESTIONNAIRE. 4. Forme sociale : Code APE : N SIRET :

GESTION, ADMINISTRATION

Content & Document Management IDC Conference 2007

FICHE METIER. «Documentaliste» Documentaliste en radiodiffusion APPELLATION(S) DU METIER DEFINITION DU METIER

TABLEAU DE BORD DES REFORMES PAR PRIORITE

«Audit Informatique»

HelpDesk. Le terme français équivalent à HelpDesk est Centre d Assistance.

Macroscope et l'analyse d'affaires. Dave Couture Architecte principal Solutions Macroscope

MESDAMES ET MESSIEURS LES DIRECTEURS ET CHEFS DE SERVICE

Focus sur. métiers du numérique. métiers. les. Contexte régional. La piste. des

Les avantages de la solution Soluciteam

CALENDRIER DES STAGES 2014/2015

CONSTRUIRE votre solution de sécurité

Conseil en Technologie et Systèmes d Information

Les Fonctions SI et Organisation au service des Métiers. Optimiser la création de valeur pour l entreprise

Licence professionnelle Gestion de l'économie sociale et solidaire et entrepreneuriat

Transcription:

Le Responsable de la Sécurité des Systèmes d Information : organisateur ou technicien? Si le poste de RSSI, Responsable de la Sécurité des Systèmes d Information, était initialement vu comme une fonction essentiellement technique, la raison en incombait à la nature des risques pesant sur les systèmes d information. Tant que l architecture des SI était basé sur des architectures majoritairement propriétaires et des applications maisons, on attendait du RSSI qu il connaisse les mécanismes de sécurité à mettre en œuvre, qu il en vérifie régulièrement la bonne application (par exemple en effectuant des audits Mehari chaque année) et aussi qu il traite des problématiques de continuité d activité. La nature des risques a fondamentalement changé, lié à la complexité accrue des systèmes d information, à l ouverture aux réseaux, aux nombres de domaines complémentaires qu on lui demande de traiter (aspects juridiques, communication interne et externe). Le RSSI ne peut plus être un technicien, il lui faut acquérir des compétences organisationnelles et d architecte de système d informations, de connaissance des métiers et de conduite du changement. Le rattachement du RSSI : à la Direction des Systèmes d Information ou à la Direction Générale? Si on voit des rattachements forts différents dans les entreprises de la fonction de RSSI (à la DSI, à la DG, à la Direction Financière), cela se comprend aisément par l évolution des missions de RSSI : d homme de la sécurité informatique vers homme orchestre de la sécurité du patrimoine informationnel de l entreprise. 1 / 6

Ce sécurité Pour développement DSI). Ensuite communication, il rattachement est simplifier, souhaitable sa de mission l information. d une et est peut là doit que donc conscience évoluer dire le un éminemment RSSI rattachement qu en vers soit sécurité période du rattaché Risk dépendant plus à proche la de dans DSI Management, démarrage de des la car la DSI maturité utilisateurs (elle de plus doit ne la sécurité doit est participer d organisation de pas nécessaire. l entreprise de au l information, faire et contre de à la la Évolution des missions du RSSI lié à la maturité de l entreprise à la sécurité de l information Quand le poste de RSSI n existe pas dans une entreprise, la fonction de sécurité de l information est assurée à la DSI sur un plan uniquement technique et souvent au coup par coup (mise en œuvre d Antivirus, pare-feu pour site Web). Dès la prise de conscience, la fonction de RSSI est créée, soit au travers d une embauche, soit via un consultant externe. Sa première mission va être de développer une Politique de Sécurité de l Information en s appuyant sur des normes et méthodes. Il devra mettre en chantiers l évaluation gestion des actifs et des risques, le plan de continuité d activité, En période de développement, le RSSI va deveoir diffuser cette culture sécurité et avoir une mission de diffusion de ce savoir et savoir faire dans l ensembles des entités de l entreprise. Enfin, à la maturité de l entreprise, qui correspond à l époque où la culture sécurité s est diffusée dans l entreprise (comme la culture qualité), le RSSI sera impliquée dans la stratégie de l entreprise et participera notamment à l élaboration du schéma directeur. Évolution des missions du RSSI lié à la maturité de 2 / 6

l entreprise à la sécurité de l information Dans certaines grandes entreprises, on voit apparaître deux missions correspondant au partage des responsabilités du RSSI entre deux interlocuteurs : l'un pour la maîtrise d œuvre, et l'autre pour la maîtrise d'ouvrage. Le CISO (Chief Information Security Officer), a une mission centrée sur la gestion des risques (Risk Manager) et l organisation de la sécurité. Il participera aux réunions du Comité de Direction. Le RSSI (Responsable Sécurité des Systèmes d Information) a la responsabilité opérationnelle d appliquer les règles à l ensemble du domaine informatique. Il disposera d'un savoir-faire d architecte technique de la sécurité et d'une parfaite connaissance des processus et des systèmes d'information. Quelles sont les entreprises qui ont créé une fonction de RSSI? La majorité des grands comptes en France emploie l'enquête 2010 menée par le Clusid. maintenant un tel manager, selon A l'échelle mondiale, 50% des grandes entreprises sont dépourvues (source KPMG, 2002). d'un poste de RSSI 3 / 6

En où l externalisation de le revanche, l'externalisation DSI en assume le poste de souvent de la la mission RSSI fonction les reste de de RSSI rare RSSI responsabilités. dans (voir les article PME Un sur solution les ou avantages les réside entreprises certainement et les importantes, limites dans ). La mission du RSSI vue du terrain «Le RSSI type, c est un moustachu, plaisante Philippe Chalon, Directeur des Systèmes d Information du groupe Total. Un homme de terrain avec beaucoup d expérience, un architecte généraliste technicien. La sécurité est un domaine de responsabilités sensibles. Un RSSI, c est un homme qui a la trempe d accepter cette charge» «Le RSSI est un homme qui répand la sécurité dans l entreprise, avance, Bernard Foray, RSSI de Gemplus. Mais les acteurs de la sécurité, ce sont les gens, non le RSSI.C est à peu de choses près le même discours que peut tenir un responsable qualité.» 4 / 6

«On ne s improvise pas responsable sécurité, explique Serge Saghroune, directeur du département sécurité informatique du groupe Accor. Cela requiert de la maturité et des spécialistes chevronnés. On a aujourd hui trop tendance à mettre des jeunes en avant. Or, pour exercer ce métier, une très bonne connaissance et une parfaite maîtrise des systèmes d information est primordial.» Définition de la mission 2002) de RSSI suivant le CIGREF (nomenclature Le RSSI assure un rôle de conseil, d assistance, d information, de formation et d alerte. Il peut intervenir directement sur tout ou partie des systèmes informatiques et télécoms de son entité. Il effectue un travail de veille technologique et réglementaire sur son domaine et propose des évolutions qu il juge nécessaires pour garantir la sécurité logique et physique du système d information dans son ensemble. Il est l interface reconnu des exploitants et des chefs de projets mais aussi des experts et des intervenants extérieurs pour les problématiques de sécurité de tout ou partie du SI. Le RSSI est généralement rattaché à la direction informatique. Profil : Ingénieur ou équivalent bac + 4 ou 5 en informatique. Expérience : 10 à 15 ans d expérience, dont une première domaine de la sécurité. expérience minimale dans le L'externalisation de la fonction de RSSI L'externalisation de la fonction de RSSI peut séduire des PME, mais également des sociétés plus importantes ne disposant pas d un poste de RSSI. Si la première raison peut être budgétaire, cette externalisation de cette fonction peut aussi répondre à d'autres objectifs : 5 / 6

- meilleure définition de la mission du futur RSSI - définition du rattachement du RSSI Voir article joint : l'externalisation du RSSI En savoir plus : Dossier du Cigref sur la définition des missions au sein de la DSI : http://www.cigref.fr 6 / 6

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back