Fiche métier CISO (responsable de la sécurité des systèmes d’informations)

Le responsable de la sécurité des systèmes d’information (RSSI ou CISO en anglais) assure la sûreté, la sécurité et la pérennité des réseaux et des systèmes de communication et d’information. Ce métier existe au sein des trois fonctions publiques (de l’État, hospitalière et territoriale), mais se démocratise dans bon nombre de start-up. Voyons ses différentes missions, les études et formations nécessaires pour y accéder, les qualités requises, et ses salaire et évolution de carrière possibles. Focus sur le responsable sécurité informatique

Description du métier de CISO

Le responsable sécurité informatique a pour mission principale de mettre en échec toute tentative d’intrusion des pirates informatiques (hackers) et tout virus dans les différents systèmes informatiques.

Pour cela, il met au point des procédures spécifiques, stocke régulièrement les données, limite les différents accès au réseau (lors de la présence d’informations confidentielles et stratégiques) et surveille continuellement que le réseau n’ait aucune faille.

Mission du CISO – RSSI

La mission du responsable sécurité informatique consiste aussi à garantir que le système d’information de l’entreprise soit toujours disponible, à préserver sa confidentialité et son intégrité, et à assurer la sécurité de toutes les transactions électroniques.

Il peut pour cela s’aider de méthodes structurées comme E.B.I.O.S (Expression des Besoins et Identification des Objectifs de Sécurité créée en 1995), M.E.H.A.R.I (MEthode Harmonisée d’Analyse des RIsques développée en 2010), et O.C.T.A.V.E (Operationally Critical Threat, Asset, and Vulnerability Evaluation créée aux États-Unis en 1999).

Le CISO est également en charge de définir la politique générale de sécurité des systèmes d’information et d’assurer sa mise en place. Il est ainsi obligatoirement associé à tous les développements concernant les systèmes d’information. Dans son poste responsable informatique, il doit aussi proposer toutes les évolutions nécessaires qui permettent le maintien d’un excellent niveau de sécurité et cela, grâce à une veille permanente.

Il doit évidemment informer tous ses collaborateurs des enjeux de cette sécurité, en ayant une approche pédagogique.
Le responsable sécurité informatique est l’intermédiaire des chefs de projet et des exploitants, mais aussi des intervenants extérieurs et des experts, concernant tous les problèmes de sécurité.

Les enjeux de la sécurité informatique

Si le métier de CISO est si important, c’est parqu’il couvre un large spectre de compétences et implique de nombreux enjeux clés pour l’entreprise.

• Analyse opérationnelle des menaces : Le CISO est en charge de la pérennité du réseau et des informations qui y circulent à tout moment. Cela implique la mise en place d’un système de protection opérationnel 24h/24 et 7 jours sur 7.
• Évaluation des risque liés au cyberespace : Le responsable CISO doit comprendre les risques qui pèsent sur l’organisation à chaque moment et être en mesure d’anticiper les évolutions des hackers.
• Anticiper les fuites de données en interne : les fuites informatique ne viennent pas que de l’extérieur.Le chef de la Sécurité CiSO le sait et doit s’assurer de mettre en place des procédures de contrôle pour surveiller le réseau depuis l’intérieur pour éviter les fuites à la données ou leur utilisation frauduleuse.
• Mise en place de l’architecture du Système d’informations : un CISO doit pouvoir bâtir un système d’information fiable et solide. Il s’assure que les logiciels sont à jour et que les systèmes soient solides.
• Garant de l’accès au données : le responsable de la sécurité informatique est la seule personne qui a accès aux identifiants et autres codes de sécurité de l’organisation
• Anticiper les besoins du système : le CISO doit être en mesure d’anticiper les besoins du système d’information et de prévoir des améliorations pour éviter les attaques dans un futur proche.
• Mise en place d’enquêtes d’expertises : après chaque problème, il doit comprendre ce qui s’est passé et prévoir un axe correctif pour ne pas que ça se reproduise, tant au niveau logiciel qu’au niveau humain.
• Gouvernance des opérations : le CISO reste le garant de la réussite des opérations de sécurité. S’il collabore avec d’autres responsables de l’entreprise, il reste en charge de la bonne conduite des opérations.

La formation responsable sécurité des systèmes d’information

La formation responsable sécurité des systèmes d’information passe par l‘obtention d’un diplôme d’école d’ingénieur ou d’un master professionnelle en informatique et réseaux (BAC+5).

Il s’agit des écoles d’ingénieurs proposant un diplôme en cybersécurité comme formation initiale et labellisé par l’ANSSI (agence nationale de la sécurité des systèmes d’information). Ce sont par exemple l’école de l’aviation civile, l’ENSEEIHT (école nationale supérieure d’électrotechnique, d’électronique, d’informatique, d’hydraulique et des télécommunications), EPITA (école pour l’information et les techniques avancées), l’INSA de Toulouse (institut national des sciences appliquées) etc.

Concernant les masters, il peut s’agir d’un master en réseaux et sécurité des systèmes d’information à Caen, un master en sécurité des systèmes informatiques à Paris-Est Créteil, un master Pro en sécurité SSI à Rouen etc.

La mission d’un expert en sécurité des systèmes d’information ne sera en aucun cas confiée à un débutant.

Qualités requises, salaire et évolution de carrière

La fonction de responsable de la sécurité des systèmes d information demande beaucoup de rigueur, de sang-froid et d’excellentes capacités d’anticipation. Il doit être particulièrement curieux car les évolutions technologiques sont très rapides et nombreuses.

Il doit donc s’intéresser à tout en permanence : matériels, langages de programmation (comme Java, JavaScript, Python…), applications, systèmes d’exploitation (comme Windows, Mac OS, Symbian OS ou GNU/Linux), virus etc. I

Il doit également aimer communiquer en étant un très bon pédagogue, pour former et informer tous les utilisateurs des systèmes informatiques.

Salaire du CISO

Concernant son salaire, selon la nature de l’entreprise et sa taille, un CISO pourra toucher entre 3500 et 4600 euros par mois. Tout va dépendre de son ancienneté dans le métier et dans l’entreprise. Son expérience pourra lui permettre plusieurs évolutions de carrière, comme devenir directeur d’un service informatique ou se tourner vers des missions d’audit ou d’expertise (travail de consultant de haut niveau).

SOURCES & ANNEXES :

Méthode Ebios CISO : ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite
Méthode MEHARI : fr.wikipedia.org/wiki/Méthode_harmonisée_d’analyse_des_risques