Responsable de la sécurité des systèmes d’information (RSSI) : plus qu’un métier, une mission !

Clé de voûte de la sécurité informatique, le RSSI assure le pilotage et la mise en œuvre de la politique de sécurité des systèmes d’information d’une organisation. À cette fin, il s’appuie sur des réglementations, des bonnes pratiques et des normes internationales. Au-delà de son expertise technique, ce manager conjugue savoir-faire organisationnel et fonctionnel. Guillaume*, expert chez Cyberwings, un cabinet spécialisé en cybersécurité, nous en dévoile les rouages.

Responsable de la sécurité des systèmes d’information (RSSI), Responsable sécurité informatique, Chief Information Security Officer (CISO), Directeur cybersécurité… autant de façons de désigner la personne ayant la charge de mettre en œuvre la stratégie de cybersécurité d’une organisation. Les nombreuses offres d’emploi dont ce métier fait l’objet témoignent de cette variété d’appellations. Le RSSI est donc un poste hautement recherché. Et pourtant, bien qu’il soit un contributeur de premier rang à la confiance, à la résilience et à la performance du système d’information, peu de structures en possèdent.

Se passer d’un RSSI est parfois imposé par la taille de l’entreprise. C’est le cas des micro-entreprises et des PME. Et parfois, c’est un choix. Certaines organisations ont ainsi décidé de ne pas consacrer un équivalent temps plein à cette fonction, obligeant la DSI, la direction financière ou qualité à porter cette casquette supplémentaire.

Quelles sont les missions du RSSI ? Quelles compétences sont requises ? À l’heure où la gouvernance et la résilience des organisations se révèlent des enjeux de taille teintés de souveraineté, de responsabilité sociétale et de sobriété, comment le RSSI fixe-t-il le cap de la cybersécurité et tient-il le gouvernail ?

La mission n° 1 du RSSI : gouverner la cybersécurité d’une organisation

S’il est parfois complexe de décider à qui est – ou sera – attribuée la fonction de RSSI, il est plus aisé de définir ses missions. En effet, la principale mission d’un RSSI consiste à gouverner – à la manière d’un capitaine sur un navire – la cybersécurité d’une organisation dans ses aspects stratégiques et opérationnels.

Fixer un cap

Gouverner consiste tout d’abord à aider la direction à fixer un cap. Ce dernier est défini dans la Politique de sécurité des systèmes d’information (PSSI). Elle doit être cohérente avec les ambitions stratégiques de l’organisation (développement, projet de certification, volonté d’adresser de nouveaux marchés) et découle de l’analyse des risques conduite au plus haut niveau de cette dernière.

La menace cyber est aujourd’hui incontestablement présente sous différentes formes. Tout projet structurant doit nécessairement intégrer les bonnes pratiques de cybersécurité pour réussir. Le cap peut aussi être conditionné ou influencé par des acteurs tiers, clients ou partenaires aux exigences croissantes, assureurs, autorités publiques… à travers des contrôles, des audits ou par la réglementation. Enfin, il peut consister à « rattraper le retard » accumulé et à réduire l’écart entre l’existant et les bonnes pratiques en matière de sécurité de l’information. Cet écart est le plus souvent constaté à la suite d’incidents subis en interne ou à la suite d’audits et de tests déclenchés.

Définir une feuille de route

La formalisation d’une feuille de route déclinée en chantiers opérationnels doit ensuite permettre à l’équipe SSI de progresser vers l’objectif fixé. Pour mettre en œuvre ces chantiers, le RSSI doit être en mesure de mobiliser des moyens techniques, organisationnels et humains.

Sensibiliser, mobiliser et accompagner

Il doit mobiliser l’ensemble du personnel de l’organisation à la mise en œuvre des bonnes pratiques et des mesures de sécurité. Cela passe par de la sensibilisation et de l’accompagnement au changement. Mais le RSSI doit aussi s’appuyer sur des ressources dédiées, internes ou externes : équipe SSI, écosystèmes, partenaires et prestataires de confiance.

Maîtriser diverses disciplines

Mobiliser, réunir et coordonner ces ressources demande au RSSI de comprendre les enjeux juridiques, technologiques et managériaux de chacun des projets cyber composant la feuille de route. Il doit aussi savoir arbitrer en s’appuyant sur un état de l’art offensif et défensif régulièrement actualisé, ainsi que sur un corpus documentaire conséquent.

Le RSSI idéal… un mouton à cinq pattes ?

À la fois avocat du numérique, hackeur éthique, développeur, stratège, psychologue, comptable… le RSSI idéal fait souvent figure de « mouton à cinq pattes ».

Des compétences rares et multiples…

Parmi ses multiples talents, il doit être capable de piloter la conduite d’un test d’intrusion sur l’infrastructure réseau, d’analyser l’impact sur un traitement de données sensibles, de rédiger une clause de sécurité dans un contrat de prestation, d’intégrer la sécurité dans les développements d’applicatifs, d’animer des campagnes de sensibilisation et de sessions de formation, puis d’en intégrer les résultats dans l’analyse des risques stratégiques et la feuille de route de l’organisation…

Ces savoir-faire demandent une longue expérience et une palette de compétences variées que très peu de candidats à la fonction détiennent. Pas étonnant que les recruteurs peinent à dénicher de tels talents !

… bien rémunérées

À profil exceptionnel, rémunération exceptionnelle : si l’on se réfère à l’enquête réalisée par l’ANSSI en 2021 auprès des RSSI, 67 % des répondants ont une rémunération brute annuelle comprise entre 55 000 et 100 000 euros. Ils sont au moins titulaires d’un bac +5 et 93 % sont cadres ou cadres supérieurs, selon l’ANSSI. À ces niveaux de rémunération importants s’ajoute un ensemble d’avantages sociaux fortement demandés par les candidats : flexibilité horaire, télétravail, temps partiel, etc.

Un métier exigeant

Attractif mais difficile, le poste de RSSI est sujet à une forte compétitivité, avec un important turnover. Au cours des deux dernières années, 51 % des RSSI déclarent avoir été approchés entre 10 et 30 fois par des recruteurs !

Maintenir une cyberstratégie cohérente sur le long terme alors que les pilotes se succèdent peut s’avérer très complexe pour une organisation. En cas d’absence, de congé, de maladie ou d’indisponibilité du RSSI, le navire risque de dériver. Il est donc indispensable de prévoir une organisation et un dispositif de gouvernance SSI résilients, s’appuyant sur une équipe responsable et présente au quotidien.

Petite ou grande structure, deux types de RSSI

Dans les micro-entreprises et PME

Si 79 % des RSSI exercent dans des structures de plus de 250 salariés, les petites organisations n’ont pas moins besoin de structurer et piloter leur stratégie de cyberprotection. Ce peut être le cas lorsque ces petites structures s’insèrent dans un écosystème exposé ou qu’elles détiennent un savoir-faire et un patrimoine intellectuel particulièrement innovants. Le rôle de RSSI est alors souvent porté par le responsable informatique de l’entreprise.

Pour autant, les ressources disponibles et allouées à la cybersécurité dans de petites organisations ne sont que rarement à la hauteur des enjeux de protection de l’information auxquels elles doivent faire face. En effet, la production, les métiers, le développement commercial et l’IT accaparent généralement l’essentiel des ressources financières et humaines existantes. Ces ressources limitées conduisent naturellement le RSSI à réaliser des arbitrages entre les chantiers et à s’impliquer à la fois dans les affaires stratégiques et dans l’opérationnel.

Ainsi, il n’est pas rare de voir un RSSI structurer le cahier des charges d’une future consultation le matin, rédiger un e-mail de sensibilisation l’après-midi et prendre en charge les tickets utilisateurs et événements de sécurité tout au long de la journée, voire en soirée.

Ces multiples casquettes se traduisent souvent par la sensation de ne pas prendre suffisamment en compte les sujets d’avenir, nécessitant anticipation et vision stratégique, et de se retrouver le « nez dans le guidon » pour assurer le suivi des affaires quotidiennes.

Dans les ETI et grandes entreprises

Dans les grandes structures, être RSSI n’est pas non plus de tout repos. Si les ressources disponibles sont plus importantes et que le RSSI dirige une véritable équipe de sécurité, il sera confronté de façon récurrente à des problématiques organisationnelles et de positionnement.

La première difficulté consiste à arriver à s’insérer dans le processus de décision stratégique et à faire comprendre à la direction générale l’importance des cyber-risques et de leurs impacts (juridiques, financiers, opérationnels, réputationnels, etc.) sur l’organisation.

Pour autant, le RSSI doit également savoir se détacher de la vision technique du risque pour parvenir à expliquer à la direction les conséquences de ces cyber-risques. Une fois cette première croisade réalisée, le RSSI aura la lourde tâche de quantifier les cyber-risques en fonction de la gravité des impacts estimés et de la vraisemblance de leur occurrence afin de définir l’enveloppe budgétaire adéquate permettant de ramener les risques à un niveau acceptable. Ce budget devra être justifié, optimisé, défendu devant une direction financière ayant tendance à considérer ce poste comme un coût plutôt qu’un investissement.

Le RSSI, chef de projet qui doit savoir gérer le stress

À l’opposé de la chaîne organisationnelle, le RSSI est également confronté à des problématiques de gestion et de coordination des différents chantiers menés de front. Le découpage de grands projets en tâches interdépendantes et la distribution des ressources (humaines, temporelles, financières) associées, tout en assurant un réel suivi et une analyse des indicateurs de performance, peuvent s’avérer un réel casse-tête. Ceci est d’autant plus vrai qu’une pluralité d’acteurs (équipe de sécurité interne, développeurs, métiers, experts externes, consultants, etc.) est susceptible d’intervenir simultanément sur des projets complexes, transformant alors le RSSI en un vrai chef d’orchestre, luttant pour maintenir une harmonie générale et ne pas déroger à sa partition.

L’ensemble de ces responsabilités, renforcées par le fait d’être désigné, juridiquement ou symboliquement, comme fautif en cas d’incidents, rend la fonction de RSSI complexe à assumer d’un point de vue humain et crée un climat anxiogène propice au développement de risques psychosociaux (burn-out, incapacité à se déconnecter, etc.). En effet, les trois quarts des répondants à l’enquête de l’ANSSI jugent leur travail stressant, voire très stressant.

Externaliser la fonction RSSI pour alléger la charge de travail

Finalement, la rareté des profils disponibles sur le marché de l’emploi, combinée aux contraintes associées à cette fonction, rend le recrutement d’un RSSI complexe. Sans compter qu’il sera difficile de garder un tel profil au sein de l’organisation.

Recruter un RSSI faisant office de superhéros de la cybersécurité représente donc un réel investissement. Cela implique également pour l’entreprise de mettre l’ensemble des responsabilités cyber entre les mains d’un même individu, qui n’aura pas le droit à l’erreur.

Face à ces difficultés, l’externalisation totale ou partielle de la fonction de RSSI s’avère une solution à envisager. En effet, s’appuyer sur des cabinets et des équipes d’experts externes susceptibles de piloter, copiloter la cyberstratégie ou encore contribuer à l’aguerrissement du RSSI en place est une façon de limiter risques et faiblesses précédemment mentionnés, tout en optimisant les ressources déjà allouées. Le choix d’une « équipe mixte » est, d’un point de vue expert, la configuration optimale pour relever la mission ardue de RSSI.

La formation, indispensable pour tenir la barre

Complexe, la fonction de RSSI nécessite une réelle formation sur les aspects techniques et managériaux. Grâce à elle, le futur RSSI pourra, d’une part, mieux appréhender les concepts de sécurité qu’il devra mettre en œuvre au quotidien, d’autre part, coordonner et mobiliser au mieux l’ensemble des acteurs de la SSI qu’il côtoiera.