Souvent rattaché au DSI, le responsable de la sécurité des systèmes d’information (RSSI) devient un manager à part entière. On ne le trouve plus seulement dans les grandes entreprises du tertiaire ou dans celles liées à la défense.

Le responsable de la sécurité des systèmes d’information (RSSI) analyse les risques, définit la politique de sécurité des systèmes d’information, et en contrôle l’application. « La demande sur ces profils est forte, car, avec l’entreprise étendue, la sécurité est un sujet d’actualité, souligne Bernard Riquier, fondateur du cabinet de conseil en recrutement éponyme. Cependant, ces postes sont difficiles à pourvoir. En effet, les titulaires rechignent à quitter leur entreprise, et les candidats doivent disposer de connaissances, de compétences et de qualités personnelles difficilement compatibles avec des recrutements externes. » Pour Stéphane Rouhier, chargé de la communication du Cigref, on ne devient généralement RSSI qu’après avoir acquis dans l’entreprise un certain « savoir-faire et savoir être ». Il dispose donc de « cinq à dix ans d’expérience professionnelle, voire plus ». De niveau bac +4 ou +5, mais pas obligatoirement informaticien, le RSSI est souvent rattaché au DSI. Il est devenu « un profil polyvalent », qui prend aujourd’hui de plus en plus de distance avec la technique.


En interaction avec les autres fonctions de l’entreprise

Le RSSI agit souvent en liaison étroite avec plusieurs autres responsables fonctionnels dans l’entreprise – par exemple, le directeur de la communication, ou celui du service juridique pour la mise en place des correspondants Cnil. Chargé de l’information et de la formation sur la sécurité et animateur d’équipes de techniciens, il assure un rôle de communicant-pédagogue et de manager. Ainsi, le CSO (Chief Security Officer) de la filiale française du groupe britannique d’assurance Aviva, Jacques Auzat, milite pour une approche globale et non fractionnée de la sécurité dans l’entreprise. Cet ex-RSSI a étendu sa fonction en s’appuyant sur deux ingénieurs consultants spécialistes des technologies de l’information. Arnaud Cantet, associé au cabinet de recrutement Lincoln Associés, considère, lui aussi, que le RSSI doit jouer la transversalité, mais notamment être en mesure d’appréhender l’ensemble des risques pouvant menacer le système d’information de l’entreprise.