Management

Quels sont les bons critères pour recruter un RSSI ?

Le RSSI doit posséder des qualités techniques, être un bon communicant et savoir parler business.

De la définition de poste à l'examen des compétences , recruter un RSSI nécessite des critères stricts.

PublicitéLe responsable principal de la sécurité de l'information assure une fonction de plus en plus large et vitale pour l'entreprise. Comment s'assurer qu'il remplit bien les attentes de l'entreprise pour ce rôle ? Une description du poste solide et approfondie sera un point de repère important lors de son embauche. Elle va décrire les fonctions et les priorités du rôle et la structure de reporting propre à chaque entreprise. Il devrait également inclure les certifications, les compétences, l'expérience et l'éducation.

Ce RSSI dirige et gère la stratégie, les opérations et le budget pour sa mission principale : la protection de tous les biens de l'entreprises qui composent son système d'information. Ce poste requiert une solide expérience de l'informatique et de l'architecture de sécurité, ainsi qu'une communication de haut niveau et des compétences pour gérer une équipe de sécurité et consulter les cadres internes et externes et les organismes gouvernementaux concernés. Il doit aussi savoir parler « business », être un partenaire stratégique de la direction.

Dans les fonctions clés du RSSI on peut citer :

- Concevoir et diriger les systèmes de sécurité. Au besoin les mettre à jour.
- S'assurer que les plans de reprise après sinistre et ceux de continuité d'activité sont en place et testés.
- Examiner et approuver les politiques de sécurité, les contrôles et la planification d'interventions en cas d'incidents.
- Approuver et superviser les politiques de gestion d'identité et d'accès (IAM).
- Comprendre le paysage de la menace informatique pour le secteur.
- Assurer le respect continu des lois et des règlements applicables.
- Planifier des audits de sécurité périodiques.
- Effectuer une formation à la sensibilisation et à la sécurité de l'ensemble du personnel et en assurer la conformité.
- Gérer toutes les équipes, les salariés comme les tiers impliqués dans la sécurité informatique.
- Embaucher, former et conseiller les membres de l'équipe de sécurité.
- Devenir un conseiller de confiance. Présenter à l'équipe de direction la politique de gestion des risques, y compris sa stratégie et le budget nécessaire.
- Choisir et acheter des produits de sécurité auprès des fournisseurs.
- Effectuer des recherches et des enquêtes judiciaires numériques.

Voilà pour la description de fonction. En face, le RSSI doit présenter des aptitudes et des compétences pour assurer son poste, ainsi que les certificats ou les diplômes nécessaires.

Les compétences techniques clés comprennent :

- La capacité à quantifier les risques des différentes architectures informatiques, puis à expliquer aux autres responsables comment gérer ce risque.
- La capacité à travailler avec des data scientists pour détecter et répondre aux menaces.
- La capacité à surveiller les tests pour trouver des vulnérabilités dans tous les éléments d'un système de sécurité.
- La récupération après sinistre, y compris pour la détection d'une intrusion, l'isolement et la neutralisation avant qu'elle ne puisse causer d'autres dégâts.
- La gestion des données et de l'information, y compris pour la classification, la conservation et la destruction. Cela signifie également que les données personnelles sont privées et sécurisées, tout en étant nécessaires, et détruites lorsqu'elles ne sont plus nécessaires.
- La médecine légale numérique, c'est-à-dire découvrir ce qui a permis une intrusion pour éviter le même incident dans le futur.
- L'expertise en matière de sécurité et de gestion des événements (SIEM).
- La connaissance de toutes les lois applicables et des cadres de conformité pour les faire respecter.

PublicitéDes compétences plus générales ne sont pas de trop pour communiquer, planifier, superviser. Le RSSI doit également être certifié et vérifier que les systèmes dont il a la responsabilité le sont également.

Taylor Armerding / IDG News Service (adapté par Didier Barathon)