Rôle assuré par un RSSI
Définition des objectifs et des besoins.
Définition et mise en place des procédures.
Définition de l'organisation et de la politique de sécurité et veiller à son application.
Met en place des solutions pour garantir la disponibilité, la confidentialité et l'intégrité
Conseil, d'assistance, d'information, de formation et d'alerte (Former et informer)
Veille technologique et réglementaire.
Assure la Sécurité transverse : Matériel, logiciel, OS, langages de programmation,
virtualisation, sauvegarde.
Propose des évolutions pour garantir la sécurité logique et physique
Mise en place SMSI : Gouvernance de la sécurité des systèmes d'information
Interface entre les exploitants et des chefs de projets
Analyse de risques (prescription) :
Évaluation des risques et des menaces et des conséquences.
Remontée de l'ensemble des éléments qui permettent de prendre les décisions.
Étude des moyens assurant la sécurité et de leur bonne utilisation.
Établissement du plan de prévention.
Sensibilisation et formation aux enjeux de la sécurité :
Sensibilisation de la direction générale.
Formation des directions opérationnelles et métiers.
Participation à la réalisation de la charte de sécurité.
Animation des réunions de sensibilisation à la sécurité.
Conseil et assistance auprès des équipes.
Assure la promotion de tous les utilisateurs.
Étude des moyens et préconisations :
Validation technique des outils de sécurité.
Définition des normes et des standards de sécurité.
Participation à l'élaboration des règles de sécurité au niveau global de l'entreprise ou
du groupe.
Audit et contrôle :
Assurance que les plans de sécurité ont été faits suivant les plans préétablis.
Garantie que les équipes ont pris toutes les mesures permettant de gérer la sécurité.
Vulnérabilités de l'entreprise.
Veille technologique et prospective :
Suivi des évolutions réglementaires et techniques de son domaine.
Veille sur les évolutions nécessaires pour garantir la sécurité logique et physique du
SI dans son ensemble.
Iso 27002 Guide de bonne pratique (11 domaines, 40 objectifs, 113 point de contrôle ou
mesures de sécurité.
Iso 27001 Norme qui contient les exigences pour la gestion de la sécurité
La norme ISO 27001 décrit une approche pragmatique de la gestion de la sécurité de
l'information avec le choix de mesures de sécurité découlant d'une appréciation des risques.
Elle s'appuie sur le guide ISO 27002 pour fournir des recommandations sur le choix et
l'implémentation des mesures de sécurité.
�Quelles sont les différentes normes ISO ?
Les normes ISO les plus connues pour les entreprises sont les
normes suivantes :
9000, 9001, 9004 : système de management de la qualité ;
27005/31000 : système de management des risques.
27001/27002 : Norme SMSI
Conformité à la DNSSI
Loi 09-08 : Protection des personnes physiques à l’égard des traitements des
données à caractère personnel (Déclaration des traitements à la CNDP).
Loi 05-20 : Relative à la Cybersécurité (Politique, RSSI, Habilitation,
classification, monitoring, Hébergement national, déclaration des incidents.
22301 : système de management du plan de continuité d’activité
PCI DSS : La norme de sécurité de l’industrie des cartes de paiement (Payment
Card Industry Data Security Standard ou PCI DSS) est un standard de sécurité des
données qui s'applique aux différents acteurs de la chaîne monétique : protection des
données de comptes.
