Dans les années 80, on devenait RSSI principalement par hasard, remarque Pierre-Luc Refalo, Directeur Associé Hapsis. L’arrivée d’Internet a peu à peu laissé le pas à l’opportunisme à la fin du 20ème siècle, pour devenir, dans les années 2000, un monde de compétition dans lequel les RSSI essaient de vivre. Il souligne la difficulté d’être RSSI de nos jours, principalement en raison de l’absence de moyens et de reconnaissance. La dimension économique apparaît aujourd’hui fondamentale, puisque le RSSI doit sans cesse défendre ses budgets. Pour lui, ces métiers sont peut-être voués à terme à devenir des métiers de vocation… Il distingue 3 profils de RSSI : le pilote, l’architecte et l’administrateur.

Pour Gérard Leymarie, RSSI Accor, ces 3 profils sont différents mais doivent aujourd’hui être quasiment uniques pour un RSSI. Il remarque une mutation profonde du métier ces dernières années et distingue 2 voies principales pour y accéder : le technique et l’auditeur informatique, chacun avec une vision différente de la sécurité. La voie technique va permettre de comprendre les outils, tandis que l’auditeur informatique va plutôt comprendre les méthodes et les enjeux. Quoi qu’il en soit, une formation est à prévoir. Cependant, rien n’existe vraiment aujourd’hui.

Le RSSI doit, selon lui, avoir un minimum de connaissances :
– un socle technique solide,
– des compétences en management transverses,
– des notions juridiques : il faut être capable de comprendre un minimum les contraintes juridiques, comme par exemple la nouvelle loi sur le respect de la vie privée et la notification des atteintes au traitement des données personnelles.
– des notions d’autoformation,
– procéder à une veille permanente (être sur le qui-vive des nouvelles menaces),
- une formation permanente. La connaissance de son entreprise est indispensable car un RSSI doit faire de la sécurité en fonction de la politique de son entreprise.
– il ne faut pas confondre conformité et sécurité. Etre conforme ne veut pas dire être sécurisé. La conformité est d’ailleurs parfois en inadéquation avec les besoins de l’entreprise.

Le métier de RSSI va évoluer vers la notion de crédibilité

Concernant les qualités humaines et comportementales, le RSSI doit être une personne de conviction, porteuse d’une vision, avoir le sens de la négociation, être pragmatique et faire preuve d’adaptabilité culturelle. Il doit également se remettre en cause constamment, être diplomate, avoir un réseau solide, comprendre où sont les enjeux politiques et savoir qui sont les gens qui tirent les ficelles au-delà de l’organigramme. Pour Gérard Leymarie, le métier de RSSI ne va évoluer que vers la notion de crédibilité.

Exercer cette profession dans un environnement aussi spécifique que celui de la santé peut s’avérer encore plus complexe. Pour Vincent Leroux, Médecin des hôpitaux, Professeur à l’école centrale de Paris, Auditeur de l’IHEDN, le monde de la santé fait depuis quelque temps une révolution numérique. A l’heure actuelle, le traitement des informations représente environ 50% du temps de travail pour les infirmières, médecins, … C’est un patrimoine informationnel très singulier, sensible à titre individuel. « Nous avons besoin de professionnels capables d’accompagner cette évolution, qui soient ouverts sur un environnement complexe ». En effet, il souligne la non-linéarité du système hospitalier. C’est un établissement et en même temps une entreprise, une particularité propre au monde de la santé. Le RSSI doit obligatoirement comprendre cette dualité complexe.

Le niveau de connaissances globales et la solidité de l’assise technique apparaissent comme des éléments fondamentaux de ce profil de poste qu’est le RSSI. C’est pourquoi l’Institut informatique & entreprise de Valenciennes propose depuis 2008 une formation en alternance au métier de chef de projet sécurité des systèmes d’information, souligne Liliane Denis-Cussaguet, Directrice de l’Institut informatique & entreprise (IIE), CCI du Valenciennois, Commandant (RC) de la gendarmerie nationale – Valenciennes. Ce titre est certifié CNCP Niveau I et porté par le Service du 1er Ministre en charge de la sécurité des S.I.