Le responsable de la sécurité des systèmes d’information (RSSI) protège les données et infrastructures numériques de l’administration publique. Référencé sous le code FPNUM049 du référentiel des métiers de la fonction publique (RMFP), il exerce dans les ministères, collectivités, hôpitaux et opérateurs publics. Le poste est souvent classé en catégorie A, avec une rémunération comprise entre 40 000 € et 90 000 € bruts annuels selon le statut.
Quel est le rôle du RSSI dans la fonction publique ?
Le RSSI public élabore et met en œuvre la politique de sécurité des systèmes d’information (PSSI) de son administration et coordonne la défense face aux cybermenaces. Il intervient sur 6 axes : gouvernance, gestion des risques, conformité réglementaire, sensibilisation, gestion de crise, audit technique. Son rôle a été renforcé par la directive NIS 2 transposée par la loi n° 2024-449 du 21 mai 2024.
L’ANSSI a recensé 320 incidents de sécurité majeurs visant les administrations publiques en 2024, contre 187 en 2022. Les hôpitaux publics ont concentré 11 % des cyberattaques en 2024 selon le panorama Cybermalveillance. Si l’administration n’est pas conforme à la PSSI-Etat (instruction du 17 juillet 2014), le RSSI engage la responsabilité de son chef de service.
Quelles sont les 6 missions principales du RSSI public ?
| Mission | Activité | Référentiel |
|---|---|---|
| Définir la PSSI | Politique de sécurité, charte informatique, classification des données | Instruction PSSI-E du 17 juillet 2014 |
| Analyser les risques | EBIOS Risk Manager, ISO 27005, cartographie | Méthode EBIOS RM 2018 ANSSI |
| Conduire les audits | Tests d’intrusion, audits de configuration, revues de code | RGS 2.0, PASSI |
| Gérer les incidents | Détection, qualification, remédiation, plan de continuité | NIS 2 — loi n° 2024-449 |
| Sensibiliser les agents | Formation MOOC SecNumacadémie, exercices phishing | SecNumacadémie ANSSI |
| Reporter à l’autorité | Rapport annuel SSI, comité de pilotage SSI | Décret n° 2009-834 du 7 juillet 2009 |
Quel est le cadre réglementaire applicable au RSSI public ?
3 textes structurent l’action du RSSI public : le règlement général de sécurité (RGS), la politique de sécurité des systèmes d’information de l’État (PSSI-E), et désormais la directive NIS 2 transposée le 21 mai 2024. Ces textes imposent des exigences de gouvernance, de chiffrement, de journalisation et de notification d’incident.
Quels sont les principaux référentiels de cybersécurité publique ?
- RGS 2.0 : référentiel général de sécurité approuvé par l’arrêté du 13 juin 2014, encadrant les téléservices.
- PSSI-E : politique de sécurité des systèmes d’information de l’État, instruction interministérielle du 17 juillet 2014.
- RGPD : règlement (UE) 2016/679 du 27 avril 2016, applicable depuis le 25 mai 2018.
- Directive NIS 2 : transposée par la loi n° 2024-449 du 21 mai 2024, étendant le périmètre des entités essentielles.
- SecNumCloud : référentiel ANSSI de qualification des prestataires de cloud souverain.
Si l’administration relève d’un opérateur de services essentiels (OSE) ou d’un opérateur d’importance vitale (OIV), des obligations renforcées s’appliquent au titre de la loi n° 2018-133 du 26 février 2018.
Comment devenir RSSI dans la fonction publique ?
L’accès au poste de RSSI public se fait par concours d’ingénieur informatique de catégorie A, recrutement sur contrat de droit public, ou détachement depuis le secteur privé. 4 voies sont ouvertes selon les administrations.
Tableau des voies d’accès au poste de RSSI public
| Voie | Concours / contrat | Profil ciblé |
|---|---|---|
| Ingénieur des systèmes d’information et de communication (ISIC) | Concours externe et interne, FPE | Bac+5 informatique ou télécoms |
| Ingénieur territorial | Concours externe et interne, FPT | Bac+5 informatique, master cyber |
| Ingénieur hospitalier | Concours externe et interne, FPH | Bac+5 informatique de santé |
| Contractuel sur emploi | CDD 3 ans renouvelable, CDI après 6 ans | Expert cybersécurité avec expérience privée |
| Détachement sur emploi | Mobilité depuis ANSSI, DGSI, DGSE, ministère Armées | Cadre A confirmé |
Quelles formations et certifications sont attendues ?
- Master 2 cybersécurité reconnu par l’ANSSI : Mastère SecNumEdu (CentraleSupélec, INSA, ESIEA, ENSIBS).
- Certifications professionnelles : CISSP, CISM, ISO 27001 Lead Auditor, EBIOS Risk Manager.
- Habilitations confidentiel-défense ou secret-défense selon le poste, instruites par la DGSI.
- Formation continue ANSSI : SecNumacadémie, CNFPT, INSP, DINUM Campus du numérique.
- Stage initial : 6 mois à l’ANSSI ou au CERT-FR pour les nouveaux RSSI ministériels.
L’ANSSI a publié en mars 2024 le référentiel des compétences du RSSI pour la sphère publique, articulé autour de 14 macro-compétences regroupées en 4 domaines : gouvernance, technique, juridique, humain.
Quel est le salaire d’un RSSI dans le public ?
Le RSSI public débute à 2 800 € bruts mensuels en catégorie A et atteint 7 500 € bruts en fin de carrière dans les ministères. Les contractuels haut niveau peuvent négocier jusqu’à 90 000 € bruts annuels selon les grilles DINUM, contre 40 000 à 150 000 € dans le secteur privé selon l’étude Hays Cybersecurity 2024.
Tableau comparatif des rémunérations RSSI public/privé
| Profil | Rémunération brute annuelle | Statut |
|---|---|---|
| RSSI débutant collectivité (3 000 hab) | 34 000 à 42 000 € | Catégorie A FPT |
| RSSI confirmé hôpital CHU | 52 000 à 68 000 € | Ingénieur hospitalier classe normale |
| RSSI ministériel | 65 000 à 90 000 € | ISIC ou contractuel DINUM |
| RSSI groupe privé CAC 40 | 120 000 à 200 000 € + variable | Statut privé |
| RSSI ANSSI / DGSI / DGSE | 75 000 à 110 000 € | Cadre supérieur catégorie A+ |
Si l’agent occupe un emploi à responsabilité supérieure (DGS, DSI, RSSI ministériel), une indemnité complémentaire NBI de 25 à 50 points est versée selon le décret n° 2006-779 du 3 juillet 2006.
Quelles primes spécifiques pour le RSSI public ?
3 dispositifs indemnitaires complètent le traitement : RIFSEEP groupe 1 (IFSE 12 000 à 22 000 € annuels), prime informatique technique, NBI emplois numériques. La prime de fonctions informatiques (PFI), instaurée par le décret n° 71-343 du 29 avril 1971, est progressivement remplacée par le RIFSEEP.
- IFSE groupe 1 : 12 000 € à 22 000 € bruts annuels selon les responsabilités et le ministère (arrêté du 27 décembre 2018).
- CIA : complément indemnitaire annuel jusqu’à 6 000 € bruts selon la manière de servir.
- NBI numérique : 25 points pour responsabilité d’équipe, 50 points pour direction d’un service ministériel SSI (décret n° 2006-779).
- Prime de risque opérationnel : 250 € mensuels pour les agents impliqués en gestion de crise cyber 24/7.
- Astreintes : indemnité forfaitaire 159,20 € par semaine pour les périodes d’astreinte SSI.
Combien de RSSI recrute la fonction publique ?
L’ANSSI a annoncé en mars 2025 le recrutement de 1 500 spécialistes cybersécurité publics sur la période 2025-2027, dont 350 RSSI ou adjoints RSSI. La DINUM, le ministère des Armées, les ARS et les hôpitaux concentrent les besoins. Les collectivités sont en sous-effectif : 38 % des intercommunalités de plus de 50 000 habitants n’ont pas de RSSI dédié selon l’AdCF 2024.
Si la collectivité ne dispose pas d’un RSSI interne, elle peut mutualiser le poste via un syndicat mixte numérique, le centre de gestion (CDG), ou le programme ACYMA — France Relance Cyber. La filière sécurité numérique compte 5 200 ETP dans la fonction publique au 1er janvier 2024 selon DGAFP.
Quelles évolutions de carrière pour un RSSI public ?
Le RSSI public peut évoluer vers DSSI ministériel, directeur DSI, expert ANSSI ou directeur des systèmes d’information. 4 trajectoires sont reconnues, avec une progression possible vers la catégorie A+ et les emplois fonctionnels.
| Évolution | Modalité | Rémunération cible |
|---|---|---|
| Directeur SSI ministériel (DSSI) | Détachement sur emploi fonctionnel | 95 000 à 130 000 € bruts |
| Auditeur ANSSI | Détachement / mise à disposition | 70 000 à 110 000 € bruts |
| DSI d’établissement public | Concours interne ou nomination | 80 000 à 110 000 € bruts |
| Expert sectoriel (santé, défense, justice) | Mobilité interne | 65 000 à 95 000 € bruts |
| Retour secteur privé | Disponibilité ou démission | 120 000 à 200 000 € bruts |
Sources officielles
- Loi n° 2024-449 du 21 mai 2024 (transposition NIS 2)
- ANSSI — Agence nationale de sécurité des systèmes d’information
- DINUM — Direction interministérielle du numérique
- Arrêté du 13 juin 2014 (RGS 2.0)
- Choisir le service public — offres RSSI FPNUM049
Article mis à jour le 4 mai 2026