Le RSSI dans son établissement


Désignation, missions


Désignation du RSSI

Lettre de mission

La désignation du RSSI s’accompagne d’une lettre de mission.
Un document avec des éléments d’une lettre de mission est accessible dans l’Intranet RSSI.

La gouvernance de la SSI


  • AQSSI
    • responsabilité globale du niveau de sécurité requis, responsabilité juridique
    • veille à la mise en œuvre des dispositions réglementaires
    • procède aux arbitrages, aux contrôles, aux dépôts de plainte
  • Structure de pilotage de la SSI :
    • aide à l’élaboration et validation des référentiels documentaires
    • définition avec le RSSI des orientations SSI et principalement la PSSI
  • FSD :
    • protection du patrimoine scientifique et technique
    • préparation et l’exécution des plans de défense et de sécurité (Vigipirate, Piranet)
    • protection du secret (habilitations)
    • une interaction certaine avec la SSI

Le référentiel documentaire interne


  • Chartes des utilisateurs des SI
    • pour les étudiants
    • pour les personnels (éléments de charte nationale existants)‏
  • La PSSI de son établissement
    • et PSSI spécifiques composantes (si jugée nécessaire)
  • Description de la chaîne fonctionnelle de la SSI
  • Cartographie des système vitaux
  • Rapport annuel sur la SSI
  • Tableau de bord SSI
  • PRA : Plan de reprise d'activité
  • Politique de gestion des traces

Autres interlocuteurs au sein de son établissement

  • Service de communication :
    • sensibilisation à la SSI
    • plan de communication de crise
  • Service juridique :
    • suivi procédure judiciaire (le cas échéant)
    • conseil au RSSI
  • Correspondants SSI dans les composantes, laboratoires, services :
    • « chaîne opérationnelle » sur le terrain
      • mise en œuvre de la PSSI
      • réaction en cas d’incident (chaîne d’alerte)
      • formation et sensibilisation des utilisateurs
      • transmission d'informations (vulnérabilités, incidents…)‏

Les Délégué à la protection des données de notre communauté

Les délégués à la protection des données (DPD ou Data Protection Officer : DPO) sont des interlocuteurs privilégiés des RSSI, car leurs préoccupations se rejoignent :

  • le RSSI doit, entre autres missions, veiller à ce que le système d'information soit conforme à la réglementation, et en particulier à la loi Informatique et Libertés ;
  • les données à caractère personnel sont, par nature, des données auxquelles il faut limiter l'accès ;
  • le DPD doit émettre des recommandations sur les mesures de sécurité dont doivent bénéficier les données nominatives, de telle sorte que le niveau de sécurité soit “proportionnel” à la finalité du traitement.

La désignation d'un DPD (ou DPO) est obligatoire. Pour plus d'informations sur sa fonction et ses compétences, il est conseillé de consulter le guide édité par la CNIL.