Au sein d’une entreprise, la personne responsable de la sécurisation de l’infrastructure d’information numérique de l’entreprise est généralement connue sous le nom de directeur de la sécurité de l’information (CISO). Il incombe généralement à ce professionnel de créer et d’appliquer une posture de sécurité pour l’entreprise. Cela peut inclure tout, des procédures de traitement des informations sensibles aux méthodes de protection de l’infrastructure numérique. En tant que membre de la direction générale des dirigeants de l’entreprise, le responsable de la sécurité de l’information fonctionne généralement à un niveau élevé et peut être responsable d’un certain nombre de membres du personnel de sécurité de l’information.
La principale responsabilité d’un responsable de la sécurité de l’information est généralement de protéger l’intégrité de l’infrastructure des technologies de l’information (TI) et de toute information exclusive détenue par l’entreprise. Cela peut commencer par des solutions physiques et logicielles, telles que des pare-feu, mais s’étend souvent également au personnel. Le RSSI énoncera généralement les procédures à suivre lors du traitement d’informations privilégiées ou exclusives, afin d’éviter qu’elles ne tombent entre les mains de la concurrence. Il peut également être chargé de créer une position sur la manière de réagir en cas de rupture de procédure.
En plus de la sécurité de l’information, un RSSI peut être impliqué dans des choses comme la confidentialité et la prévention de la fraude. Ces domaines étant souvent associés à l’informatique, le RSSI sera parfois amené à créer des procédures pour prévenir la fraude et y faire face si elle se produit.
Au sein d’une structure d’entreprise typique, un responsable de la sécurité de l’information relève généralement d’un membre haut placé de la c-suite. Il peut s’agir du chef de la direction (PDG), du chef de l’exploitation (COO) ou d’un autre dirigeant, selon la société en question. Dans certains cas, le RSSI rapporte plutôt au chef du service juridique, car de nombreuses fonctions de sécurité de l’information peuvent avoir des répercussions juridiques directes.
Certaines sociétés ou entreprises plus petites peuvent supprimer les responsabilités du poste de RSSI de la c-suite. Au lieu d’avoir un mandataire social en charge de ces questions de sécurité, il peut y avoir un directeur ou un vice-président de la sécurité de l’information. Leurs responsabilités seront souvent similaires à celles d’un RSSI, simplement avec un titre et un poste différents sur le lieu de travail.
Dans certaines situations, le RSSI est responsable à la fois de la sécurité physique et informatique d’une entreprise, auquel cas il sera parfois appelé le responsable de la sécurité (CSO). La combinaison de ces rôles crée généralement une multitude de nouvelles responsabilités, car le CSO doit gérer la sécurité physique des opérations commerciales, le vol, l’espionnage d’entreprise et d’autres questions connexes. L’une des raisons de la combinaison des rôles peut être la présence croissante de la technologie en matière de sécurité physique, dans laquelle les dispositifs de surveillance et d’autres composants sont souvent liés à l’infrastructure informatique.