Avec la transformation numérique et la multiplication des cyberattaques, les sujets relevant de la gestion informatique traditionnelle et de la cybersécurité en entreprise peuvent se recouper.
La conséquence ? Il est difficile de comprendre ce qui relève du périmètre du Responsable de la Sécurité des Systèmes d’Information (RSSI) ou de celui du Directeur des Systèmes d’Information (DSI).
Mais alors, quels sont exactement leurs rôles et missions au sein de l’entreprise ? Pourquoi est-il important de séparer ces fonctions ? Comment le RSSI et le DSI peuvent-ils collaborer ? Explication dans cet article.
Qu’est-ce qu’un Responsable de la Sécurité des Systèmes d’information (RSSI) ?
Le Responsable de la Sécurité des Systèmes d’Information, comme son nom l’indique, est le garant de la sécurité du SI. Son périmètre inclut la protection des actifs matériels et immatériels et des collaborateurs au sein de l’organisation. En appliquant la politique de sécurité informatique, il assume 4 missions principales.
La gestion des risques
Le RSSI identifie et évalue les risques de sécurité potentiels. Il mène des audits pour vérifier l’efficacité des mesures de sécurité en place, et adapte les stratégies en fonction des nouvelles menaces identifiées.
La mise en place de politiques de sécurité et de conformité
En appliquant les actions correctives, le RSSI aide l’entreprise à tendre vers la pleine conformité. Il est de ce fait investi dans les projets d’obtention de certifications.
Formation et sensibilisation
Le RSSI a pour mission d’instaurer une culture de la cybersécurité dans l’entreprise. Il dispose pour cela de plusieurs cordes à son arc : formations régulières, campagnes de sensibilisation, simulations de crise… L’objectif : s’assurer que TOUS les membres de l’organisation comprennent l’importance de la sécurité informatique et augmentent ainsi leur niveau de vigilance au quotidien.
Surveillance et réaction aux incidents
Le RSSI surveille en continu le système d’information pour détecter toute activité suspecte. En cas d’incident de sécurité, il coordonne la réponse de l’entreprise, gère la communication de crise et les mesures de mitigation pour minimiser l’impact des violations de sécurité.
Vous l’aurez compris : le RSSI joue un rôle crucial dans l’entreprise. Mais ce n’est pas pour cela qu’il travaille seul ! ll peut (et doit) notamment s’appuyer sur les compétences de son homologue DSI – une complémentarité qui s’avère essentielle au quotidien.
Qu’est-ce qu’un Directeur des Systèmes d’Information (DSI) ?
Pour faire simple, le DSI supervise l’ensemble des systèmes informatiques et des réseaux de l’entreprise. Il travaille donc en étroite collaboration avec les différentes directions pour aligner les technologies avec les besoins métiers et les objectifs stratégiques de l’entreprise. Voici un aperçu de ses missions.
Gestion des infrastructures IT
Le DSI est responsable de la supervision, du monitoring et de la maintenance des systèmes informatiques, des réseaux et des bases de données. Cela inclut la gestion des serveurs, des réseaux locaux (LAN) et étendus (WAN), ainsi que des équipements de stockage (NAS, SAN ou hébergé le cloud).
Support aux opérations métiers
Il fournit aux différents départements de l’entreprise les outils technologiques dont ils ont besoin. Cela implique la mise en place de logiciels divers :
- CRM ;
- plateformes de travail collaboratives ;
- solutions de communication adaptées aux besoins des équipes (Messagerie, Voip)…
Innovation et transformation numérique
Le DSI conduit les projets de transformation numérique permettant de moderniser les processus et d’intégrer de nouvelles technologies, telles que le cloud computing, l’intelligence artificielle (Gen AI) ou encore l’Internet des objets (IoT).
Gestion budgétaire
Le DSI gère le budget qui lui est alloué. Il lui revient de :
- mener l’évaluation des besoins en ressources ;
- planifier les dépenses ;
- justifier les investissements auprès de la direction générale.
Pourquoi est-il important de séparer les rôles du RSSI et du DSI ?
Si dans certaines entreprises, le DSI joue l’équilibriste en portant la double casquette, il est conseillé de recruter deux profils pour séparer les rôles.
Éviter les conflits d’intérêts
Séparer les rôles du RSSI et du DSI garantit une gestion objective des risques de sécurité.
Le RSSI, lui, se concentre sur la protection des systèmes d’information et des données. En étant distinct du DSI, il peut évaluer les risques et mettre en œuvre des mesures de sécurité sans compromis. Une indépendance qui évite que les décisions en matière de sécurité soient influencées par des impératifs de coûts ou par une méconnaissance de la culture cyber !
Spécialisation et expertise
La cybersécurité est un domaine hautement spécialisé nécessitant des compétences et une expertise spécifiques. Recruter un RSSI, c’est s’assurer l’appui d’un expert qui peut :
- se concentrer exclusivement sur les sujets de sécurité ;
- suivre les évolutions technologiques et les nouvelles menaces ;
- adapter les stratégies de sécurité en conséquence.
Un DSI, aussi compétent soit-il, n’aura pas la culture de la cybersécurité, l’intuition et les réflexes du RSSI.
Conformité réglementaire
Les exigences réglementaires et de gouvernance imposent souvent une séparation claire des responsabilités en matière de sécurité et de gestion des systèmes d’information.
À titre d’exemple, l’annexe A.6.1.1 de l’ISO 27001 mentionne la nécessité de définir et d’attribuer les rôles et responsabilités pour la sécurité de l’information. Une exigence également présente dans d’autres référentiels, tels que NIST 2.0.
RSSI et DSI : une collaboration indispensable
Si les fonctions de RSSI et DSI sont bien distinctes, cela ne signifie pas pour autant qu’ils doivent travailler en silo ! Bien au contraire, une collaboration ouverte entre les deux s’avère fructueuse – et surtout indispensable.
Partage des informations
Le RSSI et le DSI peuvent échanger régulièrement sur les projets en cours, les données de télémétrie et les rapports sur les menaces et incidents de sécurité observés. Par exemple, lors de l’analyse des risques, ils peuvent utiliser des Security Scorecards pour évaluer la posture de cybersécurité du système d’information.
À ce titre, Tenacy facilite ce processus en permettant au RSSI de partager les informations directement avec le DSI. En centralisant les données de sécurité, on obtient une vue d’ensemble qui aide à coordonner les efforts de défense et à améliorer la communication entre ces deux rôles.
Planification conjointe
Comme le dit le proverbe africain : « Seul, on va plus vite, ensemble, on va plus loin ». C’est en cela que la complémentarité des deux rôles permet de développer des initiatives communes.
En voici un exemple : l’implémentation de stratégies de sécurité intégrées aux projets IT, une démarche appelée Security by design. Elle inclut la planification de la sécurité dès les phases initiales des projets, ce qui permet de minimiser les risques dès le départ. Une bonne planification conjointe assure que les mesures de sécurité ne sont pas simplement des ajouts tardifs, mais font partie intégrante des projets.
Réponse aux incidents
En cas d’incident de sécurité, le RSSI et le DSI peuvent (et doivent) coordonner leur réponse pour minimiser l’impact. Cela implique la mise en place de procédures claires et une clarification du rôle de chacun dans la gestion des incidents.
Ainsi, pendant une attaque, le RSSI peut se concentrer sur la détection et l’isolement de la menace, tandis que le DSI veille au maintien et à la continuité des opérations.
L’essentiel
Gestion de l’environnement IT et réponse aux besoins métier d’un côté, sécurisation des usages de l’autre… les fonctions de RSSI et DSI regroupent des réalités différentes qu’il convient de séparer.
Mais séparation ne veut pas dire que les rôles du RSSI et du DSI doivent fonctionner indépendamment ou en silos. Une collaboration régulière et ouverte entre le RSSI et le DSI est nécessaire, permettant une réponse coordonnée aux incidents de sécurité et une planification conjointe des projets IT.
Dans ce contexte, Tenacy se positionne comme un vrai facilitateur, en centralisant les données de sécurité et en permettant une vue d’ensemble des menaces et des incidents. Adopter Tenacy dans une organisation permet une gestion simplifiée de la cybersécurité et une meilleure collaboration entre le RSSI et le DSI.
Vous souhaitez en savoir plus ? Réservez dès maintenant votre démonstration personnalisée !