–15RESPONSABLE SÉCURITÉINFORMATIQUE––LE POSTE–ACTIVITÉS PRINCIPALESIdentification des risqueset définition de la politique de sécurité• Réaliser des audits du système de sécurité, le plussouvent avec l’aide de prestataires.• Analyser les risques et les dysfonctionnements, lesmarges d’amélioration des systèmes de sécurité.• Définir et faire évoluer la politique de sécurité dessystèmes d’information du groupe (PSSI).• Établir un plan de prévention des risques informatiqueset un plan de continuité d’activité (PCA) ouplan de maintien en conditions opérationnelles du SI.• Définir ou faire évoluer les mesures et les normesde sécurité (charte), en cohérence avec la naturede l’activité de l’entreprise et son exposition auxrisques informatiques (nomadisme, BYOD [Bringyour own device 1 ], transferts de données, transactionsfinancières…).• Choisir les dispositifs techniques les plus appropriésaux besoins de l’entreprise (firewall, programmesde back-up, cryptographie,authentification…).• Participer à la définition et au contrôle de la gestiondes habilitations.• Participer au comité des risques.Mise en œuvre et suividu dispositif de sécurité• Faire appliquer les normes et standards de sécurité.• Mettre en place les méthodes et outils de sécuritéadaptés, et accompagner leur implémentationauprès des utilisateurs.• Gérer les projets d’infrastructures sécuritaires.• Élaborer et suivre des tableaux de bord des incidentssécurité.• Superviser ou auditer les programmes de sauvegarde(back up).1. Pratique consistant à utiliser ses équipements numériques personnels dans uncontexte professionnel.• Gérer les incidents sécurité et proposer des solutionspour rétablir rapidement les services.• Définir les actions à mener afin de réparer les dommagescausés au SI en cas de survenance d’un sinistrede sécurité SI (intrusion dans le système, contaminationpar un virus, défaillance d’un équipement…),mettre en œuvre le plan de reprise d’activité (PRA).• Faire analyser les causes des incidents et consoliderles mesures de sécurité.• Faire tester régulièrement le bon fonctionnementdes mesures de sécurité mises en place pour endétecter les faiblesses et les carences.• Auditer le respect des normes de sécurité informatiqueimposées aux sous-traitants de l’entreprise.Communication et formationsur les normes de sécurité• Réaliser le référentiel de sécurité, l’actualiser régulièrement,en assurer la diffusion et veiller à sonapplication.• Définir les formations à réaliser, superviser la rédactiondes supports de formation et en assurer ladiffusion (principalement auprès du service informatique).• Mettre en place des actions de communication (enconcertation avec le responsable de l’exploitationinformatique ou les risk managers métiers) auprèsdes salariés de l’entreprise en cas de risque majeurou de dommages au SI causés par une attaque oupar des dégâts matériels.Veille technologique et réglementaire• Assurer une veille technologique, de manière àgarantir la sécurité logique et physique du systèmed’information.• Assurer une veille réglementaire sur la protectiondes données personnelles.• Identifier les nouveaux risques sur la sécurité dusystème d’information : apparition de nouveauxvirus, lancement d’attaques informatiques sur leréseau mondial…• Rechercher des solutions innovantes pour répondreaux problématiques induites par l’introductiond’une nouvelle technologie.• Suivre les évolutions juridiques du marché entermes de sécurité informatique afin de garantir laconformité du SI au droit individuel et collectif.• Rédiger des notes technologiques de sécurité.Management des équipesde correspondants/ingénieurs sécurité• Assurer le management hiérarchique de sonéquipe : objectifs, congés, entretiens annuels,besoins de formation…• Définir les plannings ainsi que la participation àdes projets transverses (notamment comitésrisques dans la banque).114APEC – RÉFÉRENTIEL DES MÉTIERS CADRES DES SYSTÈMES D’INFORMATION
• Suivre l’action des correspondants sécurité.• Suivre le budget alloué à la sécurité informatique.• Participer au choix et l’évaluation des sous-traitants(sélection des SSII ou cabinets conseil, participationà la rédaction de l’appel d’offres et audépouillement des réponses, sélection et réceptiondes candidats).Suivi des actions et reportinginfogérée d’une entreprise, son rôle est le même quecelui d’un RSSI d’une entreprise utilisatrice.En entreprise, le RSSI est fréquemment responsablede la mise en pratique opérationnelle de la sécurité surle système d’information et le Web : il peut gérer lesdroits des utilisateurs et à participer à la définition desrègles avec les opérationnels des métiers. Il est souventamené à sensibiliser les différents interlocuteurs auxproblématiques de sécurité (mots de passe…).• Contrôler les tableaux de bord techniques des incidentsde sécurité rencontrés (virus, tentatives d’intrusion…).• Assurer le reporting des problèmes de sécurité enestimant les pertes financières (pertes engendréeset coût de mise en place d’une parade).ACTIVITÉS ÉVENTUELLESCette fonction peut être cumulée avec celle de correspondant« Informatique et libertés » dans certainesstructures.Le responsable sécurité informatique peut égalementexercer une responsabilité d’encadrement vis-à-visd’une équipe de techniciens, d’ingénieurs et/ouadministrateurs systèmes réseaux.Il peut être amené à animer en personne des sessionsde formation à l’attention d’utilisateurs initiés ou noninitiés, en interne mais aussi lors de séminaires rassemblantdes experts de la sécurité informatique.Cette fonction peut être cumulée avec celle de responsablesystème réseaux télécoms ou d’administrateursystème réseau dans les PME ou dans les sociétésqui estiment leurs risques informatiques ou risquesd’intrusion moindres que le coût engendré par l’embauched’un expert à plein temps.VARIABILITÉ DES ACTIVITÉSC’est la taille de l’entreprise, mais aussi son secteurd’activités qui conditionnent le contenu de la fonctionde responsable sécurité informatique. Son activitépeut varier selon :• Les conditions d’exerciceLorsqu’il exerce en SSII ou en cabinet conseil spécialisé,le RSSI n’intervient le plus souvent que sur unepartie des missions pour laquelle il lui est demandéune expertise très poussée : il réalise l’audit du SI etmet en place une politique de sécurité dans desentreprises ne disposant pas encore de spécialistesdans ce domaine.Il est également en charge de la réponse aux appelsd’offres et de l’avant-vente des prestations. Enrevanche, s’il intervient en SSII sur l’informatique• Le secteur et la culture du risque de l’entrepriseDans les secteurs d’activités sensibles, tels que labanque/finance ou encore la défense, la culture durisque en interne est très forte. De fait, le poste deresponsable sécurité informatique revêt un enjeu plusstratégique et dispose en conséquence de moyensplus importants. Il gère un budget important, encadregénéralement une équipe d’experts techniques voirefonctionnels, et occupe un positionnement transversedans l’entreprise. Il travaille généralement avec uneéquipe de prestataires, experts techniques, voire fonctionnels,et doit avoir des notions d’urbanisme et d’architectureSI plus poussées que dans d’autres secteurs.Dans le secteur bancaire, le RSSI est amené à êtrel’interlocuteur d’autorités de tutelle (commission bancaire,GIE CB…).• La taille de l’entrepriseDans les groupes internationaux ou possédant plusieursimplantations, il occupe un rôle de centralisationet d’animation du dispositif global de sécurité. Ilencadre tantôt hiérarchiquement tantôt fonctionnellementdes homologues rattachés à un site ou à un pays.Il doit garantir les synergies en termes de moyens, maisaussi la bonne diffusion des règles de sécurité à traversl’ensemble de ses correspondants sécurité.Dans les grandes entreprises, (ex : Banque, assurance)il est de plus en plus souvent rattaché à ladirection de l’audit. Même s’il intervient via une SSIIou un cabinet d’experts, il peut coordonner deséquipes importantes (jusqu’à 50 personnes) en fonctiondes problèmes rencontrés.Dans ce cadre, son rôle va s’orienter plus largement versla sélection et le pilotage de prestataires intervenanten audit ou en intégration de solutions de sécurité.Dans les entreprises de taille moyenne, le RSSI définitl’ensemble de la politique de sécurité informatique(back up, sécurité physique des équipements…)tout en occupant un poste d’expert en sécurité et engérant de manière opérationnelle tous les incidentsde sécurité, en s’appuyant parfois sur les compétencesde prestataires spécialisés. Il n’a pas ou peude rôle de manager.En PME, cette fonction est souvent confiée aux administrateursou ingénieurs systèmes réseaux télécoms.LES MÉTIERS DE LA PRODUCTION 15 – RESPONSABLE SÉCURITÉ INFORMATIQUEAPEC – RÉFÉRENTIEL DES MÉTIERS CADRES DES SYSTÈMES D’INFORMATION 115
- Page 3:
-LES MÉTIERSDES SYSTÈMESD’INFOR
- Page 7:
-ENTREPRISESET CADRESDES SYSTÈMESD
- Page 10 and 11:
-Tableau 4--LES SERVICES DE L’INF
- Page 12 and 13:
Parmi ces structures, la taille dé
- Page 14 and 15:
-LES PRINCIPAUX PÔLES DE COMPÉTIT
- Page 16 and 17:
nombre de DSI se sont dotées d’o
- Page 18 and 19:
possibles, à optimiser les applica
- Page 20 and 21:
-CARTOGRAPHIEDES MÉTIERSPAR FAMILL
- Page 22 and 23:
-CARTOGRAPHIEDES MÉTIERSSELON L’
- Page 25 and 26:
-1DIRECTEUR DES SYSTÈMESD’INFORM
- Page 27 and 28:
VARIABILITÉ DES ACTIVITÉSLes miss
- Page 29 and 30:
est présenté au comité exécutif
- Page 31 and 32:
-2RESPONSABLE INFORMATIQUE-• RESP
- Page 33 and 34:
Au sein de l’entreprise, le respo
- Page 35:
EXEMPLE D’OFFREResponsable inform
- Page 39 and 40:
-3DIRECTEUR DES ÉTUDESINFORMATIQUE
- Page 41 and 42:
• Dans certaines grandes entrepri
- Page 43 and 44:
cess proches de CMMI. Par ailleurs,
- Page 45 and 46:
-4CONSULTANT MAÎTRISE D’OUVRAGE-
- Page 47 and 48:
tique (soit dépendant de la direct
- Page 49 and 50:
et rédaction d’un cahier des cha
- Page 51 and 52:
-5URBANISTE -ARCHITECTE FONCTIONNEL
- Page 53 and 54:
fonctionnels (travaillant au sein d
- Page 55 and 56:
MICHEL DARDET,DIRECTEUR ASSOCIÉ EN
- Page 57 and 58:
-6DIRECTEURDE PROJET INFORMATIQUE-
- Page 59 and 60:
des fonctions de représentation lo
- Page 61 and 62:
manière à équilibrer les phases
- Page 63 and 64:
-7CHEF DE PROJET MAÎTRISED’ŒUVR
- Page 65 and 66: Quelques chefs de projets sont des
- Page 67 and 68: UMUT SARIYILDIZ, CHEF DE PROJETPROG
- Page 69 and 70: -8CONSULTANT INTÉGRATEURDE PROGICI
- Page 71 and 72: • Le type d’entrepriseQuand il
- Page 73 and 74: d’Oracle par Hana. Demain, les é
- Page 75 and 76: -9INGÉNIEURDÉVELOPPEMENT LOGICIEL
- Page 77 and 78: significatifs et impliquant un nomb
- Page 79 and 80: de délais, sur le projet pour comm
- Page 81 and 82: -10CONSULTANT INFORMATIQUEDÉCISION
- Page 83 and 84: ithmes dans une démarche explorato
- Page 85 and 86: un ensemble de systèmes souvent fo
- Page 87: EXEMPLE D’OFFREAnalyste R&D big d
- Page 91 and 92: -11DIRECTEUR DES INFRASTRUCTURESET
- Page 93 and 94: • Chez l’utilisateur, il occupe
- Page 95 and 96: « L’informatique n’a pas pour
- Page 97 and 98: -12RESPONSABLE DE PARCINFORMATIQUE-
- Page 99 and 100: En société de services, la dimens
- Page 101: EXEMPLE D’OFFREGestionnaire de pa
- Page 104 and 105: -13INGÉNIEURDE PRODUCTIONINFORMATI
- Page 106 and 107: -TÉMOIGNAGE-HUGUES FRITSCH,RESPONS
- Page 109 and 110: -14INGÉNIEUR QUALITÉ/MÉTHODES IN
- Page 111 and 112: - Chez le prestataire, le responsab
- Page 113: EXEMPLE D’OFFREEXEMPLE D’OFFREI
- Page 118 and 119: CONTEXTE ET FACTEURS D’ÉVOLUTION
- Page 120 and 121: EXEMPLE D’OFFRERSSI H/FIssy-les-M
- Page 122 and 123: -16ARCHITECTEINFRASTRUCTURES--LE PO
- Page 124 and 125: -TÉMOIGNAGES-SÉBASTIEN HURST,DIRE
- Page 126 and 127: EXEMPLE D’OFFREArchitecte infrast
- Page 128 and 129: -17INGÉNIEUR SYSTÈME--LE POSTE-AC
- Page 130 and 131: ÉVOLUTIONS PROFESSIONNELLES(P+1)
- Page 132 and 133: EXEMPLE D’OFFREIngénieur systèm
- Page 134 and 135: -18ADMINISTRATEURDE BASES DE DONNÉ
- Page 136 and 137: COMPÉTENCES TECHNIQUES• Bonne co
- Page 138 and 139: encontrer des interlocuteurs varié
- Page 140 and 141: -19INGÉNIEURRÉSEAUX/TÉLÉCOMS--L
- Page 142 and 143: • Très bonnes connaissances des
- Page 144 and 145: EXEMPLE D’OFFREIngénieur réseau
- Page 146 and 147: -ORGANISMESINSTITUTIONNELS-ANSSI (A
- Page 148 and 149: -SYNDICATSPROFESSIONNELS-FIEEC (FÉ
- Page 150 and 151: -ÉTABLISSEMENTSDE FORMATION-De nom
- Page 152 and 153: MASTER RÉSEAUX,TÉLÉCOMMUNICATION
- Page 154 and 155: ENSIMAG (École nationale supérieu
- Page 156 and 157: -SITES INTERNET-Cette liste est une
- Page 158 and 159: -ABRÉVIATIONS ET SIGLES-AMOA : Ass
- Page 160 and 161: -D-DatacenterSite physique (interne
- Page 162 and 163: Réseau socialCommunauté d’indiv