Le responsable de la sécurité des systèmes d’information pilote la cybersécurité sur son périmètre (l’entreprise dans sa totalité si celle-ci n’a pas nommé de Directeur cybersécurité, ou bien des périmètres fonctionnels, géographiques, etc.). Son positionnement (dans la DSI ? Près des Risques ?) ainsi que son niveau hiérarchique (pourquoi juste « responsable » ? Doit-il avoir accès au COMEX en l’absence d’un Directeur cybersécurité ?) font l’objet de nombreux débats. En France, le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) ou le Club de la sécurité de l’information français (CLUSIF) sont les deux associations qui portent les intérêts des RSSI et alimentent le débat sur ces sujets.
Un jour, quelqu’un a dit que le RSSI était « celui qui mange seul à la cantine ». Ce à quoi le responsable du contrôle interne a répondu : « au moins, il mange… »