FICHE MÉTIER – CISO / RSSI

Fiche métier CISO / RSSI : définition, rôle et missions

FICHE MÉTIER – CISO / RSSI

Introduction

CISO (Chief Information Security Officer) et RSSI (Responsable de la Sécurité du Système d’Information) : rôles et compétences.

Les métiers de la sécurité informatique sont devenus en quelques années des pièces majeures sur l’échiquier de l’entreprise. Cybersécurité, protection et conservation des données, contraintes réglementaires de plus en plus strictes, gestion du matériel, des logiciels, du contrôle et de l’audit des protocoles de sécurité… La liste s’allonge avec la puissance de calcul, la digitalisation des échanges et donc l’augmentation croissante du réseau d’interconnexions et des risques inhérents.

On distingue aujourd’hui 2 façons de titrer le poste. Pour faire simple, les deux postes parlent du même métier mais le CSIO est intégré à la direction. Ce qui n’est pas encore (ou pas assez souvent) le cas du RSSI. Cette distinction peut expliquer notamment l’écart de salaire entre les deux. Sur le fond, c’est la même roadmap : leur mission est de sécuriser le business à court, moyen et long terme.

Rôles et missions d’un CISO / RSSI

STRATÉGIE GLOBALE ET FORMATION DES HUMAINS

Le premier rôle du CISO / RSSI est de mettre en place et de gérer une véritable stratégie de sécurité dans toute l’entreprise. Il doit bâtir ou challenger l’architecture globale, évaluer sa solidité, anticiper tous les scénarios possibles, prévoir les plans de continuité, garantir les conformités multiples. Pour y parvenir il doit motiver et évangéliser tout le monde sur le sujet. Pas seulement au sein de son équipe mais surtout au-delà, là où justement la sécurité est une terre inconnue. Un seul maillon faible et la brèche peut être fatale ! Il va donc devoir informer et former tous les membres de l’organisation. On l’oublie trop souvent mais l’immense majorité des problèmes de sécurité est liée à des faiblesses internes, souvent involontaires, mais pas moins graves pour autant.

Il est donc capital pour le CISO / RSSI de savoir expliquer ses choix au-delà de son cercle de compétences techniques. Cela exige naturellement des qualités de transmission, de synthèse et d’écoute, et bien sûr de management, car il va falloir diffuser les enjeux et les méthodes dans toutes les strates de l’entreprise. On parle ici non seulement des pratiques informatiques mais aussi de plus en plus des usages périphériques : accès aux bâtiments, aux matériels, aux objets connectés, aux ordinateurs et smartphones personnels, en s’assurant que les bonnes pratiques sont respectées et qu’on saura traiter rapidement les vulnérabilités.

CYBERSÉCURITÉ ET GESTION DES RISQUES EXTÉRIEURS

Une fois les process mis en place, une grande partie de son travail va consister à surveiller le réseau et réagir le plus vite possible en cas d’attaque ou d’incident. Face à l’imagination débordante des hackers et autres empêcheurs de travailler en rond, la sécurité informatique de l’entreprise aura structurellement toujours un temps de retard sur les innovations malveillantes. L’enjeu du CISO / RSSI réside donc à hiérarchiser les zones de gravité, optimiser les temps de réaction quel que soit le type d’attaque, se concentrer sur les zones stratégiques et assurer la continuité de service maximum. Cette pression mise sur le RSSI l’oblige naturellement à se tenir infirmé en permanence des nouveautés : il doit être curieux, stratège et visionnaire. Anticiper est le maître mot.

LA PRESSION DES DONNÉES

Parallèlement à tous les enjeux de cybersécurité, l’autre gros dossier est celui des données et ce que cela implique : conformité, confidentialité, documentation et protection. Les données, considérées de plus en plus comme le trésor de guerre de l’entreprise, sont sous sa responsabilité. Il est censé savoir où elles se trouvent, qui a accès à quoi et comment réagir en cas de problème.

Par ailleurs, la réglementation sur ces données est de plus en plus stricte partout dans le monde, et elle évolue chaque semaine. PPST, GDPR, SOX (Loi Sarbanes-Oaxley), les lois LSI, LSQ, LSF, LCEN, le Code de la Propriété Intellectuelle, la directive « Network and Information Security », la Loi de Programmation Militaire, etc. Le casse-tête législatif entre dorénavant, via les données, dans le périmètre du CISO / RSSI.

LA SÉCURITÉ AU SERVICE DU BUSINESS

Il y a dix ans, il était rare que le responsable de la sécurité informatique soit associé aux problématiques business de l’entreprise. Il était là pour veiller au maintien et à la sécurité du système et c’était déjà pas mal. De nos jours, il devient de plus en plus un élément clé de l’organisation. Les directions éclairées connaissent désormais le coût de la négligence dans ces domaines. Coûts directs quand il s’agit des demandes de rançons bien sûr ; mais au-delà de ces cas extrêmes (de moins en moins extrêmes malheureusement), les failles de sécurité peuvent entrainer multitudes de conséquences douloureuses, sur l’image de l’entreprise et la confiance qu’elle véhicule, sur les délais de production, sur les relations avec ses partenaires, sur les équipes, etc.

D’un point de vue plus positif, quand on est en pleine croissance, que l’on doit intégrer des nouveaux collaborateurs à un rythme soutenu, tester de nouvelles technologies et pourquoi pas associer des partenaires au process, il est capital que la politique sécurité soit opérationnelle, fluide, connue de tous et capable de supporter rapidement toutes les innovations, au service du business. De plus en plus de comités de direction l’ont compris et ont intégré le RSSI aux décisions stratégiques : un signal fort montré à leur écosystème.

Comment mesurer les résultats d’un CISO / RSSI ?

Toutes les entreprises souhaitent obtenir une vision claire du ROI de leurs décisions, y compris dans le domaine de la sécurité. Mais comme l’explique Logan Fernandez, CISO de Pentalog, “En matière de sécurité, le ROI est complexe à mesurer, car corrélation n’implique pas causalité. Parce qu’on a fait le nécessaire, la surface d’attaque va diminuer, voire grandement diminuer, certes… Mais ce n’est pas parce qu’aucune attaque n’a été identifiée, qu’on a forcément fait le nécessaire. Peut-être n’avons-nous pas encore été attaqués ? Ou peut-être l’avons-nous été, mais nous n’en avons même pas conscience ? Comment s’attribuer de façon certaine le fait que tout aille bien ou mieux ? Il est donc devenu primordial pour le business de se piloter à l’aide d’indicateurs pertinents, mesurables et comparables. L’un de ces indicateurs peut être le pourcentage de conformité de l’entreprise vis-à-vis de certains standards de renom international, comme la norme ISO27001, qui a le mérite de fournir un cadre de management de la sécurité dans les différents métiers de l’organisation.”

Il existe donc une batterie de normes et de process qui permettent au CISO/RSSI de s’orienter dans la jungle des risques et des contraintes. Au bout du compte, le bruit de son succès sera proportionnel au silence d’un système correctement protégé.

Le profil du CISO / RSSI : formation, expérience et compétences.

  • Minimum licence en informatique ou domaine proche ; formations complémentaires spécialisées appréciées (Masters) et Certifications au fil de l’eau sont grandement recommandées.
  • Plus de 8 ans d’expérience professionnelle avec une expérience significative en direction de projet informatique.
  • De solides compétences techniques générales en programmation et administration système.
  • Connaissances spéciales en sécurité : DNS, routage, authentification, VPN, Services proxy et technologies d’atténuation DDOS, pratiques de piratage éthique et modélisation des menaces, protocoles de pare-feu et de détection, prévention des intrusions.
  • Connaissances dans les évaluations de la conformité PCI, HIPAA, NIST, GLBA, GDPR, ISO 27001 et SOX.
  • Principes de management et de leadership.

Quel est le salaire d’un CISO / RSSI

Si l’on observe la grille proposée par le site Glassdoor, le salaire d’un CSO/CISO en France en 2022 oscille entre 50K€/an et 150K€/an. Le salaire moyen du CISO est de 75K€/an. Le salaire d’un RSSI en France en 2022 va de 45K€/an à 120K€/an pour les plus grands groupes, ministères ou secteurs stratégiques. Le salaire moyen du RSSI est de 69K€/an.