La prise en compte du « risque informatique » est assez récente en France. Beaucoup de PME ont longtemps négligé la protection de leur système informatique. Pourtant le risque zéro n’existe pas et la cybercriminalité prend de l’ampleur . En 2019, 36% des petites entreprises et 48% des PME ont été victimes de fuites de données (enquête Kaspersky). L’augmentation de ces attaques, l’avènement du Big Data, l’apparition du cloud et la mise en place de règlements (notamment le RGPD) ont donc fortement encouragé les TPE et PME à élaborer une politique de cybersécurité. Aujourd’hui, plus que jamais le rôle du Responsable en Sécurité des Systèmes d’Information (RSSI) est essentiel dans votre entreprise. Mais quel est-il exactement ?
Le rôle du RSSI, garant du niveau de sécurité du SI
Le rôle du RSSI, c’est d’abord le garant du niveau de sécurité du système d’information de l’entreprise. Il évalue la vulnérabilité du SI, définit et développe la politique de sécurité de l’information de son entreprise. Il met en place des solutions pour garantir la disponibilité, la sécurité et l’intégrité des données. C’est lui qui va déterminer la pertinence des mesures de sécurité à mettre en place pour l’entreprise.
Le rôle du RSSI, au cœur des enjeux métiers
Possédant de solides compétences techniques et structurelles, le RSSI doit également être conscient des enjeux métiers de l’entreprise. Car certains risques sont liés à l’activité même. Être au cœur de l’équipe pour mieux cerner et appréhender les risques encourus est essentiel pour le bon fonctionnement de sa politique de sécurité.
Être au cœur de l’équipe pour mieux cerner et appréhender les risques encourus est essentiel pour le bon fonctionnement de sa politique de sécurité.
Le rôle du RSSI, conseiller et sensibilisateur
Le RSSI a également une fonction de conseiller et de sensibilisateur. C’est à lui de veiller à la bonne prise en compte de la sécurité de l’information par les chefs de projets dans leurs missions mais aussi par l’ensemble des collaborateurs. Le RSSI doit donc mettre en place des actions de sensibilisation, d’information et parfois de formation auprès de l’ensemble des utilisateurs du SI (de la direction aux collaborateurs) sur les normes de sécurité. C’est un véritable travail de prévention et de communication qui nécessite un peu de pédagogie ! Quand on sait que le facteur humain est le premier rempart contre la cyber-insécurité…
Former tout en s’informant
Afin d’assurer une protection optimale et surtout actualisée, le RSSI est en veille permanente car son secteur évolue très vite. Il mène :
- une veille technologique, de manière à garantir en permanence la sécurité du SI
- Une veille réglementaire sur la protection des données personnelles
- Une veille juridique afin de garantir la conformité du SI au droit individuel et collectif
le RSSI est en veille permanente car son secteur évolue très vite.
D’autre part, il doit identifier tous les nouveaux risques qui pourraient peser sur la sécurité du SI (l’apparition de nouveaux virus, le lancement d’attaques informatiques sur le réseau national, les nouvelles techniques utilisées par les cyberpirates,…). Et mettre en place des mesures de sécurité pour continuer de garantir le même niveau de sécurité.
L’évolution des usages : de nouveaux défis pour le RSSI
Le RSSI doit également prendre en compte l’évolution de la société et les nouveaux usages de l’informatique qui impactent fortement sur la sécurité des données : l’essor du travail nomade, l’utilisation des réseaux sociaux ou d’ordinateurs personnels…Tous ces éléments doivent alimenter la réflexion sur la sécurisation des données confidentielles et sensibles qu’il mène avec la direction de l’entreprise.
Et l’ISO 27001 dans tout ça ?
Pour effectuer ses missions, le RSSI peut s’appuyer sur un référentiel existant : la norme ISO 27001 dédiée au système de management de la sécurité informatique (SMSI). Cette norme recense les mesures de sécurité garantissant la protection des actifs de l’entreprise dans un périmètre défini. La mise en place de l’ISO 27001 permet de donner au RSSI une structure. Afin de mener sa politique de sécurité et la mise en place de processus. Elle impose l’amélioration continue et la sécurité au cœur des enjeux de l’entreprise. Ce qui n’est pas pour déplaire au RSSI !
Ainsi être RSSI demande de la rigueur, de l’anticipation, de la pédagogie, de la curiosité. Mais aussi une bonne résistance au stress pour déterminer les actions à mener (surtout en cas de crises). C’est un rôle devenu indispensable pour chaque PME qui souhaite se protéger des cyber-attaques ou de la fuite de données confidentielles dont elle peut être victime… Le RSSI est en quelque sorte le chef d’orchestre de la sécurité de l’information. Il guide et coordonne les équipes afin d’éviter une fausse note !
Et chez Feel Agile, nous pouvons l’accompagner afin qu’il puisse mettre en place un SMSI efficace dans le cadre de la certification ISO 27001 : contactez nous !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
