Responsable sécurité informatique - Apec.fr - Cadres
 
Informatique

commentaire (0) | lu 1158 fois | publié le 01/09/2015

Responsable sécurité informatique

Finalité du métier

Le responsable sécurité informatique évalue la vulnérabilité du système d’information de l’entreprise, définit et met en oeuvre la politique de sécurité de l’entreprise. Il met en place des solutions pour garantir la disponibilité, la sécurité et l’intégrité de système d’information et des données.  

 

Autres intitulés

  • RESPONSABLE OU DIRECTEUR DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION (RSSI OU DSSI)
  • RESPONSABLE DES RISQUES DE LA SÉCURITÉ DES SYSTÈMES INFORMATIQUES (RRSSI)
  • RESPONSABLE SÉCURITÉ DES RÉSEAUX INFORMATIQUES

 

Missions principales

Identification des risques et définition de la politique de sécurité

  • Réaliser des audits du système de sécurité, le plus souvent avec l’aide de prestataires.
  • Analyser les risques et les dysfonctionnements, les marges d’amélioration des systèmes de sécurité.
  • Définir et faire évoluer la politique de sécurité des systèmes d’information du groupe (PSSI).
  • Établir un plan de prévention des risques informatiques et un plan de continuité d’activité (PCA) ou plan de maintien en conditions opérationnelles du SI.
  • Définir ou faire évoluer les mesures et les normes de sécurité (charte), en cohérence avec la nature de l’activité de l’entreprise et son exposition aux risques informatiques (nomadisme, BYOD [Bring your own device, transferts de données, transactions financières...).
  • Choisir les dispositifs techniques les plus appropriés aux besoins de l’entreprise (firewall, programmes de back-up, cryptographie, authentification...).
  • Participer à la définition et au contrôle de la gestion des habilitations.
  • Participer au comité des risques.

 

Mise en œuvre et suivi du dispositif de sécurité

  • Faire appliquer les normes et standards de sécurité.
  • Mettre en place les méthodes et outils de sécurité adaptés, et accompagner leur implémentation auprès des utilisateurs.
  • Gérer les projets d’infrastructures sécuritaires.
  • Élaborer et suivre des tableaux de bord des incidents sécurité.
  • Superviser ou auditer les programmes de sauvegarde (back up).
  • Gérer les incidents sécurité et proposer des solutions pour rétablir rapidement les services.
  • Définir les actions à mener afin de réparer les dommages causés au SI en cas de survenance d’un sinistre de sécurité SI (intrusion dans le système, contamination par un virus, défaillance d’un équipement...), mettre en œuvre le plan de reprise d’activité (PRA).
  • Faire analyser les causes des incidents et consolider les mesures de sécurité.
  • Faire tester régulièrement le bon fonctionnement des mesures de sécurité mises en place pour en détecter les faiblesses et les carences.
  • Auditer le respect des normes de sécurité informatique imposées aux sous-traitants de l’entreprise.

 

Communication et formation sur les normes de sécurité

  • Réaliser le référentiel de sécurité, l’actualiser régulièrement, en assurer la diffusion et veiller à son application.
  • Définir les formations à réaliser, superviser la rédaction des supports de formation et en assurer la diffusion (principalement auprès du service informatique).
  • Mettre en place des actions de communication (en concertation avec le responsable de l’exploitation informatique ou les risk managers métiers) auprès des salariés de l’entreprise en cas de risque majeur ou de dommages au SI causés par une attaque ou par des dégâts matériels.

 

Veille technologique et réglementaire

  • Assurer une veille technologique, de manière à garantir la sécurité logique et physique du système d’information.
  • Assurer une veille réglementaire sur la protection des données personnelles.
  • Identifier les nouveaux risques sur la sécurité du système d’information : apparition de nouveaux virus, lancement d’attaques informatiques sur le réseau mondial?
  • Rechercher des solutions innovantes pour répondre aux problématiques induites par l’introduction d’une nouvelle technologie.
  • Suivre les évolutions juridiques du marché en termes de sécurité informatique afin de garantir la conformité du SI au droit individuel et collectif.
  • Rédiger des notes technologiques de sécurité.

 

Management des équipes de correspondants/ingénieurs sécurité

  • Assurer le management hiérarchique de son équipe : objectifs, congés, entretiens annuels, besoins de formation?
  • Définir les plannings ainsi que la participation à des projets transverses (notamment comités risques dans la banque).
  • Suivre l’action des correspondants sécurité.
  • Suivre le budget alloué à la sécurité informatique.
  • Participer au choix et l’évaluation des sous-traitants (sélection des SSII ou cabinets conseil, participation à la rédaction de l’appel d’offres et au dépouillement des réponses, sélection et réception des candidats).

 

Suivi des actions et reporting

  • Contrôler les tableaux de bord techniques des incidents de sécurité rencontrés (virus, tentatives d’intrusion...).
  • Assurer le reporting des problèmes de sécurité en estimant les pertes financières (pertes engendrées et coût de mise en place d’une parade).

 

Activités éventuelles

Cette fonction peut être cumulée avec celle de correspondant « Informatique et libertés » dans certaines structures.

Le responsable sécurité informatique peut également exercer une responsabilité d’encadrement vis-à-vis d’une équipe de techniciens, d’ingénieurs et/ou administrateurs systèmes réseaux.

 

Il peut être amené à animer en personne des sessions de formation à l’attention d’utilisateurs initiés ou non initiés, en interne mais aussi lors de séminaires rassemblant des experts de la sécurité informatique.

 

Cette fonction peut être cumulée avec celle de responsable système réseaux télécoms ou d’administrateur système réseau dans les PME ou dans les sociétés qui estiment leurs risques informatiques ou risques d’intrusion moindres que le coût engendré par l’embauche d’un expert à plein temps.

 

Variabilité des activités

C’est la taille de l’entreprise, mais aussi son secteur d’activités qui conditionnent le contenu de la fonction de responsable sécurité informatique. Son activité peut varier selon :

  • Les conditions d’exercice

Lorsqu’il exerce en SSII ou en cabinet conseil spécialisé, le RSSI n’intervient le plus souvent que sur une partie des missions pour laquelle il lui est demandé une expertise très poussée : il réalise l’audit du SI et met en place une politique de sécurité dans des entreprises ne disposant pas encore de spécialistes dans ce domaine.

Il est également en charge de la réponse aux appels d’offres et de l’avant-vente des prestations. En revanche, s’il intervient en SSII sur l’informatique infogérée d’une entreprise, son rôle est le même que celui d’un RSSI d’une entreprise utilisatrice.

En entreprise, le RSSI est fréquemment responsable de la mise en pratique opérationnelle de la sécurité sur le système d’information et le Web : il peut gérer les droits des utilisateurs et à participer à la définition des règles avec les opérationnels des métiers. Il est souvent amené à sensibiliser les différents interlocuteurs aux problématiques de sécurité (mots de passe...).

 

  • Le secteur et la culture du risque de l’entreprise

Dans les secteurs d’activités sensibles, tels que la banque/finance ou encore la défense, la culture du risque en interne est très forte. De fait, le poste de responsable sécurité informatique revêt un enjeu plus stratégique et dispose en conséquence de moyens plus importants. Il gère un budget important, encadre généralement une équipe d’experts techniques voire fonctionnels, et occupe un positionnement transverse dans l’entreprise. Il travaille généralement avec une équipe de prestataires, experts techniques, voire fonctionnels, et doit avoir des notions d’urbanisme et d’architecture SI plus poussées que dans d’autres secteurs.

Dans le secteur bancaire, le RSSI est amené à être l’interlocuteur d’autorités de tutelle (commission bancaire, GIE CB...).

 

  • La taille de l’entreprise

Dans les groupes internationaux ou possédant plusieurs implantations, il occupe un rôle de centralisation et d’animation du dispositif global de sécurité. Il encadre tantôt hiérarchiquement tantôt fonctionnellement des homologues rattachés à un site ou à un pays. Il doit garantir les synergies en termes de moyens, mais aussi la bonne diffusion des règles de sécurité à travers l’ensemble de ses correspondants sécurité.

 

Dans les grandes entreprises, (ex : Banque, assurance) le responsable sécurité informatique est de plus en plus souvent rattaché à la direction de l’audit. Même s’il intervient via une SSII ou un cabinet d’experts, il peut coordonner des équipes importantes (jusqu’à 50 personnes) en fonction des problèmes rencontrés.

Dans ce cadre, son rôle va s’orienter plus largement vers la sélection et le pilotage de prestataires intervenant en audit ou en intégration de solutions de sécurité.

 

Dans les entreprises de taille moyenne, le RSSI définit l’ensemble de la politique de sécurité informatique (back up, sécurité physique des équipements...) tout en occupant un poste d’expert en sécurité et en gérant de manière opérationnelle tous les incidents de sécurité, en s’appuyant parfois sur les compétences de prestataires spécialisés. Il n’a pas ou peu de rôle de manager.

 

En PME, cette fonction est souvent confiée aux administrateurs ou ingénieurs systèmes réseaux télécoms.

 

Salaire

  • Cadre confirmé : entre 60 et 80 k Euros / an  (et plus selon l’expérience et le secteur)

 

Compétences requises

Compétences techniques

  • Bonne connaissance de la stratégie de l’entreprise, de son organisation, de ses métiers et des enjeux.
  • Bonne connaissance du système d’information global, de l’urbanisation et de l’architecture du SI et des interfaces en application.
  • Maîtrise des normes et procédures de sécurité et des outils et technologies qui s’y rapportent : firewall, antivirus, cryptographie, serveurs d’authentification, tests d’intrusion, PKI, filtrages d’URL...
  • Connaissance des principaux prestataires du marché de la sécurité informatique (éditeurs, sociétés de service...).
  • Bonne connaissance des réseaux et systèmes.
  • Bonne connaissance des outils d’évaluation et de maîtrise des risques (méthode Marion MEHARI...).
  • Connaissance des méthodologies (ex. : OSSTMM, OWASP...).
  • Bonnes connaissances juridiques en matière de sécurité et de droit informatique.
  • Connaissance des normes ISO (si l’entreprise dispose d’une certification) et/ou PCI/DSF (banques, grande distribution ou e-commerce).
  • Maîtrise de l’anglais, car 90 % des documents relatifs à la sécurité sont rédigés en anglais.

 

Aptitudes professionnelles

  • Sens de la confidentialité, intégrité et éthique car le responsable sécurité a accès à des informations sensibles et stratégiques pour l’entreprise.
  • Rigueur, capacité d’anticipation et sens de la méthode afin de mettre en place des programmes de sécurité efficients.
  • Pédagogie pour expliquer aux utilisateurs les règles à respecter pour ne pas mettre en danger le système d’information de l’entreprise.
  • Diplomatie, écoute, sens du dialogue, persuasion, pour convaincre les utilisateurs des risques encourus et du bien-fondé des procédures mises en place.
  • Résistance au stress pour faire face à des situations de crise nombreuses et inattendues (intrusion, virus, problème de sécurité matérielle [incendies, fuites d’eau?]) et à prioriser les actions à mener.
  • Curiosité, car le responsable sécurité doit, en permanence, se tenir au courant des nouveaux risques et des nouvelles parades (virus et antidotes).
  • Force de proposition pour faire évoluer la stratégie, ainsi que les pratiques.
  • Capacité à travailler et à s’adapter à tous les niveaux d’interlocuteurs de l’entreprise en adaptant son langage et son niveau d’explication à la population avec laquelle il est amené à travailler.

 

Profils les plus demandés

Diplômes requis

  • Formation de niveau Bac +5 (master) spécialisée en sécurité informatique et/ou télécoms, sécurité des systèmes informatiques et des réseaux, sécurité, cryptologie et codage de l’information...
  • École d’ingénieurs (informatique, télécoms, généraliste).

 

Durée d’expérience

Au moins 5 à 7 ans d’expérience sont généralement requis car il s’agit de postes nécessitant une certaine maturité ainsi qu’une bonne connaissance des systèmes d’information.

 

Postes précédents

  • Ingénieur développement
  • Ingénieur sécurité
  • Ingénieur systèmes et réseaux
  • Consultant ou ingénieur réseaux télécoms
  • Administrateur réseaux ou système réseaux
  • Architecte technique
  • Risk manager

 

Type d'employeurs

  • Grandes entreprises et PME disposant d’un service informatique
  • Les secteurs bancaires et financiers
  • Opérateurs télécoms
  • Éditeurs de cartes et solutions monétiques
  • Grandes administrations (ministère des Finances, de l’Intérieur, de la Défense...) et prestataires
  • travaillant pour le secteur public
  • SSII
  • Prestataires spécialisés en sécurité informatique

 

Rattachement hiérarchique

En entreprise :

  • Directeur du système informatique (DSI) ou directeur du système d’information et de l’organisation (DSIO)
  • Directeur technique
  • Directeur de l’audit et du contrôle
  • DG
  • Directeur de la production informatique ou des infrastructures informatiques

 

En SSII ou société de conseil :

  • Directeur de mission
  • Directeur technique

 

Environnement de travail et interlocuteurs

  • Responsable systèmes
  • Responsable réseaux
  • Responsable de parc informatique
  • Directeur des études
  • Urbaniste et architecte SI
  • Responsable qualité/méthodes
  • Administrateur de données
  • Juriste
  • Architecte technique
  • Éditeurs de logiciels de sécurité
  • Experts moyens de paiement (pour les banques et les cybercommerçants)
  • Risk managers
  • Auditeurs internes
  • Cnil (Commission nationale informatique et libertés)

 

Evolution professionnelle

  • Directeur de projets sécurité
  • DSI
  • Directeur de la production/exploitation informatique
  • Directeur des systèmes/réseaux/télécoms
  • Expert sur un domaine très pointu de sécurité web
  • Responsable des risques opérationnels

 

Facteurs d’évolution du métier de responsable sécurité informatique

La prise en compte du risque informatique est relativement récente en France et certaines entreprises ont pu se rendre compte qu’il était difficile de chiffrer les conséquences de pertes ou de corruption de données. Un nombre important de PME a longtemps négligé les investissements dans ce domaine, étant convaincues que l’usage d’un antivirus et d’un firewall se révélait suffisant.

 

Certains secteurs, dont le secteur bancaire et des moyens de paiement ou la défense sont en pointe dans ce domaine pour des raisons évidentes. Le risque zéro dans ce domaine n’existe pas et l’ingéniosité des hackers permet de penser que le rôle des RSSI devrait encore se renforcer dans les années à venir. Dans certaines grandes entreprises, les tests d’intrusion de premier niveau qui étaient autrefois confiés à des prestataires sont ré-internalisés, et le RSSI manage alors des prestataires qui interviennent sur des domaines d’expertises complexes.

 

L’essor du Web collaboratif, du cloud computing, des applications Web mobile, du paiement en ligne, la multiplication des standards (pour les applications mobiles) ainsi que certains exemples récents d’intrusions sur des sites d’entreprises a priori sécurisés, y compris d’émetteurs de certificats, expliquent l’importance que prennent les problématiques de sécurité informatique.

 

La notion de sécurité évolue des systèmes vers les données : le RSSI doit désormais comprendre et prendre en compte les nouveaux usages de l’informatique qui ont un impact fort sur la sécurité des données (poste de travail nomades, BOYD [Bring your own device], usage d’Internet et des réseaux sociaux...). Il contribue à la réflexion sur la sécurisation des données économiques confidentielles avec les risk managers de l’entreprise.

 

Il est demandé désormais au RSSI de mener une veille juridique sur la conservation de données personnelles (de clients, prestataires ou salariés de l’entreprise), d’assister les métiers dans la gestion des données personnelles et d’être partie prenante des problématiques d’e-réputation.

Mots-clés : métier