Chez SOOIZ, nous considérons la démarche d’accompagnement comme un partenariat dans le temps.
La gestion de votre système d’information, et de sa sécurité nécessite des revues et des vérifications régulières pour assurer l’efficacité opérationnelle et la sécurité.
Découvrez ci-dessous les missions d’un DSI et d’un RSSI à temps partagé.
Planification et contrôles opérationnels
- Suivi du plan d’action : dans un système, il y a toujours au moins un plan d’actions, à suivre, prioriser, planifier. SOOIZ se charge de le suivre pour vous
- Maintenance préventive : Des contrôles réguliers pour garantir la performance et la fiabilité de votre système.
- Contrôle des sous-traitants et prestataires : Supervision rigoureuse des partenaires externes pour assurer une conformité et une qualité constantes
- Suivi des mesures techniques et organisationnelles mises en œuvre, suivi des indicateurs opérationnels
Amélioration continue
- Adaptation et évolution : Votre système doit évoluer pour rester en phase avec les exigences de votre organisation et les avancées en cybersécurité et technologies numériques.
- Analyse des incidents : Chaque dysfonctionnement est une occasion d’apprendre et d’améliorer. Nous examinons ces incidents pour en tirer des leçons et renforcer votre système.
Leadership / Direction
- Revues de direction : Tenir des rendez-vous de suivi avec la direction de l’organisation afin de présenter un état des lieux, de vérifier les éventuelles modifications des enjeux, des besoins, de revoir des indicateurs, l’évolution des risques, et les opportunités d’amélioration
- Reporting et indicateurs : Fournir des rapports réguliers et synthétiques sur la performance du système et de son coût. Cela afin de permettre à la direction de prendre des décisions éclairées et de mesurer l’efficacité des stratégies de sécurité et de gestion informatique.
Mise en place d’un calendrier et d’indicateurs de suivi
Le suivi de la prestation est réalisé à l’aide d’un calendrier et de la planification des actions récurrentes.
Des indicateurs sont mis en place afin de mesurer l’avancement du plan d’action et de conformité aux objectifs fixés.
Suivi interne, ou sous-traitant ?
Bien qu’un poste de responsable ou directeur informatique (RSI/DSI) à temps plein puisse être nécessaire suivant la taille de votre structure, ce n’est pas toujours le cas. Opter pour de personnel « à temps partagé » peut être une solution.
Le rôle de Responsable de la Sécurité des Systèmes d’Information (RSSI) quant à lui requiert des compétences spécifiques, une veille régulière, du temps alloué spécifiquement à la sécurité. Ce rôle pourrait être porté par le R/DSI, cependant leurs domaines de responsabilité et d’objectifs sont bien distincts et il convient de séparer leurs « pouvoirs ».
Ce qui est valable en terme d’emploi temps plein de D/RSI pour une petite ou moyenne organisation est encore plus vrai pour le poste de RSSI. Aussi recourir à des solutions à temps partagé comme propose SOOIZ est une solution régulièrement adoptée par les petites ou moyennes structures.
Notre Engagement
Forte de son expérience ISO 27001, SOOIZ adapte sa méthode de suivi au contexte et enjeux de votre organisation.
Bien entendu, si votre organisation a des contraintes pour être certifié ISO 27001, nous pouvons tenir ce rôle de RSSI. Nous pouvons également mettre en œuvre une méthode d’analyse des risques et mettre en œuvre un SMSI dans son ensemble.
Cependant, ce n’est pas le cas d’une majorité de petites et moyennes structures. SOOIZ adapte une partie des bonnes pratiques de la norme pour aider les petites et moyennes organisations à maintenir dans le temps leur système optimisé, organisé et sécurisé.
Les rôles : DSI, RSSI, DPO
Nous utilisons le terme de rôle et non de poste, en effet, un Directeur Général des Services peut très bien avoir le rôle de DSI par exemple.
Attention par contre à ne pas créer de conflit d’intérêt qui serait préjudiciable pour bien tenir un rôle.
DSI (Directeur des Systèmes d’Information)
Orienté sur la stratégie globale des systèmes d’information.
Gère l’innovation technologique et l’alignement IT-business.
Responsable de l’efficacité opérationnelle des systèmes informatiques.
RSSI (Responsable de la Sécurité des Systèmes d’Information)
Concentré sur la sécurité des systèmes d’information.
Expert en gestion des risques et en conformité liée à la sécurité.
Assure que les mesures de sécurité sont intégrées et respectées.
DPO (Délégué à la Protection des Données)
Spécialisé dans la protection des données personnelles et la conformité au RGPD (Règlement Général sur la Protection des Données).
Assure que l’entreprise respecte les lois sur la protection des données.
Conseille sur les obligations légales et traite les demandes des personnes concernées par la protection des données.
Points d’attention à cumuler des rôles :
DSI et RSSI : Les difficultés sont d’assurer un équilibre entre les objectifs de sécurité et les objectifs commerciaux/technologiques, de consacrer le temps nécessaire et de concentrer les compétences. De plus, il faut éviter les conflits d’intérêts où la sécurité pourrait être compromise pour des raisons opérationnelles.
DSI et DPO : Potentiel conflit d’intérêts entre la gestion des systèmes d’information et la protection des données personnelles. Le DPO doit avoir une indépendance pour garantir la conformité au RGPD.
RSSI et DPO : Bien que les deux rôles soient axés sur la sécurité et la conformité, il est crucial de maintenir une distinction claire entre la sécurité des systèmes et la protection des données personnelles. Là ou le RSSI va en premier lieux protéger les données d’une organisation, le DPO va lui protéger les données des personnes.