Responsable de la sécurité du système d'information[modifier | modifier le code] Article détaillé : Responsable de la sécurité du système d'information

odifier le code]
Article détaillé : Politique de sécurité informatique.
La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés.
La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, c'est-à-dire :
élaborer des règles et des procédures, installer des outils techniques dans les différents services de l'organisation (autour de l'informatique) ;
définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ;
sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations ;
préciser les rôles et responsabilités.
La politique de sécurité est donc l'ensemble des orientations suivies par une entité en matière de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.
Responsable de la sécurité du système d'information[modifier | modifier le code]
Article détaillé : Responsable de la sécurité du système d'information.
Cela étant, en France, ce sont principalement les grandes sociétés, entreprises du secteur public et administrations qui ont désigné et emploient, à plein temps ou non, des « responsables de la sécurité des systèmes d'information ». Les tâches de la fonction dépendent du volontarisme politique ; les cadres ou techniciens concernés ont en général une bonne expérience informatique alliée à des qualités de pédagogie, conviction, etc. Peu à peu, le management de la sécurité informatique s'organise en domaines ou sous-domaines des services informatiques ou d'état-major ; ils sont dotés de moyens financiers et humains et intègrent les contrats de plan ou de programmes de l'entreprise.
Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers ou au RSSI (responsable de la sécurité des systèmes d'information), si ce poste existe au sein de l'organisation. Le rôle de l'administrateur informatique est donc de faire en sorte que les ressources informatiques et les droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de la conseiller sur les stratégies à mettre en œuvre, ainsi que d'être le point d'entrée concernant la communication