Responsable SSI : fiche métier avec les missions, la formation...
Responsable de la sécurité des systèmes d’information ARCHITECTE CYBERSÉCURITÉ
Métiers

Responsable de la sécurité des systèmes d’information

Vous souhaitez piloter des projets informatiques complexes ? Vous savez résister au stress et à la pression ? Êtes capable de faire preuve de capacité d’analyse, de rigueur ? La veille technologique vous intéresse ? Et si vous envisagiez une carrière de responsable de la sécurité des systèmes d’information ?

Fiche métier mise à jour le
Niveau d’études : Bac+5
Bac conseillé : Scientifique
Employabilité : Très bonne
Salaire débutant : 5 800 €
Salaire confirmé : 16 000 €
Mobilité : Bonne
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et Télécommunications

Métier

Le Responsable de la sécurité des systèmes d’information définit et développe la politique de sécurité de l’information de son entreprise. Il est garant de sa mise en œuvre et en assure le suivi.

Le RSSI doit également informer le personnel sur les questions et les normes de sécurité par la mise en œuvre d’outils (chartes numériques, guidelines de sécurité) ou d’activités de communication.

Une grande partie de son travail concerne ce qu’on appelle la veille technologique. Elle permet de suivre l’évolution du secteur et de contrôler l’impact des nouveaux risques sur les systèmes informatiques. Il est également responsable de la gestion des ressources de son service ainsi que du management de son équipe.

 

Une grande partie de son travail concerne ce qu’on appelle la veille technologique

L’une des missions premières du RSSI est d’assurer la veille technologique

Logo de l'INCRT Photo de Cyril Bras
"C’est un métier exigeant qui nécessite d’une part de maintenir ses compétences à jour en assurant une veille permanente et d’autre part d’être en capacité de rendre accessible et compréhensible le sujet de la sécurité du numérique aux décideurs."
Cyril BRAS - RSSI d'une métropole et vice-président de l'IN.CRT

Missions du RSSI

Le rResponsable de la sécurité des systèmes d’information (RSSI) assure le pilotage de la démarche de cybersécurité sur un périmètre organisationnel et/ou géographique au sein de l’organisation. Il définit ou décline, selon la taille de l’organisation, la politique de sécurité des systèmes d’information (prévention, protection, détection, résilience, remédiation) et veille à son application.

Il assure un rôle de conseil, d’assistance, d’information, de formation et d’alerte, en particulier auprès des directeurs métiers et/ou de la direction de son périmètre.

Il s’assure de la mise en place des solutions et des processus opérationnels pour garantir la protection des données et le niveau de sécurité des systèmes d’information.

Selon la taille de l’organisation, il joue un rôle opérationnel dans la mise en œuvre de la politique de sécurité des SI ou encadre une équipe.

 

Le RSSI s’assure de la mise en place des solutions et des processus opérationnels pour garantir la protection des données

Le RSSI s’assure de la mise en place des solutions et des processus opérationnels pour garantir la protection des données

 

Les missions du Responsable de la sécurité des systèmes d’information sont nombreuses et variées :

Identifier :

  • Décliner les axes et les objectifs stratégiques en matière de cybersécurité pour son périmètre et les faire valider par la direction compétente sur celui-ci
  • Identifier les enjeux et les risques de sécurité majeurs sur son périmètre
  • Décliner et maintenir la politique de sécurité des SI en collaboration avec les parties prenantes
  • Définir un plan d’actions annuel ou pluriannuel sur son périmètre
  • Définir une politique d’investissement au regard des objectifs de sécurité
  • Contribuer à définir l’organisation de la cybersécurité au sein de son périmètre et l’animer
  • Suivre les évolutions réglementaires et techniques de son domaine ; assurer les relations avec les acteurs de son secteur d’activité autour de la cybersécurité

Protéger :

  • Organiser les structures de pilotage des plans d’actions de sécurité au sein des entités
  • Définir les mesures organisationnelles et techniques à mettre en œuvre pour atteindre les objectifs de sécurité
  • Assurer un support à la mise en œuvre en fournissant une assistance technique et méthodologique ainsi que des outils et services de sécurité, éventuellement à travers un catalogue de services
  • Diffuser une culture SSI à destination des utilisateurs et décideurs
  • Assurer la promotion des chartes de sécurité informatique sur son périmètre
  • Évaluer le niveau de sécurité au sein de son périmètre, notamment à travers la réalisation d’audits périodiques et de contrôles permanents
  • Contrôler que les politiques et règles de sécurité des SI sont appliquées sur son périmètre et vis-à-vis des tiers et sous-traitants (third parties)
  • Contribuer à répondre aux sollicitations des prospects et des clients de l’organisation sur les aspects sécurité (notamment dans le cadre d’appels d’offres)

Détecter :

  • Prendre les mesures techniques et/ou organisationnelles permettant la surveillance des événements de sécurité, l’appréciation des incidents de sécurité et la réaction face aux attaques, assurer la mise en place d’un SOC (Security Operation Center)

Répondre :

  • Veiller à ce que le dispositif de gestion de crise de sécurité soit opérationnel
  • Contribuer au pilotage de la gestion des incidents et des crises de sécurité, le cas échéant en lien avec le CSIRT (Computer Security Incident Response Team)

Assurer la continuité et reconstruire :

  • Préparer et mettre en œuvre un plan de continuité informatique, dans le cadre du plan de continuité des activités (PCA)
  • Préparer et mettre en œuvre un plan de reprise informatique, dans le cadre du plan de reprise des activités (PRA)
  • Proposer la stratégie de cyber-résilience

Rendre compte :

  • Rapporter régulièrement auprès de sa hiérarchie sur le niveau de couverture courant des risques de sécurité SI
  • Assurer un rôle de conseil auprès de sa hiérarchie et des métiers de son périmètre
  • Représenter l’organisation dans les relations avec les autorités de régulation

 

Les missions du RSSI sont nombreuses, de l’identification des menaces jusqu’à l’évaluation et le reporting des vulnérabilités

Les missions du RSSI sont nombreuses, de l’identification des menaces jusqu’à l’évaluation et le reporting des vulnérabilités

Logo de l'INCRT Photo de Cyril Bras
"Le numérique est de plus en plus présent, si la sécurité n’est pas intégrée dans les projets de la structure c’est à plus au moins long terme un risque qui, lorsqu’il se concrétise, à des impacts multiples sur l’image, la gouvernance, les finances. Dès lors, en tant que RSSI, vous devez encadrer les usages du numériques afin de garantir la conformité aux exigences règlementaires comme par exemple le RGPD, mais aussi protéger le patrimoine informationnel d’actions malveillantes. Vous devez par ailleurs sensibiliser le personnel aux enjeux de la cybersécurité en faisant du maillon humain un maillon robuste de la chaine de défense."
Cyril BRAS - RSSI d'une métropole et vice-président de l'IN.CRT

Compétences

Afin de définir et de mettre en œuvre la politique de sécurité, le Responsable de la sécurité informatique connaît la charte d’utilisation des systèmes informatiques et des systèmes de sécurité de son entreprise, ainsi que les différents processus en cas de problème.

Également, le RSSI possède des connaissances juridiques et réglementaires sur la sécurité informatique ainsi que sur d’autres domaines liés aux systèmes d’information. Il a notamment connaissance de nombreux points juridiques sur la confidentialité et la sécurité des utilisateurs, en particulier concernant la RGPD.

Ce travail nécessite l’élaboration de procédures et d’outils de sécurité informatique ainsi que la mise en place d’une démarche qualité. Pour sensibiliser les salariés, le Responsable de la sécurité des systèmes d’information peut avoir une expérience dans des domaines comme la communication. En voici le détail :

  • Bonne connaissance des enjeux et des métiers de l’organisation
  • Capacité à construire la stratégie cybersécurité de l’organisation
  • Capacité de compréhension des menaces cybersécurité
  • Connaissance du système d’information et des principes d’architecture
  • Maîtrise des fondamentaux dans les principaux domaines de la SSI
  • Connaissance des technologies de sécurité et des outils associés
  • Gestion des risques, politique de cybersécurité et SMSI
  • Connaissance juridique en matière de droit informatique lié à la sécurité des SI et à la protection des données
  • Cyberdéfense : connaissances en gestion de crise
  • Connaissance de la gouvernance, des normes et des standards dans le domaine de la sécurité : normes ISO (2700X), normes sectorielles (PCI-DSS…)

Qualités

Patrick, RSSI depuis 2012 au sein d’une grande université lyonnaise, estime que les qualités indispensables pour occuper ce poste sont “la pédagogie et les capacités de communication. Il faut également posséder une forte résistance au stress. Savoir faire preuve de rigueur et d’un sens de l’analyse.”

A cela, peuvent être ajoutées les qualités suivantes :

  • L’influence
  • Le sens de l’intérêt général
  • Le management d’équipe
  • La restitution au management
  • Savoir travailler en transverse au sein de l’organisation
  • Résister à la pression
  • S’appropriation des enjeux métiers

 

Le RSSI est aussi un bon communicant à l’écoute des besoins des utilisateurs métiers

Le RSSI est aussi un bon communicant à l’écoute des besoins des utilisateurs métiers

 

L’important dans le poste de RSSI comme le mentionne Patrick c’est “ d’être à l’écoute des besoins des utilisateurs « métiers ». Ce sont eux qui fabriquent la valeur de l’entreprise, il faut donc savoir les protéger sans les empêcher de travailler.”

“Le métier de RSSI, c'est finalement 70 % d’organisationnel. On fait finalement assez peu de technique à moins d'avoir une double casquette infrastructure + RSSI. Pour la partie organisationnelle, les formations à l'analyse de risque sont importantes. Les savoir-faire qui en découlent sont de l'ordre de la communication : présenter ses résultats d'analyse, faire accepter les plans de remédiation et les évolutions organisationnelles ou techniques qui viseront à élever le niveau de sécurité, etc.”
Patrick - RSSI dans une université

Études et formations

Pour devenir Responsable de la sécurité et des systèmes d’information, il est nécessaire de valider un Bac +5, via une école d’ingénieurs ou à l’université, avec une spécialisation en cybersécurité.

Il est indispensable de posséder une expérience professionnelle supérieure à 5 ans dans le domaine de la cybersécurité.

Avant de devenir RSSI, Patrick a validé un diplôme d’ingénieur, travaillé 12 ans en tant qu’administrateur système et un an en tant que RSSI adjoint.

Logo de l'INCRT Photo de Cyril Bras
"Ce métier nécessite une remise en question permanente car il est nécessaire de s’adapter en permanence aux évolutions de la menace mais aussi à l’évolution du périmètre de la structure à protéger."
Cyril BRAS - RSSI d'une métropole et vice-président de l'IN.CRT

Quelle formation choisir ?

Le Master of Science est la formation idéale pour vous former au métier de Responsable de la sécurité des systèmes d’information (RSSI). Pendant 2 ans, les différents projets menés autour des techniques et outils de la cybersécurité, du management et de la stratégie, vous permettront de comprendre les enjeux de la politique de sécurité des entreprises et d’acquérir les compétences pour être opérationnel sur le métier de RSSI.

Pour en savoir plus sur la formation…

Salaire

Le salaire moyen d’un RSSI se situe aux alentours de 100 000 euros avec une rémunération pouvant démarrer dès 40 000 euros et atteindre les 150 000 euros annuels. A quelques rares exceptions, le salaire peut s’afficher à plus de 200 000 euros.

Ces écarts très importants sont liés à la taille de l’entreprise et au niveau d’expertise du RSSI.

A l’international, aux Etats-Unis par exemple, un RSSI peut gagner entre 80 000 et 200 000 dollars par an.

Dans quel secteur travailler ?

Le Responsable de la sécurité des systèmes d’information peut travailler dans les secteurs industriels, pour des sociétés de services ou encore dans le secteur public.

Voici un exemple d’entreprises qui font appel à des RSSI :

  • Editeurs de logiciels et entreprises informatiques
  • Secteur bancaire
  • Secteur des télécommunications
  • Sociétés de conseil en hautes technologies

 

Le responsable sécurité des systèmes d’information peut travailler dans les secteurs industriels, pour des sociétés de services ou encore dans le secteur public

Nombre de RSSI travaillent dans des collectivités

De plus en plus d’entreprises et d’organismes publics conscients des enjeux de la cybersécurité recrutent des RSSI. Il peut s’agir par exemple des entités suivantes :

  • Métropole de Lyon
  • Suez France
  • Haeys France
  • Groupe La Poste

Des offres d’emploi de RSSI sont disponibles sur les plateformes d’emploi ou les réseaux sociaux professionnels :

  • LinkedIn
  • Simplyhired.fr
  • Wizbii.com
  • Indeed.com
  • Jooble.org
  • Apec.fr
  • Glassdoor.fr

RSSI freelance

Le RSSI peut exercer en tant que freelance. Il va falloir pour cela avoir quelques années d’expérience pour travailler à son compte et convaincre des structures de faire appel à vous. Avant toute chose, la première option consistera à créer un statut d’auto-entrepreneur ou une société individuelle. Il est également possible de rejoindre un cabinet d’experts en cybersécurité. Ensuite, votre rigueur, expertise et professionnalisme vous garantiront de pouvoir travailler sur des missions diverses.

Le tarif journalier moyen d’un RSSI peut varier entre 700 et 1200 euros.

Evolution de carrière

Le périmètre d’un RSSI peut s’exercer sur différents domaines en fonction de la nature de l’organisation. Dans les organisations comportant des SI industriels, il existe généralement un RSSI pour le périmètre industriel. Dans les organisations qui développent des produits comportant des SI, un RSSI peut être nommé (dans ce cas, on peut parler de Product Security Officer (PSO)).

Dans les grandes entreprises ou administrations, les activités et tâches peuvent être réparties entre un Directeur cybersécurité ou un RSSI Groupe qui porte la responsabilité globale et des Responsables de la sécurité des SI (RSSI) qui déclinent les actions sur leurs périmètres respectifs.

A horizon cinq ans, Patrick estime que le métier ne changera pas  fondamentalement : « Les menaces évoluent mais aucune ne change vraiment la donne sur le plan organisationnel. Les contraintes se déplacent (du bureau vers le télétravail par exemple), mais finalement il s’agit simplement de s’adapter. »

Les avantages et inconvénients

Faire sa carrière en tant que responsable de la sécurité des systèmes d’information est un métier valorisant pour qui souhaite être au cœur des enjeux techniques qui touchent à la cybersécurité. Cet expert de la sécurité informatique est en effet le garant du bon fonctionnement du système d’information de l’entreprise.

Du côté des inconvénients, il est possible de citer la pression liée aux responsabilités du métier.

De plus, le monde de la sécurité informatique et des systèmes d’information est en perpétuelle évolution. Le RSSI doit donc continuer à se former tout au long de sa carrière, que ce soit dans les domaines de sécurité ou des problématiques juridiques liés à son travail de veille. Ainsi, comme le précise Patrick, le travail de veille et d’autoformation est fondamental:

“La veille et le travail d'information sont vitaux. Il faut jouer sur les deux tableaux : d'une part les informations de toute première fraîcheur, qui peuvent avoir un intérêt opérationnel immédiat mais qui se périment vite comme on peut en trouver sur des réseaux sociaux en suivant des experts de la sécurité, d'autre part les informations qui ont été largement réfléchies, construites, digérées et qui ne sont pas particulièrement innovantes mais qui vont rester pertinentes très longtemps comme celles qu'on peut échanger dans les réunions des CLUSIR, par exemple. D'ailleurs dans cette dernière catégorie les informations liées à l'intelligence économique peuvent être particulièrement pertinentes.”
Patrick - RSSI dans une université

Devenir RSSI

Pour devenir RSSI, il est nécessaire de préparer un diplôme de niveau Bac +5 en informatique avec une spécialité en sécurité des systèmes d’information. Il faudra également justifier d’au moins 5 années d’expérience dans le domaine de la cybersécurité.

Le RSSI devra faire preuve d’une grande rigueur et d’une bonne résistance au stress car il a en gestion et en suivi tout ce qui se rapporte au système d’information de l’entreprise. Il devra aussi faire preuve de pédagogie et d’écoute vis-à-vis des clients et utilisateurs des systèmes informatiques pour que l’aspect sécurité ne vienne pas contrecarrer les besoins immédiats des équipes. Le salaire moyen d’un RSSI se situe aux alentours de 100 000 euros.

 

Bac +5 et cinq années d’expérience seront demandés pour devenir RSSI

En résumé

Quelles sont les missions du responsable de la sécurité des systèmes d’information ?

Le responsable de la sécurité des systèmes d’information (RSSI) assure le pilotage de la démarche de cybersécurité sur un périmètre organisationnel et/ou géographique au sein de l’organisation. Il définit ou décline, selon la taille de l’organisation, la politique de sécurité des systèmes d’information (prévention, protection, détection, résilience, remédiation) et veille à son application.

Quel est le salaire responsable de la sécurité des systèmes d’information ?

Le salaire moyen d’un RSSI se situe aux alentours de 100 000 euros et situé dans une fourchette très large comprise entre 40 000 et 150 000 euros avec quelques rares exceptions au-delà de 200 000 euros. Tout dépendra de l’entreprise et du niveau d’expertise qu’elle recherche.

Quel niveau d’étude pour devenir responsable de la sécurité des systèmes d’information ?

Pour devenir responsable de la sécurité et des systèmes d’information, il est nécessaire de valider un Bac +5, via une école d’ingénieurs ou à l’université, avec une spécialisation en cybersécurité.

Il est indispensable de posséder une expérience professionnelle supérieure à 5 ans dans le domaine de la cybersécurité.

Quel Bac choisir ?

Au lycée, nous vous conseillons de suivre un Bac général ou technologique et d’opter pour l’une des spécialités suivantes , mathématiques, sciences de l’ingénieur ou sciences informatiques.

Quelle est la formation pour devenir responsable de la sécurité des systèmes d’information ?

Envisager de devenir RSSI, c’est opter d’abord et avant tout pour une formation diplômante qui apportera un enseignement de qualité pour acquérir des compétences recherchées. Ce qu’une école comme Guardia School offre avec son Master of Science en cinq ans.