3.3 Rôles, responsabilités et autorités (GV.RR)
Objectif de la catégorie
Cette catégorie vise à établir une gouvernance claire et structurée de la cybersécurité. Chaque acteur impliqué doit connaître ses responsabilités, disposer de l’autorité nécessaire, et contribuer à l’amélioration continue de la posture cybersécurité.
Attention
Une cybersécurité efficace repose sur une répartition rigoureuse et assumée des rôles. L’ambiguïté crée des angles morts.
GV.RR-01 : Responsabilité de la direction sur la cybersécurité
- La direction générale doit reconnaître explicitement sa responsabilité en matière de cybersécurité :
- Approbation des politiques SSI
- Attribution de budget et ressources
- Suivi des indicateurs de risque
- Elle doit aussi soutenir une culture de la cybersécurité : éthique, transparence, amélioration continue.
Tip
Prévoir une charte de responsabilité SSI signée par les membres du COMEX.
GV.RR-02 : Rôles et responsabilités établis, communiqués et appliqués
- Cartographier les rôles cybersécurité internes et externes :
- RSSI, DPO, responsable réseau, métiers, fournisseurs
- Chaque rôle doit être :
- Formalisé dans des fiches de poste / responsabilités
- Communiqué aux personnes concernées
- Appliqué et contrôlé dans les processus
Exemple de fiche synthétique de rôle RSSI :
| Élément | Contenu |
|---|---|
| Rôle | Responsable de la sécurité des systèmes d’information |
| Autorité | Représentation en comité de direction |
| Responsabilités clés | Politique SSI, supervision des audits, gestion des incidents |
| Interactions | DSI, DPO, métiers, prestataires |
GV.RR-03 : Allocation adéquate des ressources
- Les ressources doivent être dimensionnées selon :
- Le périmètre couvert (bureaux, filiales, SI critiques…)
- Le niveau de risque (ex : SI métier vs site vitrine)
- Ressources concernées :
- Humaines : FTE, RSSI, SOC, analystes…
- Financières : budget SSI dédié, cyber-assurance
- Outils : EDR, SIEM, MDM, GRC…
Failure
Confier toute la cybersécurité à un technicien système junior est un échec courant.
GV.RR-04 : Intégration de la cybersécurité dans les RH
- Les pratiques RH doivent intégrer la SSI :
- Recrutement (profils sensibles, habilitations)
- Onboarding (formation initiale à la sécurité)
- Offboarding (désactivation immédiate, récupération d’équipements)
- Contrats de travail : clauses de confidentialité, charte informatique, engagements SSI
Example
Un modèle RH sécurisé inclura un formulaire d’habilitation + matrice d’accès validée par le manager + désactivation planifiée.
Synthèse opérationnelle
| Élément | Outils / Bonnes pratiques |
|---|---|
| Gouvernance de direction | Feuille de route cybersécurité approuvée au COMEX |
| Rôles SSI | Registre des rôles, fiches de responsabilité |
| Autorités | Charte de délégation, comité SSI |
| Ressources | Budget dédié + reporting trimestriel |
| RH & SSI | Checklists onboarding/offboarding + formations |