10 janvier 2024
Zoom sur le métier de Responsable de la Sécurité des Systèmes d’Information (RSSI)
Regards croisés sur les secteurs de la santé, de l’industrie et du luxe
Par Christèle Arnoult
Janvier 2024 | 4 MN
Mission : Garantir la sécurité cyber
Avec une augmentation de 22,9% de l’exploitation de vulnérabilités uniques en 2023 relevée par Orange Cyber Defense (Security Navigator 2024), le rôle du Responsable de la Sécurité des Systèmes d’Information (RSSI) revêt une importance stratégique dans le pilotage de la menace qui cible les organisations. Le RSSI est en effet chargé de garantir la sécurité des systèmes d’information au sein de l’organisation en orchestrant les ressources afin d’anticiper, identifier et maîtriser les attaques potentielles.
Des « Super Skills » pour maîtriser une menace multiple
Parmi les principaux enjeux liés au métier figurent notamment la protection des données sensibles, la prévention des intrusions, la gestion des incidents de sécurité, la mise en conformité règlementaire et la sensibilisation des collaborateurs. Les menaces peuvent prendre plusieurs formes comme l’indique le dernier rapport de l’ENISA pour la période Juillet 2022-Juin 2023 (Top 5 : Ransomware 31.32%, DDoS 21.4%, Data 20.09%, Malware 8.24% ou encore Social Engineering 7.88%).
Même s’il ne porte pas un costume distinctif de super héros, le RSSI doit posséder des « Super Skills », compétences qui vont au-delà des connaissances techniques inhérentes à la fonction. Ces qualités spécifiques lui permettent de développer une pensée systémique et d’optimiser ses capacités à mener à bien sa mission. Selon les situations et les interlocuteurs, il doit tour à tour être capable de faire preuve d’une grande résistance au stress, d’agir avec réactivité mais sans précipitation, d’informer ou de négocier avec diplomatie, d’embarquer les équipes grâce à son leadership et de faire preuve de pédagogie. L’exigence de la fonction de RSSI, l’engagement qu’elle demande et sa finalité en font souvent un métier sous tension mais c’est aussi une mission passionnante.
Parallèle entre 3 secteurs d’activité
Les défis que le RSSI doit relever dans la gouvernance du risque cyber (GRC) sont souvent communs à plusieurs secteurs d’activité.
Quelques exemples :
- Définition de la politique de sécurité en fonction des contraintes et des objectifs
- Pilotage de la mise en œuvre et du suivi des procédures
- Étude des solutions en place et des axes d’amélioration continue
- Gestion du budget
- Reporting hiérarchique et transverse pour informer et permettre la prise de décision
- Veille technologique et règlementaire
L’implication du RSSI est une des clés du dispositif d’anticipation et de défense de l’organisation. Comme le constate l’ENISA, tous les domaines d’activité sont impactés. On note d’ailleurs que, quel que soit le secteur, le nombre de cyber attaques (ici par Ransomware) est en augmentation :
Les défis que le RSSI doit relever sont souvent communs à plusieurs secteurs d’activité, il existe cependant des particularités propres à certains environnements.
Dans le secteur de la santé
Dans le domaine de la santé, la protection des données personnelles et médicales revêt une importance capitale. Les attaques visant les hôpitaux et les systèmes de santé sont de plus en plus fréquentes, mettant en péril la confidentialité des informations médicales. Le RSSI joue donc un rôle clé dans la sécurisation des données patient, dans l’intégrité des systèmes médicaux connectés et dans la prévention des ransomwares qui pourraient compromettre les vies humaines en mettant une partie d’un établissement de santé à l’arrêt.
Dans le secteur de l’industrie
L’industrie est confrontée à des risques spécifiques, tels que la menace de l’espionnage industriel, la manipulation des systèmes de contrôle des lignes de production et la perturbation de la chaîne d’approvisionnement. Le RSSI doit donc développer des stratégies de défense adaptées, impliquant souvent la sécurisation des usines intelligentes, la protection des plans de production et la prévention des attaques visant à déstabiliser les approvisionnements. La cybersécurité devient ainsi une composante essentielle de la gestion opérationnelle dans le secteur industriel.
Dans le secteur du luxe
Le secteur du luxe, caractérisé par ses marques emblématiques, est une cible de choix pour les cybercriminels. La contrefaçon en ligne, le vol de propriété intellectuelle et les attaques visant la réputation des plus grandes maisons sont caractéristiques des menaces auxquelles le RSSI doit faire face. La protection des secrets de fabrication, la sécurisation des transactions électroniques et la préservation de l’image de la marque sont autant de responsabilités endossées par un RSSI dans le secteur du luxe.
Quelle formation faut-il envisager pour devenir RSSI ?
Quel que soit le secteur d’activité où il évolue, le RSSI doit savoir s’adapter en permanence à différentes situations pour mener à bien sa mission. Il a besoin a minima d’un très bon vernis technique pour bien comprendre comment orchestrer les applications, infrastructures, matériels liés à la sécurité des SI. Il a pour interlocuteurs des professionnels qui développent, pilotent l’écosystème numérique, il est important qu’il puisse échanger facilement avec eux.
Plusieurs voies permettent de se former au métier de RSSI. Avoir obtenu un bac général ou technologique avec une spécialité en mathématiques, sciences informatiques ou sciences de l’ingénieur est un bon point de départ. Ensuite, il existe plusieurs possibilités : Diplôme d’ingénieur / Master en informatique & réseau ou filière intégrant les composantes droit ou sciences politiques par exemple. N’oublions pas, bien-sûr, la valorisation d’une expérience professionnelle dans le cadre d’un projet de reconversion.
Que propose la CyberSchool ?
En plus des formations cyber expert orientées informatique et réseaux, mathématiques ou liées aux sciences de la donnée, la CyberSchool propose une voie dédiée au métier de RSSI, avec le Master Informatique parcours Responsable de la Sécurité des Systèmes d’Information enseigné à l’ISTIC (Université de Rennes). En créant ce master reconnu par l’État, les responsables de la formation ont en effet souhaité mobiliser les meilleurs atouts pour préparer au mieux les futurs professionnels de la spécialité.
Une première promotion de 15 élèves a vu le jour à la rentrée 2023. Elle est rythmée sur la base d’un mois en cours et un mois en alternance. Comme le précise Franck Bouétard, Ingénieur Formation au sein de l’équipe de la CyberSchool, « Les étudiants de cette filière sont actuellement alternants dans des secteurs très variés. Selon la demande, nous privilégions les organisations bretonnes mais nous avons également des étudiants en alternance hors de la région. L’un d’entre eux est même actuellement en formation dans un grand groupe basé en Suisse ».
Parmi les secteurs dans lesquels les étudiants font leur alternance actuellement : Santé, Industrie, Entreprise de Service Numérique (ESN), Collectivité, Institution ou encore Ministère.
En 2024, la promotion sera portée à 20 étudiants : et si vous en faisiez partie ?
Parmi les autres voies qui peuvent mener au métier de RSSI au sein du Consortium de la CyberSchool, le Mastère Spécialisé Cybersécurité de CentraleSupélec et IMT Atlantique.