Processus de désignation du RSSI dans les établissements d’Enseignement Supérieur

Préambule

En application du décrêt 2022-513 du 8 avril 2022 ainsi que de l'instruction générale interministérielle IGI-1137 du 26 octobre 2022, chaque établissement public doit disposer d'une chaîne fonctionnelle pour la sécurité du numérique (SN) et la Sécurité des Systèmes d’Information (SSI). Pour les établissements cette chaîne est constitué par l’AQSSI (Autorité Qualifiée de Sécurité des Systèmes d’Information), qui est le dirigeant exécutif de l'établissement (personne juridiquement responsable), qui s'appuie sur (au moins) un point de contact pour la sécurité du numérique. En l'occurence le RSSI titulaire (Responsable de la SSI) constitue le point de contact pour la sécurité numérique. Il est également fortement recommandé qu'il dispose d'un ou plusieurs RSSI suppléants.

En contexte ESR, il est recommandé de consolider ce socle minimum de chaine fonctionnelle SSI par un réseau interne de correspondants de SSI (ou chargés de SSI, CSSI) dans les différentes composantes (services, UFR, laboratoires, etc.) de l’établissement travaillant en lien étroit avec le RSSI et le(les) RSSI suppléant(s).

Le RSSI et le RSSI suppléant sont désignés par l’AQSSI qui idéalement leur remet une « lettre de mission » explicitant leurs attributions (cf. éléments de lettre de mission - accès limité). Ils réfèrent directement à l’AQSSI pour les questions formelles et pour les dossiers « sensibles ». Leur positionnement dans la chaîne fonctionnelle de la SSI,les conduit à avoir des contacts avec le FSSI (Fonctionnaire de la SSI, dépendant du Haut Fonctionnaire de Défense et de Sécurité du Ministère de tutelle) ainsi qu’avec le CERT RENATER, le COSSIM, l'ANSSI, …

Le RSSI étant un maillon important de la chaîne fonctionnelle SSI, sa désignation doit faire l’objet d’une attention particulière et suivre les étapes précisées ci-dessous. Dans certains cas (établissement traitant d'informations et sujets classifiées), le RSSI peut faire l'objet d'une habilitation d'accès au secret de la défense nationale, sur demande du FSD de l'établissement auprès du FSD ministériel.

Processus de désignation du RSSI titulaire

  • (1) L’AQSSI désigne le RSSI et lui remet (idéalement) une « lettre de mission » (document précisant ses attributions ou périmètre).
  • (2) L’AQSSI en informe le référent RENATER.
  • (3a) le référent RENATER applique le rôle “Sécurité” à la personne via https://pass.renater.fr.
  • (3b) À l'issue de ce processus, un formulaire prérempli est généré. Le RSSI mets ce formulaire à la signature de l'AQSSI et à envoyer aux services du HFDS
  • (4) À réception du mouvement dans Pass et du formulaire, le FSSI valide les informations dans PASS. Le formulaire, reçu par la FSSI doit contenir les mêmes informations que celles précédemment saisies dans PASS par le référent RENATER.
  • (5a) Cette validation a pour effet d'abonner automatiquement le RSSI à la liste rssi@recherche.gouv.fr, ses coordonnées sont alors accessibles aux personnes dûment autorisées.
  • (5b) De plus le RSSI obtient automatiquement les droits d'accès à l'intranet des RSSI et aux services SSI fournit par Renater.
La désignation du RSSI ne devient effective que si les actions (3a) et (3b) ont été correctement menées.

Processus de désignation de RSSI suppléant(s)

MAJ 2023 : Le processus est simplifié et peut désormais être mené par le RSSI titulaire (disposant d'une nomination active donc d'un accès Pass actif)

  • (1) Après information et accord interne de l'AQSSI, le RSSI titulaire déclare dans https://pass.renater.fr le ou les RSSI suppléants pour l'établissement.
  • (2) Les FSSI valident hebdomadairement les mouvements de RSSI suppléants.
  • (2) Cette validation a pour effet d'abonner automatiquement le(s) RSSI suppléants à la liste rssi@recherche.gouv.fr, ses coordonnées sont alors accessibles aux personnes dûment autorisées.