Pilotage, organisation et gestion des risques

Responsable de la Sécurité des Systèmes d’Information (RSSI)

Expérience : 5 à 10 ans

Ayant généralement une expérience professionnelle de plusieurs années, le RSSI définit la politique de sécurité du système d’information et veille à sa mise en application. Il joue un rôle de conseil, d’assistance, d’information, de formation et d’alerte auprès de la direction. Selon la taille de l’entité, il joue un rôle opérationnel dans la mise en œuvre de la politique de sécurité ou encadre une équipe composée d’experts techniques et de consultants. Il propose à l’autorité compétente la politique de sécurité du SI et veille à son application. Il peut intervenir en matière de SSI sur tout ou partie des systèmes informatiques et télécoms de son entité, tant au niveau technique qu’organisationnel. Il effectue un travail de veille technologique et réglementaire sur son domaine et propose les évolutions qu’il juge nécessaires pour garantir la sécurité du système d’information dans son ensemble. Il est l’interface reconnue des exploitants et des chefs de projets, mais aussi des experts et des intervenants.

Métiers associés : OSSI : Officier de la sécurité des systèmes d’information – ISSM : Information Systems Security Manager – CISO : Chief Information Security Officer – CSO : Chief Security Officer

Correspondant sécurité

Expérience : quelques années dans un ou plusieurs domaines « métier » et formation continue en sécurité

Assure un rôle d’intermédiaire ou de relai entre le RSSI, à qui il remonte des tableaux de bord, et les lignes métiers. Selon les organisations, il s’agit d’une fonction à temps partiel ou à temps plein. Sa forte proximité avec le métier lui permet d’intervenir sur des thématiques de gestion des risques, de gouvernance et de sensibilisation auprès des utilisateurs. En particulier, il a pour rôle d’analyser, de concevoir, d’intégrer ou de mettre en œuvre les techniques de sécurisation dans le cadre de son domaine « métier ». Maitrisant les référentiels des domaines « métier », il est en mesure de faire converger les objectifs de sécurité et de sûreté de fonctionnement. Il conduit des analyses de risques et propose des solutions résilientes afin de minimiser sans concession les impacts « métiers ». Il peut être amené à conseiller les directions métiers, contribuer à l’expression de besoin globale et technique de sécurité en conception, en intégration et en gestion de la sécurité. À ce titre, il dispose d’une compétence et d’une expérience dans son domaine métier et d’une compétence dans le domaine de la sécurité, souvent acquise à travers la formation continue (courte ou longue).

Métiers associés : CSSI : Correspondant Sécurité du Système d’Information – Gestionnaire de Risques cyber – Expert connexe – CRO : Correspondant risques opérationnels – Assistant RSSI

Spécialiste en gestion de crise cyber

Expérience / niveau de diplôme : Bac+5

Le spécialiste en gestion de crise cyber conseille l’organisme pour lui permettre de disposer d’une capacité de gestion de crise majeure dédiée aux systèmes d’information, ou avec un volet cyber prépondérant.
Il organise la gestion de crise pour :
• agir et résoudre la crise
• communiquer l’état de la crise aux personnes et aux organismes concernés
• coordonner l’action des différentes parties en présence

Il limite les volets organisationnels, l’entraînement et la simulation aux acteurs susceptibles d’intervenir en cas de crise majeure liée aux systèmes d’information et à leurs interlocuteurs métiers ou support concernés (gestionnaire de crise, RSSI, responsables de l’ingénierie, administrateurs systèmes / données). À un niveau plus opérationnel et sous la pression d’une attaque en cours, le profil de gestionnaire de crise peut être également identifié dans la catégorie « maintien en condition opérationnelle ».

Métiers associés : Cyber Defense Infrastructure Support Specialist

Responsable du plan de continuité d’activité (RPCA)

Expérience / niveau de diplôme : Bac+5 et 3 ans d’expérience

Élabore et met en œuvre dans son organisation un Plan de Continuité d’Activité (PCA)