Garant de la continuité éthique, pas gardien du périmètre
Idées reçues fréquentes
Il verrouille les systèmes, bloque les accès, et impose des règles contraignantes pour « tout sécuriser ».
Cette vision réductrice confond contrôle rigide et résilience collective. Elle oublie que la sécurité, quand elle étouffe l’usage, crée plus de risques qu’elle n’en résout et qu’un RSSI éclairé protège les missions, pas seulement les machines.
Ses missions
Le Responsable cybersécurité (RSSI) définit, déploie et anime la politique de sécurité d’une organisation, en alignant les mesures techniques, humaines et organisationnelles sur ses valeurs, ses risques réels et sa capacité à maintenir ses activités en conditions dégradées.
Il·elle ne se contente pas de suivre des normes (ISO 27001, ANSSI), mais les adapte à l’échelle humaine : une association n’a pas les mêmes besoins qu’une banque.
Il·elle promeut des pratiques sobres, reproductibles et transmissibles : sauvegardes chiffrées, chiffrement de bout en bout, gestion fine des accès, auto-hébergement critique, et formation continue sans culpabilisation.
Son but : que la sécurité n’entrave pas la mission, mais la rende plus digne, plus durable, plus souveraine.
Le sens du métier
Transformer la cybersécurité d’une contrainte subie en une posture collective assumée où chaque personne comprend non pas « ce qu’il ne faut pas faire », mais ce qu’elle peut maîtriser.
Champ d’action
- Évaluer les actifs critiques (données sensibles, outils de production, archives)
- Cartographier les risques réalistes (erreurs humaines, obsolescence, dépendance cloud)
- Définir une politique de sécurité proportionnée et vivante (pas un document figé)
- Mettre en place des sauvegardes résilientes (ex. : 3-2-1 chiffré, avec rsync + Borg)
- Auditer les fournisseurs et services (hébergement, SaaS, messagerie)
- Former sans jargon, avec des cas concrets liés aux usages réels
- Coordonner la réponse aux incidents avec calme et transparence
- Promouvoir des alternatives open source, auto-hébergées, hors surveillance (Proton, Tails, NAS, DDEV local)
Outils et terrains
Frameworks ANSSI, ISO 27001 (adaptés), GPG, KeePassXC, BorgBackup, rclone, OpenSSH, Fail2Ban, outils de gestion des identités (Keycloak en auto-hébergé), tableaux de risques collaboratifs (en Markdown ou sur un wiki local)
(Préférence pour les outils sans compte central, scriptables, auditables, et fonctionnant hors ligne)
Confusions fréquentes
Pas un policier informatique : il·elle n’impose pas des règles arbitraires, mais construit un cadre de confiance partagé.
Pas un technicien de la panique : il·elle ne réagit qu’en crise, mais prépare en amont, calmement.
Pas un vendeur de solutions : il·elle ne sous-traite pas la sécurité à un prestataire opaque, mais renforce les capacités internes.
Rémunération indicative (France, brut annuel)
– Junior / RSSI dans une PME : 50 000 € – 65 000 €
– Confirmé·e (PME ou structure intermédiaire) : 65 000 € – 85 000 €
– Senior (grands groupes, institutions critiques) : 85 000 € – 110 000 €+
(Dans les structures éducatives, culturelles ou associatives, le rôle est souvent assuré par un profil hybride — tech + éthique — avec une rémunération plus modeste mais un impact plus aligné.)
Où le rencontrer ?
Hôpitaux, universités, collectivités locales, banques, assureurs, mais aussi coopératives numériques, maisons de l’éducation populaire, structures de l’économie sociale et solidaire, et de plus en plus, dans des organisations qui migrent vers des NAS auto-hébergés, des messageries chiffrées et des environnements de dev locaux.
Autres appellations
RSSI, Chief Information Security Officer (CISO) en contexte francophone, Responsable sécurité IT, Directeur de la sécurité numérique