RSSI (Responsable de la Sécurité des Systèmes d'Information)
Dirigeant responsable de la stratégie de sécurité de l'information, de la posture de risque et de l'exposition réglementaire — équivalent du CISO anglo-saxon.
Le Responsable de la Sécurité des Systèmes d’Information (RSSI) est le cadre dirigeant responsable de la stratégie de sécurité d’une organisation : définition de la posture de risque, pilotage du programme sécurité, reporting au COMEX ou au CODIR sur le risque résiduel. Dans le monde anglo-saxon le même rôle s’appelle CISO (Chief Information Security Officer) ; le titre varie, la redevabilité est la même.
Le RSSI français travaille sous un faisceau d’obligations particulièrement dense :
- CNIL / RGPD. Notification d’incident à la CNIL sous 72 heures (article 33 RGPD), tenue d’un registre des traitements, mesures techniques et organisationnelles « appropriées » au sens de l’article 32. Le RSSI est en première ligne sur la chaîne de réponse à la CNIL même quand le DPO tient le stylo.
- NIS2. Pour les entités essentielles et importantes (au sens de la directive transposée), obligations de formation régulière, de gestion des risques fournisseurs, et — article 20 — responsabilité personnelle explicite des organes de direction.
- ANSSI. Référentiels (PSSI-E, guide d’hygiène, recommandations sectorielles) qui font autorité dans la pratique française même quand ils ne sont pas juridiquement contraignants.
- Sectoriel. HDS pour la santé, DORA pour la finance, LPM pour les OIV/OSE — chaque secteur ajoute sa couche.
Caractéristiques du rôle en 2026 :
- Mandat court. Les enquêtes Ponemon et CSA convergent sur une ancienneté médiane inférieure à 3 ans — l’un des plus courts du COMEX. Exposition aux brèches et burn-out sont les causes dominantes.
- Périmètre large. Cybersécurité, sécurité applicative, GRC, parfois protection des données et sécurité physique — d’une équipe de 4 personnes à une direction de plusieurs centaines selon la structure.
- Rémunération corrélée au périmètre. Les benchmarks (CSA, Heidrick & Struggles, Maze) montrent un alignement de la rémunération totale sur l’exposition réglementaire et sur la ligne de reporting (CEO/Conseil > DSI).
- Responsabilité personnelle qui s’alourdit. L’action de la SEC post-SolarWinds et le libellé explicite de l’article 20 NIS2 ont modifié l’équation juridique du poste.
Le travail le plus difficile du RSSI aujourd’hui n’est pas d’acheter plus d’outils, c’est de produire une preuve comportementale démontrable — que les collaborateurs agissent réellement plus sûrement qu’il y a un an — dans un format que l’auditeur, le conseil et le régulateur acceptent.
Termes liés
- DPO (Délégué à la Protection des Données)Rôle obligatoire au sens du RGPD, chargé de contrôler la conformité de l'organisation au droit européen de la protection des données et d'être le contact de l'autorité de contrôle.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.
- KPI comportementalIndicateur ancré sur ce que les collaborateurs font réellement dans le temps, plutôt que sur les complétions e-learning ou le taux de clic d'un test de phishing.
- Loi de Goodhart« Quand une mesure devient une cible, elle cesse d'être une bonne mesure » — le piège du taux de clic comme KPI de sécurité.
- Gestion du risque humain (HRM)Catégorie définie par Gartner qui remplace la formation à la sensibilisation par des contrôles comportementaux, mesurables et déclenchés au moment du risque.