Synthèse « Responsabilité du RSSI
Veille technologique Christopher CASSARD
Synthèse « Responsabilité du RSSI »
Rôle :
Le rôle du RSSI est d’être le garant de la politique de la sécurité des systèmes d'information
(SSI), et il est confiné dans la gestion technologique et administrative des mesures de sécurité
mises en oeuvre ou à mettre en oeuvre.
Organigramme du RSSI :
Le Responsable de la Sécurité des Systèmes d'Informations se trouve à des places très
différentes d'une structure à une autre. La place la plus courante est malheureusement absente
: la majorité des entreprises ne possèdent en effet pas de Responsable Sécurité. Certaines
structures ont un RSSI rattaché à la DSI tandis que les plus avancées ont une structure RSSI
qui remonte dans l'organigramme, proche de la Direction Générale, à l'identique du
mouvement qu'ont connu les DSI.
Évolution des missions du RSSI :
Dès la prise de conscience, la fonction de RSSI est créée, soit au travers d’une embauche, soit
via un consultant externe. Sa première mission va être de développer une Politique de Sécurité
de l’Information en s’appuyant sur des normes et méthodes. Il devra mettre en chantiers
l’évaluation gestion des actifs et des risques, le plan de continuité d’activité, …
En période de développement, le RSSI va devoir diffuser cette culture sécurité et avoir une
mission de diffusion de ce savoir et savoir faire dans l’ensembles des entités de l’entreprise.
Enfin, à la maturité de l’entreprise, qui correspond à l’époque où la culture sécurité s’est
diffusée dans l’entreprise (comme la culture qualité), le RSSI sera impliquée dans la stratégie
de l’entreprise et participera notamment à l’élaboration du schéma directeur.
Veille technologique Christopher CASSARD
Processus de la sécurité des systèmes d'information
Particularité du RSSI :
Les RSSI ex-militaires notent que leur travail était tout de même plus simple lorsqu’ils
disposaient du bâton « Confidentiel Défense ». Avoir un cadre légal efficace pour encourager
les collaborateurs à protéger l’information, ainsi que pouvoir s’appuyer sur un travail
préalable de classification de l’information, leur semble désormais un luxe. Le secteur privé
en est encore loin, mais aurait peut-être intérêt à se pencher sur le sujet, dans la limite de ses
moyens.
Risque Pénal ou civil :
Veille technologique Christopher CASSARD
Si le RSSI commet une infraction de manière non intentionnelle dans le cadre de ses fonctions
et qu’il n’a pas signé de délégation de pouvoir valable à son profit, il n’encourt pas de
responsabilité, ni pénale, ni civile, le risque étant pour lui principalement le licenciement et
donc la perte de son emploi.
En revanche, si le RSSI a commis une infraction intentionnelle ou bien s’il est le bénéficiaire
d’une délégation de pouvoir valide, ou bien si le fait dommageable est sans relation aucune
avec l’exécution de son contrat de travail, il pourra être déclaré personnellement pénalement
et/ou civilement responsable et encourt également une sanction disciplinaire pouvant aller
jusqu’au licenciement.
Quand on connaît la gravité des sanctions pénales et l’ampleur des conséquences
dommageables pouvant résulter d’une absence de sécurité du système d’information, on
mesure tout l’intérêt qu’il y a tant pour l’entreprise que pour le RSSI à bien clarifier leurs
rapports.
1
/
3
100%
