Fiche métier : RSSI

« Un virus pas vraiment mélomane - Fiche métier : Consultant en sécurité des S.I »

Par Bertrand Arquilliere le mardi 7 août 2007, 16:22 - Emploi - Lien permanent

Aujourd'hui, je vais présenter la fiche métier du RSSI et plus tard dans la journée la ficher métier du consultant sécurité. J'essayerai d'analyser en quoi mon CV correspond au poste. En gros je me fais mon entretien de motivation tout seul sur mon blog

Quel est le rôle du RSSI ? :

Le Responsable sécurité des systèmes d'informations est chargé de :

la sensibilisation des utilisateurs aux problèmes de sécurité.
la sécurité des réseaux.
la sécurité des systèmes.
la sécurité des télécommunications.
la sécurité des applications.
la sécurité physique.
la mise en place de moyens de fonctionnement en mode dégradé (récupération sur erreur).
la stratégie de sauvegarde des données.
la mise en place d'un plan de continuité d'activité « disaster recovery ».

(Source du descriptif sur Wikipédia)

La fiche métier :

Activités principales

Études et définition de la politique de sécurité

Réaliser des audits du système de sécurité, le plus souvent avec l'aide de prestataires.
Analyser les dysfonctionnements, les marges d'amélioration des systèmes de sécurité.
Définir ou faire évoluer les mesures et les normes de sécurité, en cohérence avec la nature de l'activité de l'entreprise et son exposition aux risques informatiques.
Choisir les dispositifs techniques les plus appropriés aux besoins de l'entreprise (firewall, programmes de back up, cryptographie, authentification...).

Mise en œuvre et suivi du dispositif de sécurité

Mettre en place les méthodes et outils de sécurité adaptés et accompagner leur implémentation auprès des utilisateurs.
Élaborer et suivre des tableaux de bord des incidents sécurité.
Superviser les programmes de sauvegarde.
Réparer les dommages causés au SI en cas d'intrusion dans le système ou de contamination par un virus, en analyser les causes et consolider les mesures de sécurité.
Tester régulièrement le bon fonctionnement des mesures de sécurité mises en place pour en détecter les faiblesses et les carences.

Communication et formation sur les normes de sécurité

Réaliser le référentiel de sécurité, l'actualiser régulièrement, en assurer la diffusion et veiller à son application.
Réaliser des supports de formation et en assurer la diffusion.
Mettre en place des actions de communication en cas de risque majeur ou de dommages au SI causés par une attaque.

Veille technologique et réglementaire

Assurer une veille technologique, notamment sur les évolutions des protections pour garantir la sécurité du système.
Identifier les nouveaux risques sur la sécurité du système d'information : apparition de nouveaux virus, lancement d'attaques informatiques sur le réseau mondial...
Suivre les évolutions juridiques du marché en termes de sécurité afin de garantir la conformité du SI au droit individuel et collectif.

Activités éventuelles
Le responsable sécurité informatique peut exercer une responsabilité d'encadrement vis-à-vis d'une équipe de techniciens, d'ingénieurs système réseau, d'ingénieurs de développement, voire de chefs de projet en sécurité informatique.

Il peut également avoir la responsabilité d'un budget annuel dédié exclusivement à la sécurité informatique qu'il gère alors intégralement. Dans ce cadre, son rôle va s'orienter plus largement vers la sélection et le pilotage de prestataires intervenant en audit ou en intégration de solutions de sécurité.

Il peut être amené à animer en personne des sessions de formation à l'attention d'utilisateurs initiés ou non-initiés, en interne mais aussi lors de séminaires rassemblant des experts de la sécurité informatique.

Variabilité des activités
C'est la taille de l'entreprise et son secteur d'activité qui conditionnent le contenu de la fonction de responsable sécurité informatique :

dans les structures de taille intermédiaire, de 1 000 à 5 000 salariés, le responsable sécurité informatique a souvent un positionnement orienté vers l'expertise technique. Il garantit avant tout la pérennité et l'évolution de l'infrastructure pour faire face aux attaques et aux risques extérieurs. Il n'encadre généralement pas d'équipe.
dans les secteurs d'activité sensibles tels que la banque/finance ou encore la défense, la culture du risque en interne est très forte. De fait, le poste de responsable sécurité informatique revêt un enjeu stratégique et dispose en conséquence de moyens plus importants qu'ailleurs. Il gère son budget, encadre généralement une équipe d'experts techniques, voire fonctionnels, et occupe un positionnement transverse dans l'entreprise.
dans les groupes internationaux ou possédant plusieurs implantations, le responsable sécurité informatique occupe un rôle de centralisation et d'animation du dispositif global de sécurité. Il encadre, sur un plan hiérarchique ou fonctionnel, des homologues rattachés à un site ou à un pays. Il doit garantir les synergies en termes de moyens, mais aussi la bonne diffusion des règles de sécurité à travers l'ensemble de ses correspondants sécurité.
dans les sociétés de conseil, il porte le titre de consultant en sécurité informatique. Son rôle est souvent centré sur la réalisation d'audits de sécurité et sur la préconisation de solutions techniques adaptées, plus que sur la mise en place de dispositifs.

(Source : Fiche métier de l'APEC)

Mes points forts pour un poste de RSSI :

Au delà de mes compétences techniques en termes de tests de pénétration et audit des S.I (méthode EBIOS), conception et mise en place d'architectures sécurisées, mon principal point fort est ma grande capacité d'adaptation et ma résistance au stress, ensuite, je suis passionné par la sécurité des S.I, et comme tout passionné j'apprends très vite dans les domaines qui m'intéressent.
J'ai une expérience de management en situation de stress d'un groupe d'une dizaine de personnes.
Je me tiens informé tous les jours sur le monde de la sécurité informatique, faisant même un peu de recherche quand j'en ai le temps.
D'un caractère bien trempé, de tenue et de présentation toujours soigné (d'après les notations de mes supérieurs dans une autre vie : l'armée de terre). Je suis rigoureux et pédagogue, sachant adapter mon discours à mon public, je peux donc travailler tant avec la direction générale d'une entreprise qu'avec les équipes technique sur le terrain.
J'ai le goût des responsabilités et des initiatives.
Déterminé et franc, je mets en oeuvre tous les moyens pour atteindre mes objectifs.

Pourquoi je suis le RSSI que votre entreprise recherche ?

N'ayant pas peur des responsabilités, et assumant toujours mes actes, je saurai défendre un dossier de sécurité tant sur le point technique auprès des vos équipes, qu'auprès de votre direction.
Mes compétences techniques en matière de sécurité sont reconnues je suis donc opérationnel immédiatement. Ma résistance au stress fait de moi l'homme des situations de crise, gardant la tête froide, j'alloue les bonnes ressources aux bonnes tâches (Dés lors que je connais l'équipe) .
J'effectue une veille journalière et participe à des forums sur la sécurité des S.I.
Après une courte phase de reconnaissance, afin de connaître dans les moindres détails votre S.I et vos équipes, je saurai apporter à votre entreprises la sécurité de ses informations.
Enfin, malgré mon relatif jeune âge pour ce poste, j'ai l'habitude de travailler avec des gens plus âgés et/ou plus qualifiés que moi, sachant me faire accepter par mes connaissances en la matière et mon relationnel
N'hésitez plus, je suis le RSSI à dimension humaine dont votre entreprise à besoin !
Contactez moi, et ensemble nous établirons la politique de sécurité de notre entreprise, nous mettrons en place la sensibilisation de vos utilisateurs, et mettrons en oeuvre les éléments de sécurité indispensable à votre présence sur Internet.

EDIT : Sur les conseils de Lionel, Touline et Christian cet article à beaucoup changé depuis sa version initiale de ce matin. Merci à eux trois pour leur conseils.

Billets en rapport

Commentaires

1. Le mardi 7 août 2007, 12:18 par Lionel

Je pense que le RSSI ne devrait jamais dépendre hiérarchiquement de la DSI, ne pouvant pas être juge et partie à la fois. On voit en effet (trop) souvent le RSSI qui cumule cette fonction avec celle de responsable Systèmes.

A mon sens, si l'entreprise prend vraiment à coeur la problématique de la sécurité (au sens large) le RSSI doit être rattaché directement à la DG et faire partie du CODIR.
Au delà de ses missions purement techniques il devra être "une main de fer dans un gant de velours" et bénéficier en permanence d'un soutien hiérarchique fort (DG) et du sponsoring des membres du CODIR.

Concernant des fiches métiers disponibles sur le Net, celles de 01 Net sont également assez complètes: http://www.01net.com/rubrique/1969....

Cordialement,

2. Le mardi 7 août 2007, 12:31 par Bertrand

Je suis entièrement d'accord avec toi Lionel, le RSSI ne devrait jamais être rattaché à la DSI mais bel et bien à la DG.
J'ai repris la fiche métier telle quelle de journaldunet, et ce point là m'a surpris (surtout le rarement entre parenthèses).
Cependant, beaucoup d'entreprises, PME et PMI n'étant pas sensibilisés à la sécurité de leur S.I c'est le DSI qui sur son initiative prend en charge la partie sécurité. Dans ce cas là, il appartient au DSi de faire remonter cette lacune dans l'entreprise afin que soit nommé ou recruté une personne en charge de la sécurité, et bien souvent elle est alors rattaché au DSI.
Dans les entreprises plus grosses, généralement le recrutement du RSSI est plus strict et il est rattaché à la DG.

Pourquoi rattaché à la DG ? outre ce qu'a exposé Lionel, le RSSI doit être informé des plans stratégique de l'entreprise afin de garder une poliqtique de sécurité cohérente avec la stratégie définit par l'entreprise, et c'est donc près de la DG qu'il obtiendra le plus d'informations.

Edit : Bizarrement la fiche de 01net place elle aussi le RSSI proche de la DSI, par contre 01net n'annonce pas vraiment le même salaire que journaldunet, mais 01net fait bien le distingo entre un RSSI ayant plus de dix ans dans cette fonction et un RSSI débutant : http://www.01net.com/outils/PseudoRubV4.php?base=GDM&rub=1969&pseudo=R2M8_2006

Merci pour ce complément d'informations Lionel.

3. Le mardi 7 août 2007, 14:09 par touline

SI tu permets, dans ton auto-entretien de motivation, il y a quelque chose qui me trouble : dans tes points forts tu parles de tes qualités managériales, de tes qualités personnelles mais...pas du tout du côté technique SI ? On comprend bien qu'elles ne sont pas sanctionnées par un + 5, mais on attendrait que tu parles de cette parfaite connaissance technique... Tu en parles dans le paragraphe suivant (ouf !) mais il me semble que ce serait à mettre en avant dans tes points forts également. Cela fait drôle de lire dès le début : j'apprends vite, cela peut sous entendre que tu ne connais pas bien...
Voilà ma vision, pour ce que vaut mon oeil extérieur...

4. Le mardi 7 août 2007, 14:26 par Bertrand

Merci Touline pour cette remarque. J'ai corrigé cet oubli.
Oubli lié au fait que j'ai mis l'accent sur les compétences managériale indispensable pour ce type de poste, en délaissant les aspects techniques.

5. Le mardi 7 août 2007, 15:17 par Christian

Bonjour,

QUEL BOULOT!!!???

Juste une petite remarque, n'exite il pas à l'APEC un référentiel beaucoup plus complet et détaillé sur ce métier ? je trouve perso que de citer WIKIpédiat n'est pas forcement, la panacée...mais ce n'est qu'un détail. En revanche, en te lisant je me pose la question de savoir si tu t'es rapproché de personnes qui comme toi ont voulu faire ce métier dans les mêmes conditions que toi et quel a été le résultat, quelles ont été leur freins, leurs opportunités, en as tu contactés quelques uns ? quel retour as tu eu ? as-tu contacté des professionnels déjà en place ?, as tu demandé des entretien pour avoir leur avis d'experts ?

Je trouve aussi que tu fais trop cas de tes faiblesses (qui existent c'est sûr) mais tu ne devrais pas les mettre en avant d'emblée, de fait, ressents tu réellement le besoin de compenser ton manque de diplôme ou tu le dis juste pour justifier ?.
N'en parles pas, si tu parles d'abord de tes atouts, on oubliera tes faiblesses...enfin ne parles pas de ton âge non plus car en fin de compte on peut ressentir qu'à force de parler de tes faiblesses, tu es peut êtres quelqu'un de complexé et dont les faiblesses prennent beaucoup de place dans sa tête...
Voila... c'est ce que j'ai ressenti en me mettant à la place du recruteur,...maintenant, je ne suis pas encore recruteur...

Ta démarche est cohérentes tu te poses les bonnes questions, maintenant il faut le défendre ce projet...

Bravo pour ce travail perso en tout cas. Tout le monde ne le fait pas...

Bien à toi,
Christian

6. Le mardi 7 août 2007, 15:50 par Bertrand

Merci Christian pour ton retour aussi.

Tu as raisons pour les points faible ... et j'écoute ton conseil, si un recruteur veut les connaître, qu'il me convoque à un entretien

Pour répondre à tes questions, effectivement Wikipédia n'est pas la panacée en terme de référence, mais j'ai trouvé cette partie courte et concise, correspondant bien à mes besoins pour introduire le poste de RSSI.

Je me suis rapproché de personnes occupant ce poste, j'ai même occupé un poste d'adjoint RSSI pendant 2 ans. Les résultats ont été concluants, malheureusement le poste a été ouvert à concours (Education Nationale) et je ne remplissais pas les conditions nécessaires pour m'inscrire au concours.

Aujourd'hui, je suis en contact avec de nombreux RSSI et consultants en sécurité informatique, autant il y a des profils tel que le mien chez les consultants autant je n'en connais pas chez les RSSI Français (Question de diplôme essentiellement mais ni ne complexe ni de désespère car je sais que j'ai les compétences pour assumer ce rôle dans une entreprise).
Ce contact avec les RSSI est assez positif, l'un d'eux passe d'ailleurs régulièrement ici et laisse un petit commentaire.

Viennent ensuite plusieurs facteurs indépendants et de mon diplôme et de mon âge : il n'y a pas beaucoup de postes de RSSI ouverts dans les grandes entreprises, et les petites entreprises ne sont pas suffisamment sensibilisées pour embaucher ce profil.

Pour l'histoire du diplôme originalement présente dans ce billet : J'ai vu tellement de porte se fermer sur ce seul critère alors que j'avais passé avec succès 3 ou 4 entretiens techniques et entretiens de personnalités, que sans en faire de complexe, je préfère annoncer la couleur dés le début : Oui je suis bac + 2 et oui je me sens suffisamment solide pour assumer ce poste !

En bon biffin, je m'accroche au terrain et ce poste, un jour ou l'autre : je l'aurai !

Suite à vos réactions, j'ai complètement refondu ce document. Merci de votre relecture.

7. Le mardi 7 août 2007, 20:42 par christian

je constate que tu es resté "péchu" et je t'encourage vraiment à ne rien lacher sur ton objectif.
il y a un peu plus de deux cents ans, le "petit Caporal", n'aimait pas l'école, il a pourtant tant apporté au Monde, il n'a jamais rien laché...sauf peut-être Joséphine l'infâme...

En avant...van...

Bien à toi,
Christian

8. Le mardi 7 août 2007, 21:38 par Guillaume le Webmarketeur

Bertrand,

merci pour l'explication , je ne connaissais pas le RSSI, j'ai appris quelque chose... Vraiment très instructif, surtout par rapport aux métiers du web...

par rapport au sujet de se vendre, j'ai corrigé le même soucis que tu évoques par rapport au négativisme involontaire et à la justification...

Mais avec la pèche qu'on a toi comme moi, ça se résout bien !!!

9. Le mercredi 8 août 2007, 07:59 par Carole

Bonjour, je viens de lire ton "automotivation".
Je suis comme Guillaume, j'apprends des choses ici ! Je me suis demandée où étaient tes petits défauts ?? mais je vois d'après les remarques, que l'oubli est intentionnel ! Il faut tout de même en être conscient et savoir en parler, pas toujours facile ! Mais on te fait confiance.

10. Le jeudi 25 octobre 2007, 14:47 par Dominique