DSI et RSSI ont appris à jouer en équipe

Face à une cyberadversité qui ne désarme pas, bien au contraire, le tandem DSI-RSSI se réinvente. Désormais complices plus que rivaux, ces deux rôles essentiels naviguent entre enjeux de gouvernance, pressions budgétaires et impératifs de sécurité. Un équilibre délicat à tenir, mais vital pour piloter la transformation numérique en toute confiance.

L’année 2025 aura été celle de la « montée en puissance du cyber adversaire audacieux », selon l’éditeur Crowdstrike dans son rapport annuel. Face à cet ennemi de plus en plus protéiforme, se dresse un duo aux missions et intérêts divergents, en apparence tout au moins, le tandem DSI et RSSI.
Et de fait, bon enfant, Alain Bouillé, directeur général du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), qui a fait toute sa carrière dans l’IT et souvent sous la houlette d’un DSI, résume ainsi la relation entre ces deux postes : « Je t’aime, moi non plus. »
La formule donne à entendre la difficulté d’un équilibre à trouver entre les deux fonctions, et toute la complexité d’une relation soumise à de multiples pressions. Une relation qui évolue au rythme des transformations de l’entreprise, d’un « système d’information qui n’est plus entre quatre murs », et d’un projet en constante réinvention, celui de la cybersécurité.

Deux modèles de gouvernance

Le RSSI a longtemps été rattaché à la DSI, faisant de lui juste un collaborateur, voire un subalterne, « le forçant à batailler pour faire entendre sa voix, et faire respecter ses prérogatives auprès de la direction ».

Surtout, cette situation le privait d’un budget propre. Une spécificité française ? « Quand on est CISO outre-Atlantique, on est chef [chief, NDLR], on est donc rattaché au board, tandis que quand on est RSSI, on est juste responsable », explique en tout cas Sébastien Drouin, président du XV DSI, qui a commencé dans l’IT au Canada, avant de passer côté cybersécurité au cours d’un séjour de dix ans en Australie.

Si cette distribution des rôles perdure dans les petites et moyennes structures, ce n’est plus le cas dans les grands groupes depuis « 2017, et les premières grandes cyberattaques qui ont paralysé des géants comme Renault ou Saint-Gobain », se rappelle Alain Bouillé. Ces coups de tonnerre répétés ont bousculé la vision de la cybersécurité et de sa représentation dans l’entreprise.

L’accès au Comex et au budget, la clé de tout

Alors que « le RSSI était vu comme un empêcheur de transformer en rond », selon Alain Bouillé, ces attaques ont aussi modifié en profondeur cette relation. Des organismes comme l’AMF recommandent désormais de « placer le RSSI du côté risque de l’organisation, sans lien hiérarchique et au même niveau si possible qu’un DSI dans l’organigramme, expliquet- il : C’est le cas pour un bon tiers des RSSI du CESIN. »

Dès lors, le couple DSI et RSSI est plus équilibré. Tandis que le DSI continue de porter le coeur du projet numérique de l’entreprise, le « RSSI a son budget en propre, gagne en autonomie, continue le directeur général du CESIN. Si on regarde les entreprises du CAC 40 et du SBF 120, il est assez rare de trouver un RSSI en dessous du niveau N-2 au Comex. »

Ces RSSI ont donc bien plus de facilités à obtenir des budgets et à acheter des outils coûteux, comme les EDR. Même si, précise Alain Bouillé, quand les crises sont passées, on observe toujours un tassement des financements et le retour des tensions sur la dépense. « Qui voudrait payer quand tout va bien ? », s’amuse d’ailleurs Sébastien Drouin.

Cette situation dans les grandes entreprises est loin d’être la norme dans les sociétés plus petites ou dans d’autres secteurs, notamment hospitaliers. D’une part, parce que les experts n’y sont pas assez nombreux, même si des efforts sont faits. D’autre part, parce que « toutes les structures n’ont pas les moyens ou la maturité pour aborder la cybersécurité telle qu’elle devrait l’être aujourd’hui », nous explique Christian Sarazin, responsable du système d’information du Centre hospitalier de Martigues, et ancien RSSI. Dans son poste actuel, lui-même est à la fois DSI et RSSI, et applique une politique centralisée.

Un duo, mieux un trio

Pour être encore plus forts, la solution universelle consiste à transformer le duo en trio, en impliquant les métiers au coeur de la relation, par exemple pour lutter contre la Shadow IT, ou sa dernière évolution, la Shadow IA. Le RSSI se doit d’échanger avec ces directions et leur apporter des solutions. « Il n’a pas à être dans une position dogmatique de refus. Il est là pour comprendre les enjeux du métier et l’accompagner à petits pas », affirme Sébastien Drouin.

Ce que confirme par l’exemple Christian Sarazin : « Utiliser WhatsApp dans le milieu professionnel répond à un besoin réel. C’est à nous de l’entendre et de proposer une alternative plus sécurisée », notamment pour les données médicales des utilisateurs. Si le RSSI travaille bien, jugent nos trois interlocuteurs, son rôle de contrôleur deviendra un rôle de vigie, qui permettra de voir émerger les usages à risques avant même que le DSI soit informé. « J’ai souvent vu des DSI venir aux nouvelles dans mon service », explique ainsi Alain Bouillé. De « gêneur », le RSSI devient ainsi un allié.

Un couple qui regarde dans la même direction

Dans cette relation mieux équilibrée, « le mauvais, c’est celui qui ignore l’autre », tranche Christian Sarazin pour souligner que le DSI et le RSSI se doivent de collaborer. « Un peu comme dans un couple qui se dispute parfois, mais doit faire front devant les enfants », illustre Sébastien Drouin.
Un couple où le RSSI doit faire preuve de pédagogie, de compréhension et toujours affiner l’équilibre entre une sécurité parfaite inaccessible et une souplesse fonctionnelle primordiale. Un couple où il peut aussi y avoir des dissensions, mais jamais devant les métiers, et jamais en cas de crise. « Le pire que puisse dire un RSSI à un DSI, c’est : je te l’avais bien dit, prévient Alain Bouillé. Même lors d’un plantage, on assume à deux ; sinon, on perd la crédibilité et la confiance. »

Cette complémentarité est vitale dans bien des situations, par exemple pour réaliser des simulations d’attaques pertinentes et efficaces, qui permettront d’éviter le pire, notamment dans les hôpitaux. Vitale aussi lorsque la DSI doit déployer ses solutions en tenant compte des réglementations, mais sans sombrer dans une vision de « la sécurité check the box », indique Alain Bouillé. Cette manière d’agir vise à satisfaire les régulateurs, mais sans prendre en compte le réel, les failles nouvelles, les besoins… Autant d’évolutions qui exigent que la DSI travaille au contraire main dans la main avec le RSSI.

Et c’est encore mieux bien sûr « si le RSSI est intégré dans les projets IT dès le départ, en mode sécurité by design », assure Sébastien Drouin. À ses yeux, les régulations, comme NIS 2, représentent une carte à jouer pour les RSSI, pas tant pour gagner en pouvoir que pour participer plus activement à la modélisation du progrès numérique en entreprise. « La cybersécurité n’est plus une lubie du RSSI, mais une obligation », insiste-t-il.

D’ailleurs, cela fait longtemps que les obligations liées au RGPD, et l’apparition de nouveaux postes, comme ceux de DPO, en complexifiant la partition numérique, donnent plus de poids au RSSI, qui « joue un rôle central dans la mise en place de la stratégie de protection des données personnelles ».

Le poste évolue donc, vers celui de « risk manager », selon Sébastien Drouin. Il prend en charge la « sécurité au sens large », devenant un « super gendarme de la sécurité et de la réputation de l’entreprise ».

À la DSI d’initier et de diriger le projet numérique, tandis que le RSSI l’accompagne et l’amende, en « bon technicien et fin stratège ». Un pas de deux dont l’art est de maintenir l’unité alors que tout change, y compris l’équilibre entre risques et besoins. Un duo où chacun tient son rôle, avec ses outils et en fonction de ses obligations, pour que l’entreprise fonctionne et se transforme. Seuls d’accord, mais à deux, face aux adversaires. Et audacieux, eux aussi.

À LIRE AUSSI :

Cloud

NIS 2, le chantier n°1 des RSSI pour 2026

Alain Clapaud

2 Déc

À LIRE AUSSI :

Gouvernance

Risques personnels des DSI, RSSI et DPO : guide de survie en milieu hostile

Thierry Derouet

30 Mai

À LIRE AUSSI :

Secu

Anticiper et innover pour ne plus subir, le Graal de la cybersécurité

François Jeanne

24 Nov

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !