Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

APEC – RÉFÉRENTIEL DES MÉTIERS CADRES DES SYSTÈMES D’INFORMATION 114 – 15 RESPO

APEC – RÉFÉRENTIEL DES MÉTIERS CADRES DES SYSTÈMES D’INFORMATION 114 – 15 RESPONSABLE SÉCURITÉ INFORMATIQUE – • Gérer les incidents sécurité et proposer des solu- tions pour rétablir rapidement les services. • Définir les actions à mener afin de réparer les dom- mages causés au SI en cas de survenance d’un sinistre de sécurité SI (intrusion dans le système, contamina- tion par un virus, défaillance d’un équipement…), mettre en œuvre le plan de reprise d’activité (PRA). • Faire analyser les causes des incidents et consolider les mesures de sécurité. • Faire tester régulièrement le bon fonctionnement des mesures de sécurité mises en place pour en détecter les faiblesses et les carences. • Auditer le respect des normes de sécurité informa- tique imposées aux sous-traitants de l’entreprise. Communication et formation sur les normes de sécurité • Réaliser le référentiel de sécurité, l’actualiser régu- lièrement, en assurer la diffusion et veiller à son application. • Définir les formations à réaliser, superviser la rédac- tion des supports de formation et en assurer la diffusion (principalement auprès du service infor- matique). • Mettre en place des actions de communication (en concertation avec le responsable de l’exploitation informatique ou les risk managers métiers) auprès des salariés de l’entreprise en cas de risque majeur ou de dommages au SI causés par une attaque ou par des dégâts matériels. Veille technologique et réglementaire • Assurer une veille technologique, de manière à garantir la sécurité logique et physique du système d’information. • Assurer une veille réglementaire sur la protection des données personnelles. • Identifier les nouveaux risques sur la sécurité du système d’information : apparition de nouveaux virus, lancement d’attaques informatiques sur le réseau mondial… • Rechercher des solutions innovantes pour répondre aux problématiques induites par l’introduction d’une nouvelle technologie. • Suivre les évolutions juridiques du marché en termes de sécurité informatique afin de garantir la conformité du SI au droit individuel et collectif. • Rédiger des notes technologiques de sécurité. Management des équipes de correspondants/ingénieurs sécurité • Assurer le management hiérarchique de son équipe : objectifs, congés, entretiens annuels, besoins de formation… • Définir les plannings ainsi que la participation à des projets transverses (notamment comités risques dans la banque). –LE POSTE– ACTIVITÉS PRINCIPALES Identiﬁ cation des risques et déﬁ nition de la politique de sécurité • Réaliser des audits du système de sécurité, le plus souvent avec l’aide de prestataires. • Analyser les risques et les dysfonctionnements, les marges d’amélioration des systèmes de sécurité. • Définir et faire évoluer la politique de sécurité des systèmes d’information du groupe (PSSI). • Établir un plan de prévention des risques informa- tiques et un plan de continuité d’activité (PCA) ou plan de maintien en conditions opérationnelles du SI. • Définir ou faire évoluer les mesures et les normes de sécurité (charte), en cohérence avec la nature de l’activité de l’entreprise et son exposition aux risques informatiques (nomadisme, BYOD [Bring your own device1], transferts de données, transac- tions financières…). • Choisir les dispositifs techniques les plus appro- priés aux besoins de l’entreprise (firewall, pro- grammes de back-up, cryptographie, authentification…). • Participer à la définition et au contrôle de la ges- tion des habilitations. • Participer au comité des risques. Mise en œuvre et suivi du dispositif de sécurité • Faire appliquer les normes et standards de sécurité. • Mettre en place les méthodes et outils de sécurité adaptés, et accompagner leur implémentation auprès des utilisateurs. • Gérer les projets d’infrastructures sécuritaires. • Élaborer et suivre des tableaux de bord des inci- dents sécurité. • Superviser ou auditer les programmes de sauve- garde (back up). 1. Pratique consistant à utiliser ses équipements numériques personnels dans un contexte professionnel. APEC – RÉFÉRENTIEL DES MÉTIERS CADRES DES SYSTÈMES D’INFORMATION 115 LES MÉTIERS DE LA PRODUCTION 15 – RESPONSABLE SÉCURITÉ INFORMATIQUE infogérée d’une entreprise, son rôle est le même que celui d’un RSSI d’une entreprise utilisatrice. En entreprise, le RSSI est fréquemment responsable de la mise en pratique opérationnelle de la sécurité sur le système d’information et le Web : il peut gérer les droits des utilisateurs et à participer à la définition des règles avec les opérationnels des métiers. Il est souvent amené à sensibiliser les différents interlocuteurs aux problématiques de sécurité (mots de passe…). • Le secteur et la culture du risque de l’entreprise Dans les secteurs d’activités sensibles, tels que la banque/finance ou encore la défense, la culture du risque en interne est très forte. De fait, le poste de responsable sécurité informatique revêt un enjeu plus stratégique et dispose en conséquence de moyens plus importants. Il gère un budget important, encadre généralement une équipe d’experts techniques voire fonctionnels, et occupe un positionnement transverse dans l’entreprise. Il travaille généralement avec une équipe de prestataires, experts techniques, voire fonc- tionnels, et doit avoir des notions d’urbanisme et d’ar- chitecture SI plus poussées que dans d’autres secteurs. Dans le secteur bancaire, le RSSI est amené à être l’interlocuteur d’autorités de tutelle (commission ban- caire, GIE CB…). • La taille de l’entreprise Dans les groupes internationaux ou possédant plu- sieurs implantations, il occupe un rôle de centralisa- tion et d’animation du dispositif global de sécurité. Il encadre tantôt hiérarchiquement tantôt fonctionnelle- ment des homologues rattachés à un site ou à un pays. Il doit garantir les synergies en termes de moyens, mais aussi la bonne diffusion des règles de sécurité à travers l’ensemble de ses correspondants sécurité. Dans les grandes entreprises, (ex : Banque, assu- rance) il est de plus en plus souvent rattaché à la direction de l’audit. Même s’il intervient via une SSII ou un cabinet d’experts, il peut coordonner des équipes importantes (jusqu’à 50 personnes) en fonc- tion des problèmes rencontrés. Dans ce cadre, son rôle va s’orienter plus largement vers la sélection et le pilotage de prestataires intervenant en audit ou en intégration de solutions de sécurité. Dans les entreprises de taille moyenne, le RSSI défi- nit l’ensemble de la politique de sécurité informa- tique (back up, sécurité physique des équipements…) tout en occupant un poste d’expert en sécurité et en gérant de manière opérationnelle tous les incidents de sécurité, en s’appuyant parfois sur les compé- tences de prestataires spécialisés. Il n’a pas ou peu de rôle de manager. En PME, cette fonction est souvent confiée aux admi- nistrateurs ou ingénieurs systèmes réseaux télécoms. • Suivre l’action des correspondants sécurité. • Suivre le budget alloué à la sécurité informatique. • Participer au choix et l’évaluation des sous-trai- tants (sélection des SSII ou cabinets conseil, parti- cipation à la rédaction de l’appel d’offres et au dépouillement des réponses, sélection et réception des candidats). Suivi des actions et reporting • Contrôler les tableaux de bord techniques des inci- dents de sécurité rencontrés (virus, tentatives d’in- trusion…). • Assurer le reporting des problèmes de sécurité en estimant les pertes financières (pertes engendrées et coût de mise en place d’une parade). ACTIVITÉS ÉVENTUELLES Cette fonction peut être cumulée avec celle de cor- respondant « Informatique et libertés » dans certaines structures. Le responsable sécurité informatique peut également exercer une responsabilité d’encadrement vis-à-vis d’une équipe de techniciens, d’ingénieurs et/ou administrateurs systèmes réseaux. Il peut être amené à animer en personne des sessions de formation à l’attention d’utilisateurs initiés ou non initiés, en interne mais aussi lors de séminaires ras- semblant des experts de la sécurité informatique. Cette fonction peut être cumulée avec celle de res- ponsable système réseaux télécoms ou d’administra- teur système réseau dans les PME ou dans les sociétés qui estiment leurs risques informatiques ou risques d’intrusion moindres que le coût engendré par l’em- bauche d’un expert à plein temps. VARIABILITÉ DES ACTIVITÉS C’est la taille de l’entreprise, mais aussi son secteur d’activités qui conditionnent le contenu de la fonc- tion de responsable sécurité informatique. Son acti- vité peut varier selon : • Les conditions d’exercice Lorsqu’il exerce en SSII ou en cabinet conseil spécia- lisé, le RSSI n’intervient le plus souvent que sur une partie des missions pour laquelle il lui est demandé une expertise très poussée : il réalise l’audit du SI et met en place une politique de sécurité dans des entreprises ne disposant pas encore de spécialistes dans ce domaine. Il est également en charge de la réponse aux appels d’offres et de l’avant-vente des prestations. En revanche, s’il intervient en SSII sur l’informatique APEC – RÉFÉRENTIEL DES MÉTIERS CADRES DES SYSTÈMES D’INFORMATION 116 DURÉE D’EXPÉRIENCE Au moins 5 à 7 ans d’expérience sont généralement requis car il s’agit de postes nécessitant une certaine maturité ainsi qu’une bonne connaissance des sys- tèmes d’information. COMPÉTENCES TECHNIQUES • Bonne connaissance de la stratégie de l’entreprise, de son organisation, de ses métiers et des enjeux. • Bonne connaissance du système d’information glo- bal, de l’urbanisation et de l’architecture du SI et des interfaces en application. • Maîtrise des normes et procédures de sécurité et des outils et technologies qui s’y rapportent : firewall, antivirus, cryptographie, serveurs d’authen- tification, tests d’intrusion, PKI, filtrages d’URL… • Connaissance des principaux prestataires du mar- ché de la sécurité informatique (éditeurs, sociétés de service…). • Bonne connaissance uploads/Management/ les-metiers-des-systemes-d-x27-information.pdf