Rôles Et Responsabilités En Cybersécurité En France
Rôle ou fonction | Responsabilités principales | Pouvoirs ou habilitations | Niveau de responsabilité | Désignation écrite nécessaire |
|---|---|---|---|---|
Gouvernance | ||||
Direction générale | Fixer la stratégie cyber, arbitrer les risques, allouer les moyens. | Valider la PSSI, accepter les risques majeurs, déclencher une crise. | Critique | true |
Pilotage opérationnel | ||||
Responsable de la sécurité des systèmes d’information (RSSI) | Définir, maintenir et piloter le dispositif de sécurité SI. | Émettre des exigences, contrôler leur application, alerter la direction. | Critique | true |
Directeur des systèmes d’information (DSI) | Exploiter le SI, déployer les mesures, assurer disponibilité et maintenance. | Prioriser les chantiers IT, mobiliser les équipes techniques. | Élevé | true |
Contrôle | ||||
Délégué à la protection des données (DPO) | Conseiller, contrôler la conformité RGPD et traiter les violations de données. | Accéder aux informations, conseiller, alerter, coopérer avec la CNIL. | Élevé | true |
Gouvernance | ||||
Responsable de traitement | Déterminer finalités, moyens et sécurité des traitements de données personnelles. | Décider des traitements, mesures de sécurité et sous-traitants. | Critique | true |
Support | ||||
Sous-traitant de données personnelles | Traiter les données sur instruction et garantir la sécurité contractuelle. | Agir selon contrat, alerter sur incidents, proposer sous-traitance ultérieure. | Élevé | true |
Gouvernance | ||||
Comité de sécurité des systèmes d’information | Suivre les risques, prioriser les actions, arbitrer les dérogations. | Valider plans d’actions, exceptions et indicateurs de sécurité. | Élevé | true |
Comité des risques | Intégrer les risques cyber dans la cartographie des risques. | Escalader les risques majeurs et proposer des traitements. | Élevé | true |
Contrôle | ||||
Risk manager | Évaluer, consolider et suivre les risques cyber d’entreprise. | Demander évaluations, suivre plans de traitement, reporter aux instances. | Élevé | true |
Audit interne | Évaluer l’efficacité de la gouvernance et des contrôles cyber. | Auditer, accéder aux preuves, formuler recommandations et suivis. | Élevé | true |
Contrôle interne | Vérifier l’application régulière des contrôles et procédures de sécurité. | Collecter preuves, signaler écarts, suivre remédiations. | Moyen | true |
Responsable conformité | Surveiller obligations légales, réglementaires et contractuelles liées au SI. | Émettre avis conformité et demander plans de mise en conformité. | Élevé | true |
Support | ||||
Direction juridique | Analyser obligations, contrats, preuves, responsabilités et notifications. | Valider clauses, conseiller décisions, saisir conseils externes. | Élevé | true |
Direction des ressources humaines | Intégrer sécurité dans embauche, sensibilisation, discipline et départs. | Déclencher formations, gérer sanctions, notifier arrivées et départs. | Élevé | true |
Service achats | Intégrer exigences cyber dans appels d’offres et contrats fournisseurs. | Exiger preuves, clauses sécurité et évaluations fournisseur. | Moyen | true |
Pilotage opérationnel | ||||
Responsable des fournisseurs critiques | Surveiller risques, engagements et incidents des prestataires critiques. | Demander audits, plans correctifs et restrictions d’accès fournisseur. | Élevé | true |
Métier | ||||
Propriétaire d’actif informationnel | Classer l’actif, définir besoins de sécurité et valider accès. | Autoriser accès, accepter risques résiduels, demander protections. | Élevé | true |
Responsable métier | Exprimer besoins, valider impacts métiers et appliquer règles sécurité. | Prioriser exigences métiers et approuver usages dans son périmètre. | Moyen | true |
Utilisateur du système d’information | Respecter la PSSI, protéger identifiants, signaler anomalies. | Utiliser les ressources autorisées selon son profil d’accès. | Faible | false |
Manager de proximité | Relayer règles, détecter écarts, accompagner arrivées et départs. | Demander habilitations, retraits d’accès et sensibilisations ciblées. | Moyen | false |
Exécution technique | ||||
Administrateur système | Administrer serveurs, appliquer durcissement, correctifs et supervision. | Accès privilégiés limités, changements techniques approuvés. | Élevé | true |
Administrateur réseau | Gérer segmentation, pare-feu, accès distants et supervision réseau. | Modifier règles réseau, isoler segments, bloquer flux suspects. | Élevé | true |
Administrateur sécurité | Administrer EDR, SIEM, filtrage, MFA et politiques de sécurité. | Déployer règles, bloquer menaces, ajuster configurations de sécurité. | Élevé | true |
Gestionnaire des identités et accès (IAM) | Gérer cycles de vie des comptes, droits, MFA et revues. | Créer, modifier, suspendre comptes selon workflow validé. | Élevé | true |
Gestionnaire des accès privilégiés (PAM) | Contrôler coffres-forts, sessions, secrets et comptes administrateurs. | Accorder accès temporaires, révoquer privilèges, imposer traçabilité. | Critique | true |
Responsable des sauvegardes | Planifier, protéger, tester et restaurer les sauvegardes critiques. | Lancer restaurations, isoler sauvegardes, signaler échecs. | Élevé | true |
Responsable gestion des correctifs | Prioriser, déployer et suivre correctifs de sécurité. | Planifier fenêtres, imposer correctifs urgents, reporter exceptions. | Élevé | true |
Pilotage opérationnel | ||||
Responsable gestion des vulnérabilités | Organiser scans, qualifier risques et suivre remédiations. | Exiger correction, escalader vulnérabilités critiques, lancer vérifications. | Élevé | true |
Exécution technique | ||||
Centre opérationnel de sécurité (SOC) | Surveiller événements, détecter menaces et qualifier alertes. | Créer alertes, escalader incidents, demander isolement technique. | Élevé | true |
CSIRT ou CERT interne | Coordonner analyse, confinement, éradication et retour d’expérience incidents. | Isoler systèmes, collecter preuves, coordonner remédiations urgentes. | Critique | true |
Pilotage opérationnel | ||||
Responsable gestion des incidents cyber | Déclencher processus incident, coordonner acteurs et suivre décisions. | Activer cellule incident, prioriser actions, notifier direction. | Critique | true |
Gouvernance | ||||
Cellule de crise cyber | Piloter crise majeure, arbitrer continuité, communication et priorités. | Déclencher PCA/PRA, décider isolements, valider communications sensibles. | Critique | true |
Pilotage opérationnel | ||||
Responsable continuité d’activité (PCA) | Définir scénarios, priorités de reprise et exercices de continuité. | Activer PCA, coordonner métiers, demander ressources de continuité. | Élevé | true |
Responsable plan de reprise informatique (PRA) | Préparer restauration technique, prioriser systèmes et tester reprise. | Lancer PRA, mobiliser infrastructures de secours, arbitrer séquencement. | Élevé | true |
Support | ||||
Responsable communication de crise | Préparer messages internes, clients, médias et parties prenantes. | Diffuser communications validées et coordonner porte-parole. | Élevé | true |
Porte-parole incident cyber | Porter les messages validés pendant un incident majeur. | S’exprimer publiquement uniquement selon mandat de crise. | Moyen | true |
Pilotage opérationnel | ||||
Responsable classification de l’information | Définir niveaux de sensibilité et règles de manipulation. | Imposer marquage, restrictions de partage et règles de conservation. | Élevé | true |
Exécution technique | ||||
Responsable cryptographie et certificats | Gérer clés, certificats, algorithmes et politiques de chiffrement. | Émettre, révoquer, renouveler certificats et imposer chiffrement. | Élevé | true |
Architecte sécurité | Concevoir architectures sécurisées, segmentation et défense en profondeur. | Émettre avis d’architecture et conditions de sécurité préalables. | Élevé | true |
Pilotage opérationnel | ||||
Chef de projet informatique | Intégrer exigences sécurité, jalons de validation et risques projet. | Planifier revues sécurité et refuser livrables non conformes. | Moyen | false |
Exécution technique | ||||
Responsable sécurité applicative | Piloter exigences AppSec, revues de code, tests et remédiations. | Bloquer mise en production en cas de risque critique. | Élevé | true |
Développeur | Coder de manière sécurisée, corriger failles et protéger secrets. | Modifier code, proposer correctifs et refuser pratiques risquées. | Moyen | false |
Référent DevSecOps | Intégrer contrôles sécurité dans CI/CD et infrastructures as code. | Configurer pipelines, imposer scans, bloquer déploiements vulnérables. | Élevé | true |
Responsable sécurité cloud | Sécuriser configurations cloud, IAM, journalisation et données hébergées. | Valider architectures cloud, corriger configurations, suspendre ressources exposées. | Élevé | true |
Pilotage opérationnel | ||||
Correspondant sécurité local | Relayer PSSI, remonter incidents et suivre actions locales. | Demander corrections locales et escalader au RSSI. | Moyen | true |
Référent sécurité projet | Identifier exigences sécurité et suivre leur mise en œuvre projet. | Exiger revues, tests et validations avant mise en production. | Moyen | true |
Gouvernance | ||||
Autorité d’homologation sécurité | Décider l’homologation selon risques, mesures et durée définies. | Autoriser, refuser ou conditionner l’emploi d’un système. | Critique | true |
Contrôle | ||||
Équipe d’homologation sécurité | Préparer analyse de risques, preuves, mesures et dossier d’homologation. | Demander preuves, audits, tests et plans de traitement. | Élevé | true |
Support | ||||
Responsable sensibilisation cybersécurité | Planifier formations, campagnes phishing et communication préventive. | Imposer modules obligatoires et mesurer participation. | Moyen | true |
Support informatique | Assister utilisateurs, appliquer procédures et signaler incidents. | Réinitialiser accès selon contrôle d’identité et procédure validée. | Moyen | false |
Exécution technique | ||||
Responsable inventaire des actifs | Maintenir inventaire des matériels, logiciels, services et propriétaires. | Exiger déclaration d’actifs et signaler équipements inconnus. | Moyen | true |
Responsable journalisation et traces | Définir, collecter, protéger et conserver les journaux utiles. | Activer logs, restreindre accès, extraire traces d’incident. | Élevé | true |
Support | ||||
Responsable sécurité physique | Protéger locaux, salles serveurs, supports et accès physiques. | Gérer badges, zones sensibles et contrôles d’accès physiques. | Élevé | true |
Pilotage opérationnel | ||||
Responsable sécurité industrielle (OT) | Sécuriser automates, supervision, segmentation OT et contraintes industrielles. | Valider changements OT et imposer mesures compensatoires. | Critique | true |
Exécution technique | ||||
Administrateur bases de données (DBA) | Administrer bases, accès, sauvegardes, chiffrement et performances. | Gérer privilèges base, restaurer données, appliquer correctifs. | Élevé | true |
Responsable sécurité des postes de travail | Durcir postes, gérer antivirus, EDR, chiffrement et mises à jour. | Déployer configurations, isoler postes et retirer logiciels non autorisés. | Élevé | true |
Pilotage opérationnel | ||||
Responsable mobilité et télétravail sécurisé | Définir règles VPN, terminaux mobiles, MDM et accès distants. | Autoriser terminaux, imposer MFA, révoquer accès distants risqués. | Élevé | true |
Exécution technique | ||||
Responsable sécurité messagerie | Configurer anti-spam, SPF, DKIM, DMARC et protection pièces jointes. | Bloquer domaines, quarantaines, règles et comptes compromis. | Élevé | true |
Support | ||||
Responsable documentation sécurité | Maintenir politiques, procédures, registres, preuves et versions. | Publier documents approuvés et archiver versions obsolètes. | Moyen | true |
Contrôle | ||||
Responsable tests d’intrusion | Planifier audits techniques, périmètres, autorisations et remédiations. | Autoriser tests encadrés, recevoir rapports, exiger corrections. | Élevé | true |
Prestataire d’audit SSI qualifié PASSI | Réaliser audits organisationnels, techniques ou tests d’intrusion qualifiés. | Auditer selon lettre de mission et restituer constats. | Élevé | true |
Référent conformité NIS 2 | Suivre exigences NIS 2, mesures de gestion des risques et notifications. | Demander preuves, coordonner déclaration d’incidents et plans conformité. | Élevé | true |
Gouvernance | ||||
Responsable sécurité OIV ou OSE | Piloter obligations de sécurité applicables aux systèmes essentiels. | Coordonner avec ANSSI, appliquer règles sectorielles, déclarer incidents. | Critique | true |
Contrôle | ||||
Référent services cloud de confiance | Évaluer exigences de confiance, localisation, souveraineté et qualification cloud. | Recommander services qualifiés et refuser cloud non conforme. | Élevé | true |
Support | ||||
Responsable assurance cyber | Gérer police cyber, exclusions, déclarations sinistres et exigences assureur. | Déclarer sinistre, coordonner expert assureur, demander preuves de conformité. | Moyen | true |
Contrôle | ||||
Responsable preuves numériques | Préserver journaux, images, horodatages et chaîne de conservation. | Collecter éléments, restreindre accès, transmettre aux autorités autorisées. | Élevé | true |
Support | ||||
Correspondant autorités cyber | Centraliser échanges avec ANSSI, CERT-FR, CNIL ou forces de l’ordre. | Transmettre informations validées et suivre demandes officielles. | Élevé | true |
Contrôle | ||||
Responsable notification des violations de données | Qualifier violation, documenter registre et notifier CNIL si requis. | Collecter faits, recommander notification et préparer communication personnes. | Critique | true |
Support | ||||
Responsable registre des traitements | Tenir registre RGPD avec mesures de sécurité et destinataires. | Demander informations aux métiers et mettre à jour le registre. | Moyen | true |
Contrôle | ||||
Responsable analyse d’impact (AIPD) | Évaluer risques vie privée et mesures de sécurité associées. | Demander mesures supplémentaires et consulter le DPO. | Élevé | true |
Support | ||||
Responsable conservation et suppression des données | Définir durées, purge, archivage et destruction sécurisée. | Ordonner suppressions, anonymisations et contrôles de conservation. | Moyen | true |
Responsable destruction des supports | Organiser effacement, destruction, traçabilité et recyclage des supports. | Valider prestataires, certificats de destruction et sorties d’actifs. | Moyen | true |
Pilotage opérationnel | ||||
Responsable gestion des changements | Encadrer demandes, validations, tests, retours arrière et urgences. | Approuver, refuser ou planifier changements selon criticité. | Élevé | true |
Gouvernance | ||||
Comité d’approbation des changements sécurité | Arbitrer changements sensibles affectant disponibilité, intégrité ou confidentialité. | Autoriser changements majeurs, imposer tests ou reports. | Élevé | true |
Exécution technique | ||||
Responsable disponibilité et capacité | Surveiller capacité, redondance, disponibilité et seuils critiques. | Déclencher montée en capacité et actions de maintien de service. | Moyen | true |
Contrôle | ||||
Référent services de confiance eIDAS | Suivre exigences signatures, certificats, horodatage et identité numérique. | Valider prestataires de confiance et exigences contractuelles associées. | Moyen | true |
Référent conformité DORA | Suivre résilience opérationnelle numérique et risques TIC financiers. | Exiger preuves DORA, coordonner tests, incidents et tiers TIC. | Élevé | true |
Gouvernance | ||||
RSSI groupe | Définir cadre commun, standards et reporting cyber consolidé. | Imposer socle sécurité groupe et arbitrer exceptions transverses. | Critique | true |
Pilotage opérationnel | ||||
RSSI filiale ou entité | Décliner PSSI groupe et piloter sécurité de l’entité. | Adapter mesures locales, remonter risques et incidents groupe. | Élevé | true |
Gouvernance | ||||
Responsable budget cybersécurité | Préparer budget, suivre dépenses et financer plans de sécurité. | Allouer enveloppes, prioriser investissements et arbitrer ressources. | Élevé | true |
Contrôle | ||||
Référent secret des affaires | Identifier informations protégées et mesures raisonnables de protection. | Imposer classification, restrictions d’accès et clauses de confidentialité. | Élevé | true |
Support | ||||
Responsable charte informatique | Rédiger, maintenir et diffuser règles d’usage du SI. | Proposer mises à jour et coordonner consultation interne nécessaire. | Moyen | true |
Contrôle | ||||
Comité social et économique (CSE) | Être informé ou consulté sur dispositifs impactant les salariés. | Rendre avis et demander informations sur outils de contrôle. | Moyen | false |
Métier | ||||
Valideur d’habilitations métier | Approuver droits applicatifs selon besoin d’en connaître. | Valider, refuser ou retirer droits dans son périmètre. | Moyen | true |
Contrôle | ||||
Responsable revue des accès | Organiser revues périodiques des comptes et droits sensibles. | Demander retrait, justification ou correction d’habilitations. | Élevé | true |
Exécution technique | ||||
Responsable segmentation réseau | Définir zones, flux autorisés, cloisonnement et filtrage. | Bloquer flux, isoler zones et durcir règles de filtrage. | Élevé | true |
Responsable gestion des secrets | Protéger mots de passe techniques, clés API, tokens et secrets CI/CD. | Révoquer secrets exposés et imposer coffre-fort sécurisé. | Élevé | true |
Responsable sécurité des API | Sécuriser authentification, autorisations, quotas et exposition des API. | Exiger tests API, désactiver endpoints et imposer contrôles. | Élevé | true |
Contrôle | ||||
Responsable dérogations de sécurité | Enregistrer, évaluer, limiter et suivre les exceptions PSSI. | Recommander acceptation, refus, durée et mesures compensatoires. | Élevé | true |
Support | ||||
Responsable mesures disciplinaires PSSI | Gérer suites disciplinaires des violations de règles internes. | Engager procédure disciplinaire selon règlement intérieur et droit du travail. | Moyen | true |
Pilotage opérationnel | ||||
Responsable veille cyber | Suivre alertes, vulnérabilités, menaces sectorielles et recommandations. | Diffuser alertes, recommander correctifs urgents et mesures temporaires. | Élevé | true |
Responsable indicateurs cybersécurité | Définir KPI/KRI, collecter données et produire tableaux de bord. | Demander métriques aux équipes et signaler dérives. | Moyen | true |
Exécution technique | ||||
Responsable authentification | Définir règles mots de passe, MFA, verrouillage et récupération. | Imposer MFA, réinitialiser politiques et bloquer authentifications faibles. | Élevé | true |
Pilotage opérationnel | ||||
Responsable prévention rançongiciel | Coordonner sauvegardes, durcissement, sensibilisation et réponse ransomware. | Prioriser mesures anti-rançongiciel et déclencher plans d’urgence. | Élevé | true |
Responsable maintien en condition de sécurité (MCS) | Maintenir configurations, correctifs, supervision et conformité technique. | Prioriser actions MCS et escalader obsolescences critiques. | Élevé | true |
Quels Rôles Faut-Il Formaliser Dans Une Politique De Cybersécurité En France ?
Une politique de cybersécurité française devrait identifier par écrit au minimum les rôles critiques suivants : direction générale, RSSI, DPO, administrateurs privilégiés, propriétaires d’actifs, responsables de traitement et équipe de gestion des incidents. Cette formalisation facilite la démonstration de responsabilité, notamment au regard du RGPD et des exigences de gouvernance attendues par l’ANSSI.
Comment Répartir Les Responsabilités Entre RSSI, DPO Et Direction ?
Le RSSI pilote la sécurité opérationnelle, la direction générale arbitre les risques et les moyens, tandis que le DPO conseille et contrôle la conformité des traitements de données personnelles. En France, il est utile d’éviter de confondre ces fonctions : le DPO doit conserver une indépendance suffisante, alors que le RSSI peut recevoir des pouvoirs opérationnels de sécurité.
Quels Acteurs Doivent Intervenir En Cas D’Incident Cyber ?
La gestion d’un incident ne relève pas seulement de l’informatique. La politique doit prévoir une chaîne courte associant RSSI, CERT ou CSIRT interne, DSI, DPO, juridique, communication, direction générale et, si nécessaire, référent de crise. Cette répartition est particulièrement importante pour respecter les délais de notification RGPD et, pour certaines entités, les obligations issues de NIS 2.
Pourquoi Identifier Les Pouvoirs Est Aussi Important Que Les Responsabilités ?
Chaque rôle sensible doit avoir des pouvoirs explicites : suspension d’un compte, isolement d’un système, validation d’un accès privilégié, acceptation d’un risque résiduel, déclenchement d’une cellule de crise ou notification à une autorité. Sans habilitation claire, les mesures de sécurité peuvent être retardées ou contestées en interne.

FAQs
Vous Pourriez Aussi Être Intéressé Par
