Dans la peau du RSSI : Réel "Chef d'Orchestre" de la cybersécurité au sein de l'entreprise

Dans ce billet je vous ferais part de mon expérience en tant que RSSI au sein d'un groupe français. 

La plus grande phobie du RSSI (Responsable de la Sécurité des Systèmes d’Information) est de devoir faire face un jour à une cyber attaque. 

"Aïe encore une cyber attaque!!!" Très souvent ce sont les nouvelles habituelles du petit matin échangée autour d'un café avec les collègues qui nous font réagir. C'est carrément devenu une habitude d'entendre qu'une entreprise publique ou privée ait été touchée par une cyberattaque.

On en parle et on se "réjouis" du fait que ce ne soit pas passé par chez nous, mais chez le partenaire, le confrère ou le concurrent. On fait cependant preuve d'empathie en prenant des nouvelles et en proposant de l'aide.

Le risque d’intrusion est constant. La question n’est donc pas « si », mais « quand » le système d’information de l' organisation sera ciblé par une cyberattaque d’ampleur.

  • Quand ce sera notre tour ? 
  • Comment nous devrons faire face à cette situation de crise?
  • Est-ce que l'entreprise est prête à faire face à une telle crise ? 
  • Comment l'entreprise supportera et s'en remettra? 
  • Et combien de temps cela nous prendra pour tout remettre en place ?
  • Quel sera la perte business (financière) ?

Comment évaluer La perte business ? 

  • Elle regroupe les coûts d'indisponibilité des infrastructures ,
  • Le temps que vont passé les équipes IT à faire les démarches auprès des organismes (CNIL, Gendarmerie, police etc.),
  • Les coûts d'accompagnement par une entreprise spécialisée,
  • Les coûts liés à la remise en état des systèmes (récupérations des données, remise en service des serveurs, patch, acquisition d'outils SOC et EDR, etc.) ,
  • Les coûts liés à la mise en place d'une nouvelle organisation qui implique la mise en œuvre d’un système d’astreinte, pour être en mesure de répondre à toutes les situations, soirs, week-end et jours fériés inclus.

En bref une multitude d'actions qui souvent sont les conséquence d'une direction peu sensible au problématique cyber : 

  • Manque de moyens financiers et humains. 
  • Difficulté à comprendre l'intérêt de la mise en place d'une PSSI très souvent jugée comme contraignante par les directions métiers. 

Des événements malheureux qui auraient pu être évités ou tout simplement retardés pas la mise en place d'une vrai politique de sécurités (au niveau technique et organisationnel).

La politique de sécurité informatique est un ensemble de mesures et de règles qui visent à protéger les systèmes d’information d’une entreprise contre les menaces internes et externes. Elle permet de garantir la confidentialité, l’intégrité et la disponibilité des données et des systèmes informatiquesLa politique de sécurité informatique doit être adaptée aux besoins et aux risques de l’entreprise, et doit être régulièrement mise à jour pour prendre en compte les nouvelles menaces et les nouvelles technologies. Ces règles sont traduites dans un document appelé "PSSI" qui est un document de référence (validé par le PDG) qui reflète la vision stratégique de la direction de l’organisme en matière de sécurité des systèmes d’information (SSI)Elle permet de définir les objectifs à atteindre, les acteurs associés ainsi que les moyens accordés pour parvenir aux cibles. 

Comment est perçu le budget informatique par la direction générale !

Ce que voit le Hacker ! 

La responsabilité juridique du RSSI dans tout ça ?

Le responsable de la sécurité des systèmes d’information de l’entreprise (RSSI) est garant de la continuité de service et du bon fonctionnement de l’entreprise. 

Ce qui lui donne des responsabilités juridiques qu’il doit connaître. En cas d’infraction intentionnelle commise par le RSSI, il peut être déclaré personnellement pénalement et/ou civilement responsable et encourt également une sanction disciplinaire pouvant aller jusqu’au licenciement

Les règles applicables à la responsabilité sont différentes en matière de responsabilité civile d’une part ou de responsabilité pénale d’autre part, et dans le cadre de la responsabilité civile, on distinguera, suivant qu’elle s’exerce vis-à-vis de l’entreprise employeur ou qu’elle s’exerce à l’égard des tiers

Si le RSSI commet une infraction non intentionnelle, il n’encourt pas de responsabilité pénale ni civile

En responsabilité civile, le DSI ou le RSSI pourra être tenu responsable suite à une faille de sécurité des systèmes d’information en cas d’inexécution d’une obligation contractuelle ou de faute, intentionnelle ou non, commise par le DSI/RSSI ou par une personne dépendant du DSI/RSSI  

Quelques chiffres :

  • 43 % des RSSI jugent que la compromission des e-mails professionnels est la première menace, devant les ransomwares et les attaques par déni de service, tous deux à 40 %, les logiciels malveillants (37%), la compromission des comptes cloud et les menaces internes (32 % chacun).
  • 78 % des RSSI français en 2021 et 37 % en 2022 estiment ainsi ne pas être préparés à faire face à une attaque ciblée. Avec tous les évènement lié à la crise sanitaire et au conflit russo-ukrainien si les cyber menaces sont plus fortes, les RSSI sont ainsi plus optimistes car plus préparés.

Et la santé mentale ? On en parle ?

La prochaine grande menace pour la sécurité des entreprises pourrait venir de la santé mentale des responsables de la sécurité des systèmes d’information du fait de la pression à laquelle ils sont confrontés au quotidien.

  • Il m'est très souvent arrivé de ne pas dormir la crainte d'arriver un matin et de trouver la totalité du Système d'Information en "vrac". 
  • Il m'est également arrivé d'être anxieuse des semaines entières après qu'un utilisateur n'ait pas respecté une consigne important de sécurité (ex : ouverture d'une pièce jointe vérolée) et de ne pas connaître les effets à court moyen terme de son erreur. 
  • L'humain est malheureusement le premier responsable des cyber attaque. Très souvent les utilisateurs oublient d'appliquer les consignes malgré les multiples actions de sensibilisations. Peut être sous l'effet de la pressions liés a leur tâches et/ou responsabilités ?


Les niveaux de stress deviennent difficilement soutenables. On doit aussi composer avec des difficultés de recrutement et de rétention de professionnels très courtisés. La cybersécurité souffrant d’un déficit de professionnels qualifiés disponibles par rapport à la demande exprimée par les entreprises.

Selon une étude menée par le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), 61 % de ses membres ont un niveau de stress susceptible d'avoir des conséquences néfastes sur leur santé.

Il est prévu qu'n quart des responsables de la sécurité des systèmes d’information (RSSI) tourneraient le dos à la profession d’ici 2025. "Ho my god !"

Alors patrons Vous n'êtes pas encore convaincu qu'il est nécessaire d'investir en cyber sécurité ? 

Oui ça a un coût ! mais moindre par rapport aux couts engendrés pas une cyber attaque. Le but n'est pas de l'empêcher mais de réduire son impact sur l'activité et le business. Il est préférable d'anticiper les problèmes que de les subir.