Phylapp
Gouvernance du risque numérique et stratégie cyber

Pourquoi la sécurité ne peut plus dépendre uniquement du DSI

Le périmètre cyber a dépassé celui de la DSI. Le conflit d'intérêts structurel du DSI et l'extension du périmètre aux systèmes OT, cloud et tiers imposent un modèle de gouvernance avec un RSSI indépendant.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 28 lectures

Points clés

  • Le périmètre de la cybersécurité a dépassé celui de la DSI : cloud, OT, tiers, données dispersées — la protection nécessite l'implication de toutes les fonctions de l'organisation.
  • Le DSI est souvent en position de conflit d'intérêts : il doit simultanément optimiser les systèmes et les sécuriser — des objectifs qui s'opposent régulièrement.
  • La séparation des fonctions DSI et RSSI, avec un RSSI rattaché directement à la direction générale, est devenue un standard de gouvernance dans les organisations matures.
  • La cybersécurité est devenue une responsabilité partagée qui requiert l'engagement de chaque direction fonctionnelle — pas une responsabilité déléguée à un seul acteur.
Cas US SolarWinds (2020) — La compromission de la chaîne d'approvisionnement logicielle avait exploité des processus de développement et de validation qui relevaient de responsabilités partagées entre les équipes IT, les équipes de développement et les équipes de sécurité. Un périmètre de sécurité limité aux systèmes IT traditionnels ne couvrait pas les risques introduits par les processus de build et de distribution logicielle — qui dépendaient d'autres organisations et d'autres équipes que la seule DSI.

L'extension du périmètre au-delà des frontières traditionnelles de la DSI

Le périmètre de la cybersécurité s'est étendu bien au-delà des systèmes d'information traditionnels que la DSI gère. Les systèmes industriels et opérationnels (OT) — automates, SCADA, systèmes embarqués — relèvent souvent des directions opérationnelles plutôt que de la DSI. Les services cloud adoptés par les directions métiers sans validation IT — le shadow IT — échappent à la supervision de la DSI. Les données hébergées chez des prestataires externes, ou partagées avec des partenaires, sortent du périmètre traditionnel de contrôle de la DSI. Et les comportements des collaborateurs — vecteur principal des incidents de phishing et de compromission de comptes — relèvent de la culture organisationnelle, pas de la technique. Ce périmètre étendu ne peut pas être géré par la seule DSI.

Le conflit d'intérêts structurel du DSI

Un DSI est évalué sur la performance et la disponibilité des systèmes d'information, sur la réussite des projets de transformation, et sur l'optimisation des coûts IT. Ces critères créent une tension structurelle avec les exigences de la cybersécurité, qui implique parfois de ralentir des projets pour des raisons de sécurité, d'allouer des ressources à la protection plutôt qu'à l'innovation, et de refuser des configurations pratiques mais risquées. Quand la cybersécurité dépend du DSI, ces tensions sont résolues dans un référentiel où la performance opérationnelle tend à primer. La séparation des fonctions — un DSI centré sur la performance, un RSSI centré sur la maîtrise des risques — permet à chaque logique de s'exercer sans que l'une n'écrase l'autre.

Le modèle de gouvernance avec un RSSI indépendant

La séparation des fonctions DSI et RSSI, avec un RSSI rattaché directement à la direction générale, est progressivement devenue un standard de gouvernance dans les organisations matures. Ce modèle présente plusieurs avantages. Le RSSI dispose d'une indépendance qui lui permet de contrebalancer les décisions IT quand elles créent des risques inacceptables. Il a un accès direct à la direction générale qui lui permet de porter les risques à l'attention appropriée sans passer par une hiérarchie dont les intérêts peuvent diverger des siens. Et il peut exercer une supervision du périmètre complet de l'organisation — IT, OT, cloud, tiers — sans être limité par les frontières de la DSI traditionnelle.

Cas EU Maersk (2017) — La reconstruction post-attaque NotPetya a conduit le géant du transport maritime à revoir en profondeur sa gouvernance de la cybersécurité. L'organisation a notamment établi que la cybersécurité ne pouvait pas être gérée comme une fonction IT parmi d'autres, et a renforcé son modèle de gouvernance pour que les risques cyber soient directement portés au niveau de la direction générale, indépendamment de la DSI. Cette refonte de gouvernance est citée comme l'une des transformations majeures issues de l'expérience de l'incident.

La cybersécurité comme responsabilité partagée

Au-delà de la séparation DSI/RSSI, la cybersécurité doit être reconnue comme une responsabilité partagée par toutes les directions fonctionnelles de l'organisation. La direction commerciale porte la responsabilité de s'assurer que les partenariats et intégrations numériques qu'elle noue respectent les exigences de sécurité. La direction des achats porte la responsabilité de la qualification des prestataires sur les critères de sécurité. La direction des ressources humaines porte la responsabilité des processus de départ et d'arrivée qui gèrent les accès. Cette responsabilité partagée ne se décrète pas — elle se construit par la sensibilisation, la formation, les processus et les exemples donnés par la direction générale.

Articuler les responsabilités sans créer la confusion

La responsabilité partagée ne signifie pas que tout le monde est responsable de tout — ce qui conduit à une dilution de la responsabilité équivalente à l'absence de responsabilité. Elle suppose une clarification précise des responsabilités de chaque acteur, avec des interfaces bien définies entre les acteurs. Le RSSI définit les standards et valide les dispositifs. Les directions métiers appliquent les standards dans leurs périmètres et remontent les non-conformités. La DSI opère les systèmes selon les exigences définies par le RSSI. Et la direction générale arbitre quand les logiques s'opposent et valide les niveaux de risque acceptables. Cette clarification est le fondement d'une gouvernance partagée qui fonctionne.

Cas Asie Samsung (2022) — Le vol de 190 gigaoctets de code source et de données propriétaires a exploité des lacunes dans la protection des environnements de développement — un périmètre qui relevait davantage des équipes de R&D que de la DSI au sens traditionnel. La protection de la propriété intellectuelle, qui constitue l'actif stratégique central d'un acteur technologique, requiert une collaboration entre la sécurité IT, les équipes R&D et la direction stratégique — une responsabilité qui ne peut pas être portée par la seule DSI.

Articles similaires

Pourquoi la cybersécurité doit être portée par la direction générale

La cybersécurité portée uniquement par la DSI manque de légitimité stratégique. Quand la direction générale s'en empare, elle change les arbitrages, la culture et la capacité à imposer les contraintes nécessaires.

24 mai 2026 7 min

Le rôle réel du comité de gouvernance du risque numérique

Un comité de gouvernance du risque numérique n'est utile que s'il prend des décisions réelles sur quatre fonctions : information sur l'exposition, arbitrage des priorités, allocation des ressources, supervision des incidents.

24 mai 2026 7 min

Pourquoi les organisations confondent stratégie IT et stratégie cyber

Stratégie IT et stratégie cyber répondent à deux logiques différentes. Leur confusion génère des déséquilibres : on modernise les systèmes sans renforcer parallèlement la protection. Une stratégie cyber indépendante est nécessaire.

24 mai 2026 7 min
WhatsApp