Blog

 > 

Quel est le rôle du RSSI vis-à-vis de la sécurité des données ?

Quel est le rôle du RSSI vis-à-vis de la sécurité des données ?

Quel est le rôle du RSSI en matière de protection des données ?
Publié par David Galiana, le mardi 16 mars 2021

La sécurité et la protection des données sont devenues des enjeux majeurs pour les entreprises de toutes tailles et de tous secteurs. Virus, demande de rançon, phishing… Aujourd’hui, les organisations sont attaquées de toutes parts, et l’essor du télétravail n’a rien arrangé. Selon une étude de Proofpoint publiée en décembre 2020, 91% des organisations françaises ont subi au moins une cyberattaque majeure au cours des douze derniers mois.

Face à la multiplication des attaques informatiques, un trop grand nombre d’entreprises n’est pas suffisamment préparé. En effet, seuls 14 % des RSSI (responsables de la sécurité des systèmes d’information) interrogés pensent que leur entreprise est prête à faire face à une cyberattaque. Toutes les organisations doivent impérativement renforcer leur stratégie de cybersécurité pour être capables de faire face aux cybermenaces de plus en plus virulentes et mieux protéger leurs données. C’est le rôle du responsable de la sécurité des systèmes d’information.

New call-to-action

Le RSSI : garant de la sécurité des données

Aujourd’hui, la transformation numérique des entreprises est une réalité dans laquelle le RSSI joue un rôle stratégique. Si ses missions peuvent varier d’une société à l’autre, son rôle est de protéger l’entreprise et ses données en mettant en œuvre une démarche de sécurité des systèmes d’information et en pilotant la gestion du risque. Il doit ainsi garantir la confidentialité, l’intégrité, la disponibilité et la traçabilité des données de l’entreprise.

Cela implique la réalisation de diverses actions en collaboration avec l’ensemble des salariés.

Voici ses différentes missions.

Définir la politique de sécurité de l’information

Le responsable de la sécurité des systèmes d’information pilote l’élaboration, la mise en œuvre et le suivi de la politique de sécurité. Le but est de protéger l’ensemble des données et informations de l’entreprise face aux multiples risques informatiques.

Pour accomplir cette mission, il doit :

  • réaliser des audits et contrôler régulièrement le système de sécurité ;
  • analyser les risques, les dysfonctionnements et les possibilités d’amélioration des systèmes de sécurité ;
  • élaborer la politique de sécurité des systèmes d’information ;
  • définir un plan de prévention des risques informatiques, et participer à la rédaction d’un plan de continuité d’activité (PCA) et/ou d’un plan de reprise d’activité (PRA) ainsi que d’un maintien en condition opérationnelle (MCO, qui couvre principalement la stratégie de sauvegarde des données) ;
  • élaborer des mesures et des normes de sécurité en fonction de l’activité de l’entreprise et son exposition aux risques informatiques (télétravail, BYOD (bring your own device), transferts et stockage de données, etc.) ;
  • choisir et implémenter les outils et dispositifs les plus adaptés pour gérer la sécurité de l’entreprise (antivirus, antispam, pare-feux, système de backup, chiffrement des données, authentification, etc.).

Mettre en œuvre et suivre l’application de la politique de sécurité

Une fois que la politique de sécurité des systèmes d’information est définie, le RSSI doit s’assurer qu’elle est correctement mise en œuvre et appliquée dans tous les services de l’entreprise.

Pour cela, il doit :

  • s’assurer que les salariés respectent bien les normes et les standards de sécurité établis ;
  • vérifier que le règlement général sur la protection des données (RGPD) est bien respecté au sein de l’entreprise ;
  • gérer l’ensemble des incidents de sécurité et proposer des solutions pour rétablir rapidement le fonctionnement des services ;
  • déterminer les actions à réaliser pour réparer les dommages causés suite à un incident de sécurité et mettre en œuvre le plan de reprise d’activité (PRA) ;
  • établir et analyser les causes des incidents et renforcer les mesures déjà en place ;
  • s’assurer du bon fonctionnement des mesures de sécurité en place en les testant régulièrement pour en détecter les failles ;
  • vérifier que les sous-traitants et les fournisseurs respectent bien les normes de sécurité imposées par l’entreprise en réalisant des audits ;
  • évaluer l’efficacité de l’ensemble des mesures de sécurité mises en œuvre et en informer la direction.

Sensibiliser les salariés aux risques cyber

La protection des données de l’entreprise passe obligatoirement par la sensibilisation du personnel aux risques cyber. Cette mission constitue une partie importante du rôle du RSSI.

En effet, le RSSI doit savoir communiquer auprès de l’ensemble des collaborateurs afin de leur expliquer quelles sont les cybermenaces et leur impact sur l’entreprise. Il doit vulgariser les termes techniques et accompagner les salariés dans la mise en place de bonnes pratiques.

Pour cela, il conçoit et met à jour des référentiels de sécurité à l’intention du personnel de l’entreprise, tels que la politique de sécurité des systèmes d’information (PSSI), la charte d’utilisation des systèmes d’information, les différentes procédures à suivre en cas de cyberattaque ainsi qu’un guide des bonnes pratiques. Il peut également organiser, voire animer des formations en interne pour informer les salariés, les préparer et les rendre plus vigilants aux différentes menaces (phishing, rançon, virus, etc.) auxquelles ils sont exposés et ainsi permettre de réduire, voire de supprimer les comportements à risques.

Se maintenir informé

Le monde de la cybersécurité, qu’il s’agisse des moyens de protection comme des cyberattaques, ne cesse de progresser, et ce à grande vitesse. Il est donc impératif pour le responsable de la sécurité des systèmes d’information de se maintenir constamment informé sur les multiples évolutions en matière de sécurité et de protection des réseaux.

Il doit donc se former régulièrement tout au long de sa carrière, et assurer des veilles aussi bien technologiques que réglementaires et juridiques. L’objectif est de connaître les nouveaux risques, les dernières solutions en matière de sécurité des systèmes d’information et les évolutions du droit et des lois françaises et européennes concernant la protection des données.

Conclusion

Le responsable de la sécurité des systèmes d’information   joue un rôle clé dans la protection des données de l’entreprise car c’est lui qui définit, coordonne, suit et améliore la politique de sécurité des systèmes d’information.

Selon Jean-François Louapre, vice-président du Club des experts de la sécurité de l’information (CESIN), le rôle du RSSI a évolué. Il ne s’agit plus d’un rôle purement technique, mais il a désormais « un rôle d’influenceur, d’accompagnement et de facilitation au sein des entreprises. » Il doit savoir convaincre et expliquer aux directeurs d’entreprise comment réussir à trouver le bon équilibre entre innovation et maîtrise des risques afin de garantir la sécurité des données.

New call-to-action

Nos thématiques 

Vous souhaitez en apprendre plus sur un sujet en particulier ?
Consultez nos ressources thématiques.

Devenez un expert du travail d’équipe.
Abonnez-vous à notre newsletter.

La protection des données est au cœur de nos préoccupations. Wimi utilise les informations que vous fournissez afin de vous proposer des informations et du contenu pertinent sur nos produits et services. Vous pouvez vous désinscrire de ce type de communications à tout moment. Pour plus d’informations, consultez notre politique de confidentialité.

Des milliers d’entreprises utilisent
Wimi pour rendre le travail d’équipe
simple, fluide et efficace.