Veille technologique Christopher CASSARD Synthèse « Responsabilité du RSSI » Rôle : Le rôle du RSSI est d’être le garant de la politique de la sécurité des systèmes d'information (SSI), et il est confiné dans la gestion technologique et administrative des mesures de sécurité mises en oeuvre ou à mettre en oeuvre. Organigramme du RSSI : Le Responsable de la Sécurité des Systèmes d'Informations se trouve à des places très différentes d'une structure à une autre. La place la plus courante est malheureusement absente : la majorité des entreprises ne possèdent en effet pas de Responsable Sécurité. Certaines structures ont un RSSI rattaché à la DSI tandis que les plus avancées ont une structure RSSI qui remonte dans l'organigramme, proche de la Direction Générale, à l'identique du mouvement qu'ont connu les DSI. Évolution des missions du RSSI : Dès la prise de conscience, la fonction de RSSI est créée, soit au travers d’une embauche, soit via un consultant externe. Sa première mission va être de développer une Politique de Sécurité de l’Information en s’appuyant sur des normes et méthodes. Il devra mettre en chantiers l’évaluation gestion des actifs et des risques, le plan de continuité d’activité, … En période de développement, le RSSI va devoir diffuser cette culture sécurité et avoir une mission de diffusion de ce savoir et savoir faire dans l’ensembles des entités de l’entreprise. Enfin, à la maturité de l’entreprise, qui correspond à l’époque où la culture sécurité s’est diffusée dans l’entreprise (comme la culture qualité), le RSSI sera impliquée dans la stratégie de l’entreprise et participera notamment à l’élaboration du schéma directeur. Veille technologique Christopher CASSARD Processus de la sécurité des systèmes d'information Particularité du RSSI : Les RSSI ex-militaires notent que leur travail était tout de même plus simple lorsqu’ils disposaient du bâton « Confidentiel Défense ». Avoir un cadre légal efficace pour encourager les collaborateurs à protéger l’information, ainsi que pouvoir s’appuyer sur un travail préalable de classification de l’information, leur semble désormais un luxe. Le secteur privé en est encore loin, mais aurait peut-être intérêt à se pencher sur le sujet, dans la limite de ses moyens. Risque Pénal ou civil : Veille technologique Christopher CASSARD Si le RSSI commet une infraction de manière non intentionnelle dans le cadre de ses fonctions et qu’il n’a pas signé de délégation de pouvoir valable à son profit, il n’encourt pas de responsabilité, ni pénale, ni civile, le risque étant pour lui principalement le licenciement et donc la perte de son emploi. En revanche, si le RSSI a commis une infraction intentionnelle ou bien s’il est le bénéficiaire d’une délégation de pouvoir valide, ou bien si le fait dommageable est sans relation aucune avec l’exécution de son contrat de travail, il pourra être déclaré personnellement pénalement et/ou civilement responsable et encourt également une sanction disciplinaire pouvant aller jusqu’au licenciement. Quand on connaît la gravité des sanctions pénales et l’ampleur des conséquences dommageables pouvant résulter d’une absence de sécurité du système d’information, on mesure tout l’intérêt qu’il y a tant pour l’entreprise que pour le RSSI à bien clarifier leurs rapports.