Processus de désignation du RSSI dans les établissements d’Enseignement Supérieur

Préambule

Dans l’esprit de la circulaire 901 de l'ANSSI ainsi que du Schéma Directeur de la Sécurité des Systèmes d’Information du Ministère de tutelle, chaque établissement d’enseignement supérieur est invité à mettre en place une chaîne fonctionnelle de la Sécurité des Systèmes d’Information (SSI). Le sommet de cette chaîne comprend l’AQSSI (Autorité Qualifiée de Sécurité des Systèmes d’Information), qui est généralement l’autorité hiérarchique (la personne juridiquement responsable), le RSSI (Responsable de la SSI) ainsi que le RSSI suppléant. Il est préconisé de consolider ce socle minimum par un réseau interne de correspondants de SSI (ou chargés de SSI ) dans les différentes composantes (services, UFR, laboratoires, etc.) de l’établissement travaillant en lien étroit avec le RSSI et le RSSI suppléant.

Le RSSI et le RSSI suppléant sont désignés par l’AQSSI qui leur remet une « lettre de mission » explicitant leurs attributions (cf. éléments de lettre de mission - accès limité). Ils réfèrent directement à l’AQSSI pour les questions formelles et pour les dossiers « sensibles ». Leur positionnement dans la chaîne fonctionnelle de la SSI,les conduit à avoir des contacts avec le FSSI (Fonctionnaire de la SSI, dépendant du Haut Fonctionnaire de Défense et de Sécurité du Ministère de tutelle), ainsi qu’avec le CERT RENATER, l'ANSSI, la cellule technique du CRU en charge de la coordination logistique des RSSI, etc.

Le RSSI étant un maillon important de la chaîne fonctionnelle SSI, sa désignation doit faire l’objet d’une attention particulière et suivre les étapes précisées ci-dessous.

Processus de désignation du RSSI et du RSSI suppléant

  • (1) L’AQSSI désigne le RSSI et lui remet une « lettre de mission » (document précisant ses attributions).
  • (2) L’AQSSI en informe l’ADDIR1).
  • (3a) l'ADDIR renseigne l'annuaire CORI avec les coordonnées du nouveau RSSI.
  • (3b) L'ADDIR fait en sorte que l'AQSSI signe le formulaire de désignation du RSSI et transmet celui-ci par voie postale à l'attention de :
    Monsieur Benoît MOREAU
    Service du Haut fonctionnaire de défense et de sécurité
    99 rue de Grenelle
    75357 PARIS 07SP
    .
  • (4) À réception du formulaire, la FSSI valide les informations dans CORI. Le formulaire, reçu par la FSSI doit contenir les mêmes informations que celles précédemment saisies dans la base CORI par l'ADDIR.
  • (5a) Cette validation a pour effet d'abonner automatiquement le RSSI à la liste rssi@recherche.gouv.fr, ses coordonnées sont alors accessibles aux personnes dûment autorisées.
  • (5b) De plus le RSSI obtient automatiquement les droits d'accès à l'intranet des RSSI.

La désignation du RSSI ne devient effective que si les actions (3a) et (3b) ont été correctement menées.

Plus d'information sur la désignation des ADDIR dans la FAQ de CORI

1) Autorité Déléguée à la Désignation des Correspondants Informatique et Réseau