Cadres

Le responsable sécurité informatique évalue la vulnérabilité du système d'information de l'entreprise et met en place des solutions pour protéger les applications et les données.

Autres intitulés

• Responsable de la sécurité des systèmes d'information (RSSI)
• Responsable sécurité des réseaux informatiques
• Expert sécurité du système d'information
• Consultant en sécurité informatique

Études et définition de la politique de sécurité

• Réaliser des audits du système de sécurité, le plus souvent avec l'aide de prestataires.
• Analyser les dysfonctionnements, les marges d'amélioration des systèmes de sécurité.
• Définir ou faire évoluer les mesures et les normes de sécurité, en cohérence avec la nature de l'activité de l'entreprise et son exposition aux risques informatiques.
• Choisir les dispositifs techniques les plus appropriés aux besoins de l'entreprise (firewall, programmes de back up, cryptographie, authentification...).

Mise en œuvre et suivi du dispositif de sécurité

• Mettre en place les méthodes et outils de sécurité adaptés et accompagner leur implémentation auprès des utilisateurs.
• Élaborer et suivre des tableaux de bord des incidents sécurité.
• Superviser les programmes de sauvegarde.
• Réparer les dommages causés au SI en cas d'intrusion dans le système ou de contamination par un virus, en analyser les causes et consolider les mesures de sécurité.
• Tester régulièrement le bon fonctionnement des mesures de sécurité mises en place pour en détecter les faiblesses et les carences.

Communication et formation sur les normes de sécurité

• Réaliser le référentiel de sécurité, l'actualiser régulièrement, en assurer la diffusion et veiller à son application.
• Réaliser des supports de formation et en assurer la diffusion.
• Mettre en place des actions de communication en cas de risque majeur ou de dommages au SI causés par une attaque.

Veille technologique et réglementaire

• Assurer une veille technologique, notamment sur les évolutions des protections pour garantir la sécurité du système.
• Identifier les nouveaux risques sur la sécurité du système d'information : apparition de nouveaux virus, lancement d'attaques informatiques sur le réseau mondial...
• Suivre les évolutions juridiques du marché en termes de sécurité afin de garantir la conformité du SI au droit individuel et collectif.

Activités éventuelles

Le responsable sécurité informatique peut exercer une responsabilité d'encadrement vis-à-vis d'une équipe de techniciens, d'ingénieurs système réseau, d'ingénieurs de développement, voire de chefs de projet en sécurité informatique.

Il peut également avoir la responsabilité d'un budget annuel dédié exclusivement à la sécurité informatique qu'il gère alors intégralement. Dans ce cadre, son rôle va s'orienter plus largement vers la sélection et le pilotage de prestataires intervenant en audit ou en intégration de solutions de sécurité.

Il peut être amené à animer en personne des sessions de formation à l'attention d'utilisateurs initiés ou non-initiés, en interne mais aussi lors de séminaires rassemblant des experts de la sécurité informatique.

Variabilité des activités

C'est la taille de l'entreprise et son secteur d'activité qui conditionnent le contenu de la fonction de responsable sécurité informatique :

• dans les structures de taille intermédiaire, de 1 000 à 5 000 salariés, le responsable sécurité informatique a souvent un positionnement orienté vers l'expertise technique. Il garantit avant tout la pérennité et l'évolution de l'infrastructure pour faire face aux attaques et aux risques extérieurs. Il n'encadre généralement pas d'équipe.
• dans les secteurs d'activité sensibles tels que la banque/finance ou encore la défense, la culture du risque en interne est très forte. De fait, le poste de responsable sécurité informatique revêt un enjeu stratégique et dispose en conséquence de moyens plus importants qu'ailleurs. Il gère son budget, encadre généralement une équipe d'experts techniques, voire fonctionnels, et occupe un positionnement transverse dans l'entreprise.
• dans les groupes internationaux ou possédant plusieurs implantations, le responsable sécurité informatique occupe un rôle de centralisation et d'animation du dispositif global de sécurité. Il encadre, sur un plan hiérarchique ou fonctionnel, des homologues rattachés à un site ou à un pays. Il doit garantir les synergies en termes de moyens, mais aussi la bonne diffusion des règles de sécurité à travers l'ensemble de ses correspondants sécurité.
• dans les sociétés de conseil, il porte le titre de consultant en sécurité informatique. Son rôle est souvent centré sur la réalisation d'audits de sécurité et sur la préconisation de solutions techniques adaptées, plus que sur la mise en place de dispositifs.

Le responsable sécurité informatique peut etre légitimé vers un poste de responsable sécurité système d'information, voir évoluer vers une fonction d'auditeur système d'information.

• Cadre confirmé : entre 30 et 80 k€

Des compétences techniques. Il est expert en normes et procédures de sécurité et sur les outils et technologies qui s'y rapportent : firewall, antivirus, cryptographie, serveurs d'authentification, tests d'intrusion, PKI, filtrages d'URL...Il possède de bonnes connaissances des outils d'évaluation et de maîtrise des risques (méthode Marion), des réseaux et systèmes et des principaux prestataires du marché de la sécurité informatique (éditeurs, sociétés de service...). Au fait de la stratégie de l'entreprise, il en connaît les métiers et les enjeux, et en maîtrise le système d'information global. Il dispose enfin de bonnes connaissances juridiques en matière de sécurité et de droit informatique. L'anglais est indispensable car 90 % des documents relatifs à la sécurité sont rédigés en anglais.

Des qualités personnelles. Parce qu'il a accès à des informations sensibles et stratégiques pour l'entreprise, le responsable sécurité informatique est un homme sûr, qui sait maintenir un bon niveau de confidentialité. Rigoureux et méthodique, il met en place des programmes de sécurité efficaces dont il sait expliquer les règles à respecter pour ne pas mettre en danger le système d'information de l'entreprise. Diplomate, son sens du dialogue, sa persuasion, lui permettent de convaincre les utilisateurs des risques encourus et du bien-fondé des procédures mises en place. Capable de résister au stress lors de situations de crise nombreuses et inattendues, il se tient au courant en permanence des nouveaux risques et des nouvelles parades (virus et antidotes).

Diplômes

• École d'ingénieurs (informatique, télécoms, généraliste).
• DESS/DEA informatique.
• 3e cycle en sécurité des systèmes d'information : DESS sécurité des systèmes d'information, mastère sécurité de SI réseau de Télécoms Paris...
• Diplôme de type bac+4 en informatique : MIAGE, IUP informatique, maîtrise informatique, ingénieur maître...
• Diplôme de type bac+2 en informatique : BTS/DUT informatique.

Expérience

Au moins 5 ans d'expérience sont généralement requis car il s'agit de postes nécessitant une certaine maturité ainsi qu'une bonne connaissance des systèmes d'information.

Postes précédents

• Ingénieur développement
• Ingénieur sécurité
• Ingénieur système et réseau
• Administrateur réseau
• Architecte technique
• Consultant technique

• Grandes entreprises utilisatrices (plus de 1 000 salariés).
• Les secteurs bancaire et financier
• Le secteur de la Défense
• SSII
• Prestataires spécialisés en sécurité informatique

• Directeur du système d'information (DSI)
• Directeur de l'organisation et des systèmes d'information (DOSI)
• Directeur technique

• Responsable système
• Responsable réseau
• Responsable de parc informatique
• Directeur des études
• Responsable du SI métier
• Responsable qualité/méthodes
• Juriste
• Architecte technique

• Directeur de projet
• Responsable du SI métier
• DSI