Responsable de la sécurité des systèmes d’information

Si piloter des projets informatiques complexes ne vous fait pas peur, si vous résistez aussi bien au stress et à la pression qu’un athlète aux JO, si vos amis se tournent vers vous dès qu’il faut faire preuve d’analyse et de rigueur… alors il y a de fortes chances pour que le métier de responsable de la sécurité des systèmes d’information (RSSI) vous corresponde.

Niveau d’études :Bac+5
Bac conseillé :Scientifique
Employabilité :Très bonne
Salaire débutant :5 800 €
Salaire confirmé :16 000 €
Mobilité :Bonne
Code ROME :M1802, Expertise et support en systèmes d’information
Code FAP :M2Z, Informatique et Télécommunications

« C’est un métier exigeant qui nécessite d’une part de maintenir ses compétences à jour en assurant une veille permanente et d’autre part d’être en capacité de rendre accessible et compréhensible le sujet de la sécurité du numérique aux décideurs. »

Cyril BRAS – RSSI d’une métropole et vice-président de l’IN.CRT

Quelles sont les missions du RSSI ?

Le ou la RSSI, c’est la personne qui est en charge de la politique de sécurité informatique de l’entreprise.

C’est le RSSI qui définit, met en œuvre et assure le suivi et le respect des normes de sécurité et des outils.

  • La veille technologique fait partie de son quotidien. C’est même une grande partie de son travail puisque la veille permet de suivre l’évolution du secteur et des nouvelles menaces existantes pour les systèmes d’information.
  • Concrètement, le RSSI :
  • Définit la politique de sécurité des systèmes informatiques
  • Veille à l’application de cette politique
  • Conseille et forme les directeurs métiers
  • Met en place des processus et des solutions pour protéger les données et le niveau de sécurité des systèmes informatiques
  • Selon la taille de l’entreprise dans laquelle il travaille, il peut être amené à superviser une équipe.

Si l’on devait résumer son périmètre de tâches, on pourrait dire : Identifier, Protéger, Détecter, Répondre, Reconstruire, Rendre compte.

C’est-à-dire :

  1. Identifier les enjeux et les risques de sécurité sur son périmètre
  2. Protéger et atteindre les objectifs de sécurité définis
  3. Détecter les menaces en surveillant les événements de sécurité
  4. Répondre avec un système de gestion des incidents opérationnel
  5. Reconstruire et mettre en œuvre un plan de continuité informatique et une stratégie de résilience
  6. Rendre compte auprès de la hiérarchie sur le niveau de couverture des risques de sécurité.

« Le numérique est de plus en plus présent, si la sécurité n’est pas intégrée dans les projets de la structure c’est à plus au moins long terme un risque qui, lorsqu’il se concrétise, à des impacts multiples sur l’image, la gouvernance, les finances. Dès lors, en tant que RSSI, vous devez encadrer les usages du numériques afin de garantir la conformité aux exigences règlementaires comme par exemple le RGPD, mais aussi protéger le patrimoine informationnel d’actions malveillantes. Vous devez par ailleurs sensibiliser le personnel aux enjeux de la cybersécurité en faisant du maillon humain un maillon robuste de la chaine de défense. »

Cyril BRAS – RSSI d’une métropole et vice-président de l’IN.CRT

Quelles études pour devenir responsable de la sécurité des systèmes d’information ?

Pour devenir responsable de la sécurité des systèmes d’information, il faut obtenir un diplôme de niveau Bac +5. Pour cela, il y a deux voies possibles :

La première consiste à entrer en école d’ingénieurs ou à l’université, et de valider un Master avec une spécialisation en cybersécurité.

C’est pénible et non adapté.

La deuxième solution, la plus viable, est d’intégrer notre école dédiée aux métiers de la cybersécurité, la Guardia School of Cybersecurity.

Notre Bachelor suivi de notre MSc en cybersécurité est la formation parfaite pour vous former au métier de RSSI.

Vous acquérez toutes les connaissances fondamentales les premières années, puis approfondissez les techniques et les stratégies plus avancées. L’objectif : devenir opérationnel le plus rapidement possible.

Petite précision tout de même : il vous faudra un bagage professionnel important avant d’accéder à ce poste.

Par exemple, Patrick a validé un diplôme d’ingénieur, travaillé 12 ans en tant qu’administrateur système et un an en tant que RSSI adjoint, avant de devenir RSSI lui-même.

« Ce métier nécessite une remise en question permanente car il est nécessaire de s’adapter en permanence aux évolutions de la menace mais aussi à l’évolution du périmètre de la structure à protéger. »

Cyril BRAS – RSSI d’une métropole et vice-président de l’IN.CRT

Quelles sont les compétences et qualités d’un bon RSSI ?

Pour exercer le métier de RSSI, il faut bien entendu être familier avec les différents processus et charte d’utilisation des systèmes de sécurité informatiques de l’entreprise. De plus, des compétences techniques sont requises pour être capable de définir et mettre en place les stratégies adaptées.

Cela implique :

  • Une bonne connaissance des enjeux
  • La capacité à construire une stratégie de cybersécurité adaptée en fonction des menaces
  • La connaissance des principes d’architecture et des systèmes d’information
  • La connaissance des technologies et des outils
  • Une connaissance juridique en matière de droit informatique (RGPD notamment)
  • Gestion de crise et cyberdéfense
  • Etc

« La pédagogie et les capacités de communication sont des qualités indispensables à ce poste. Il faut également posséder une forte résistance au stress. Savoir faire preuve de rigueur et d’un sens de l’analyse. Mais le plus important est d’être à l’écoute des besoins des utilisateurs « métiers ». Ce sont eux qui fabriquent la valeur de l’entreprise, il faut donc savoir les protéger sans les empêcher de travailler. Le métier de RSSI, c’est finalement 70 % d’organisationnel. On fait finalement assez peu de technique à moins d’avoir une double casquette infrastructure + RSSI. Pour la partie organisationnelle, les formations à l’analyse de risque sont importantes. Les savoir-faire qui en découlent sont de l’ordre de la communication : présenter ses résultats d’analyse, faire accepter les plans de remédiation et les évolutions organisationnelles ou techniques qui viseront à élever le niveau de sécurité, etc. »

Patrick – RSSI dans une grande université lyonnaise

Le RSSI en entreprise

Le RSSI peut travailler dans différents types d’entreprises et différents secteurs : industrie, services…

Mais un grand nombre de RSSI choisissent de travailler dans des collectivités, parce que de plus en plus d’entreprises et d’organismes publics sont conscients des enjeux de la cybersécurité.

Ainsi, la Métropole de Lyon, Suez France ou encore le Groupe La Poste font partie des organisations qui recrutent des RSSI.

Comment trouver un job de RSSI ?

La majorité des offres d’emplois dans le domaine de la cybersécurité sont publiées sur les plateformes d’emploi ou les réseaux sociaux professionnels. Le job de RSSI ne fait pas exception.

Vous pouvez ainsi trouver des offres sur Linkedin, Simplyhired.fr, wizbii.com, indeed.com, apec.fr, glassdoor.fr, etc.

Devenir RSSI freelance

Devenir RSSI freelance est tout à fait possible. Cela dit, avant de se lancer en tant qu’indépendant dans ce domaine, il est fortement recommandé d’acquérir quelques années d’expérience. Les références proposées appuieront davantage votre autorité et votre expertise.

Vous pouvez exercer ce métier en freelance en tant que société individuelle ou micro-entrepreneur. Et vous pouvez aussi intégrer un cabinet d’experts en cybersécurité.

Le TJM d’un RSSI freelance varie entre 700 et 1 200 euros.

Quel salaire et quelle évolution professionnelle pour le responsable de la sécurité des SI ?

En France, le salaire d’un responsable de la sécurité des systèmes d’information est le plus souvent fonction de la taille de l’entreprise et de l’expérience.

Il commence à 3 000-3 500€ par mois. Il peut atteindre 12 500€ par mois et dans de rares cas, plus de 15 000€.

Aux Etats-Unis, le salaire du RSSI varie entre 6 500 et 16 500€ par mois en moyenne (équivalent dollars).

Le RSSI peut évoluer dans différents domaines. Tout dépend de la nature de l’entreprise qui l’emploie (industrie, logiciels, etc).

Ce qui arrive parfois dans certaines grandes entreprises, c’est que les tâches soient divisées entre le directeur cybersécurité et le responsable de la sécurité des systèmes d’information au niveau du groupe.

« Les menaces évoluent mais aucune ne change vraiment la donne sur le plan organisationnel. Les contraintes se déplacent (du bureau vers le télétravail par exemple), mais finalement il s’agit simplement de s’adapter. »

Patrick – RSSI dans une université

Responsable sécurité des SI : avantages et inconvénients

Points positifs

  • Métier valorisant
  • Salaire attractif

Points négatifs

  • Travail de veille important
  • Autoformation perpétuelle
  • Résistance au stress et à la pression

“La veille et le travail d’information sont vitaux. Il faut jouer sur les deux tableaux : d’une part les informations de toute première fraîcheur, qui peuvent avoir un intérêt opérationnel immédiat mais qui se périment vite comme on peut en trouver sur des réseaux sociaux en suivant des experts de la sécurité, d’autre part les informations qui ont été largement réfléchies, construites, digérées et qui ne sont pas particulièrement innovantes mais qui vont rester pertinentes très longtemps comme celles qu’on peut échanger dans les réunions des CLUSIR, par exemple. D’ailleurs dans cette dernière catégorie les informations liées à l’intelligence économique peuvent être particulièrement pertinentes.”

Patrick – RSSI dans une université

Voir d'autres métiers
Quest Education Group
contact@questeducation.fr
Gaming Campus
+33 (0)4 28 29 81 03
contact@gamingcampus.fr
Guardia CS
+33 (0)4 28 29 58 49
contact@guardia.school

La certification qualité a été délivrée au titre des catégories d’action suivantes : Actions de formation, site de Lyon et Paris du 05/01/2022 au 04/01/2025 ; Actions de formation CFA, site de Lyon et Paris du 22/04/2022 au 04/01/2025.

La certification qualité a été délivrée au titre des catégories d’action suivantes : Actions de formation, site de Lyon et Paris du 05/01/2022 au 04/01/2025 ; Actions de formation CFA, site de Lyon et Paris du 22/04/2022 au 04/01/2025.

Toutes les formations dispensées dans le cadre des conventions de coopérations pédagogiques signées avec nos partenaires permettent aux candidats d’obtenir un Titre enregistré au Registre National des Certifications Professionnelles – RNCP – de niveau 6 (bac+3) et 7 certifié par l’Etat (bac+5).

Copyright © 2024 Quest Education Group. Tous droits réservés.
Document non contractuel sujet à modification, mis à jour le 05 janvier 2024. | Mentions légales.