Rôles et missions des RSSI
Sous l’autorité fonctionnelle de l’Autorité Qualifiée de la Sécurité des Systèmes d’Information, le RSSI a pour mission de veiller au respect de la confidentialité, l’intégrité, la disponibilité et la traçabilité des données ou informations de l’Etablissement.
Il participe à l’élaboration, à la mise en œuvre, au suivi et à la mise à jour des référentiels de sécurité de l’établissement (Politique de Sécurité des Systèmes d’Information, chartes d’utilisation des systèmes d’information, procédures et règles opérationnelles, guides de bonnes pratiques,...).
Il coordonne les actions d’application de la PSSI.
Il a pour mission de veiller à l’application et au respect de la Politique générale de Sécurité des Systèmes d’Information. Il rend compte à la direction de l’efficience des mesures de sécurité par l’intermédiaire de tableaux de bords et de rapports annuels présentant les incidents survenus.
Il conduit les analyses de risques afin de cartographier les informations, les fonctions et les ressources vitales aux missions de l’établissement. Il évalue et ajuste le niveau de sécurité des systèmes d’information, afin de garantir une sécurité adéquate au regard des missions et des enjeux.
Il anime la SSI au sein de l’établissement. Il informe et sensibilise aux questions de sécurité la direction, les chefs de projets, les responsables des composantes et des services et les utilisateurs finaux.
Il coordonne l’élaboration des référentiels documentaires nécessaires à la sensibilisation et la formation dans le domaine de la SSI.
Il pilote l’organisation opérationnelle de la sécurité des systèmes d’information et met en place un réseau de correspondants.
Il définit les procédures de traitement des incidents. Il évalue la gravité des incidents et la nécessité d’alerter l’AQSSI, la fonctionnaire de sécurité défense (FSSI) auprès du haut fonctionnaire défense et de sécurité.
Il assiste et conseille les chefs de projets dans la prise en compte de la SSI lors de la mise en place des services et tout au long de leur cycle de vie.
En collaboration avec le CIL, il préconise les moyens techniques de sécurité à mettre en place dans le cadre de l’obligation de protection des données à caractère personnel et assure le suivi de leur mise en œuvre.
Il participe au pilotage du SI, en ce qui concerne la sécurité du système d’information.
Il participe à la rédaction des Plans de Reprise d’Activités / Plans de Continuité d’Activités.
Il participe à la gestion de la continuité des activités métiers en cas de crise et à la gestion de la disponibilité des services.
Il est l’interlocuteur privilégié des pôles de compétences SSI, du CERT-RENATER, des experts des autorités judiciaires et du HFDS(FSSI) en rendant compte à l’AQSSI.
Il veille à la mise en place des opérations de surveillance et de contrôle à des fins statistiques, de traçabilité réglementaire ou fonctionnelle, d’optimisation, de sécurité ou de détection des abus, dans le respect de la réglementation applicable. A ce titre il peut exercer régulièrement des contrôles internes de sécurité, voire organiser des audits spécifiques.
Il possède des droits étendus quant à l’utilisation et à la gestion des moyens informatiques et de communications électroniques. Il est soumis au devoir de réserve et ne peut divulguer les informations qu’il est amené à connaître dans le cadre de ses fonctions dès lors que ces informations sont couvertes par le secret des correspondances ou qu’identifiées comme telles, elles relèvent de la vie privée de l’utilisateur. En revanche, il doit communiquer ces informations à l’AQSSI si elles mettent en cause le bon fonctionnement technique des applications ou leur sécurité, ou au procureur de la Républiques si elles relèvent de l’article 40 alinéa 2 du code de procédure pénale.
Dans le cadre de son activité, il pourra être amené à avoir accès à des informations classifiées conformément à son niveau d’habilitation.
Les cas de détection d’actions illégales, de non-respect des dispositions contenues dans la charte d’utilisation des systèmes d’information, constatés par ou portés à la connaissance du RSSI devront être signalés à l’AQSSI.
Le RSSI, doit tenir informé l’AQSSI, sans délai, des échanges qu’il a pu avoir avec les autorités judiciaires avec lesquelles il collabore, ainsi que des échanges qu’il a pu avoir avec les services du Haut Fonctionnaire Défense et Sécurité (HFDS) du Ministère de tutelle.