Démo
Accès client
Accès client
Démo
Demander une démo
abraxio-dsi-rssi-roles-complementaires

RetourRetour à la liste

DSI et RSSI : des rôles complémentaires

8–11 minutes

de lecture

Publié le

Sommaire

Au moment où les entreprises, de toutes tailles et de tous secteurs, font face à des enjeux croissants de cybersécurité, la question de la responsabilité et de la gestion des risques informatiques se pose. Qui du RSSI (Responsable de la Sécurité des Systèmes d’Information) ou du DSI (Directeur des Systèmes d’Information) doit en être le garant ? Et si les rôles et missions des deux étaient complémentaires ?

Il est aujourd’hui obsolète d’affirmer que la cybersécurité est uniquement une affaire de technologie. Elle doit être un réflexe pour chaque employé de l’entreprise, au premier rang desquelles figurent les équipes informatiques : chaque projet, chaque architecture, chaque activité informatique doit tenir compte des enjeux inhérents à la sécurité du SI.

DSI / RSSI : qui fait quoi… sur le papier ? 

Si le DSI est chargé de superviser la gestion et l’évolution des systèmes d’information de l’entreprise, alignant la technologie sur les objectifs stratégiques au service des différents Métiers, le RSSI est responsable de la protection des données et du SI contre les menaces et les risques de sécurité et du respect de la conformité aux réglementations et normes en matière de sécurité informatique. Là où le DSI veut accélérer et apporter de l’agilité aux Métiers, le RSSI a pendant longtemps été vu comme un frein à la transformation numérique de l’entreprise, au développement de ses outils et des usages de ses salariés. Pour autant, c’est tout le contraire ! Sa mission est double : 

  • Mettre en place des mesures de sécurisation du SI, en s’appuyant sur différents référentiels (dont la fameuse norme ISO 27001) et en mesurer régulièrement l’efficacité à travers la mise en place d’audits ; 
  • Communiquer et sensibiliser sur la sécurité informatique, en menant différentes actions qui visent à promouvoir et diffuser une culture de la sécurité auprès de l’ensemble des fonctions et des métiers de l’entreprise.

Toutes les actions du RSSI doivent permettre d’assurer la sécurité de l’information à travers tous les processus métiers. Son rôle est ainsi transverse à l’entreprise : il travaille avec de nombreux interlocuteurs issus à la fois de la Direction générale, des Métiers, et bien sûr de la DSI. C’est pourquoi il doit faire preuve de leadership et d’une grande capacité d’adaptation et de communication. En résumé, le RSSI est le grand organisateur de la sécurité informatique dans l’entreprise : il guide et coordonne les équipes sur cet enjeu devenu central.

En quoi la cybersécurité est-elle un enjeu prépondérant ?

La cybercriminalité est un fléau qui concerne tous les métiers de l’entreprise. En effet, la perte de données fait partie des risques majeurs de toutes les fonctions: business, RH, marketing, etc. La data est désormais au cœur des préoccupations, notamment pour une raison financière : perdre des données représente un coût financier non négligeable, au-delà des risques humains et juridiques associés. De même, les réseaux informatiques sont de plus en plus ouverts, les salariés sont mobiles, hyperconnectés, et attendent de leur système informatique qu’il soit très rapide et efficace. La maîtrise du numérique a essaimé dans de nombreuses directions, et le shadow IT ouvre des brèches sur ces questions de sécurité informatique, générant ainsi de potentiels risques d’intrusion, de vols de données, etc. 

Le RSSI occupe ainsi un rôle de gardien : il sanctuarise les données lorsqu’elles vont être stockées, transportées, etc. Afin d’engager une démarche de cybersécurité cohérente au sein de l’organisation, il semble indispensable qu’elle soit validée au sommet de l’entreprise par le Comité de Direction de l’entreprise et assimilée par l’intégralité des collaborateurs. La sécurité est l’affaire de tous !

Comment le binôme DSI et RSSI est-il garant de sécurisation de l’entreprise ?

Le saviez-vous ? Selon le dernier rapport « State of Cybersecurity » de l’Isaca (association professionnelle internationale dont l’objectif est d’améliorer la gouvernance des systèmes d’information), un quart des équipes de sécurité relève directement de la Direction des systèmes d’information. Un chiffre qui illustre un constat de nombreux décideurs : le DSI et le RSSI poursuivent tous deux des objectifs différents mais complémentaires. Ils forment un binôme expert en sécurité, clé d’une protection maximale des systèmes d’information et d’une collaboration essentielle pour convaincre comités de direction et salariés des enjeux de la maîtrise des risques informatiques. 

Pour autant, le RSSI continue d’être perçu comme celui qui met des barrières, qui dit souvent « non » au nom de la protection des ressources de l’entreprise. On peut ainsi l’opposer au DSI, qui a pour mission de fournir aux Métiers les moyens et les outils pour être réactifs et performants. S’il échoue dans ce rôle, le DSI laisse aussi la porte ouverte au shadow IT… 

Un partenariat entre RSSI et DSI est essentiel pour maintenir l’intégrité du SI : les enjeux croissants de cybersécurité, notamment avec le développement des architectures cloud, démontrent clairement qu’il est indispensable pour les deux d’avancer ensemble, dans l’objectif commun de sécuriser le SI de l’organisation. 

Mais alors, le RSSI doit-il faire partie de la DSI ou non ? La question divise. Différentes études démontrent que le positionnement et le rattachement du RSSI dépendent de la taille et de la maturité de l’organisation. État des lieux.

Dans quelle mesure le pragmatisme est-il de mise dans les petites DSI ?

Dans les petites structures, la fonction de RSI fait rarement l’objet d’un poste dédié. C’est au mieux le responsable de l’infrastructure, voire le DSI, qui est en charge de la sécurité informatique. Par extension, le DSI, parce qu’il incarne naturellement la culture du risque, peut même être en responsabilité de l’intégralité du PCA (plan de continuité de l’activité) de l’entreprise. Un fonctionnement pragmatique étroitement lié aux ressources disponibles.

Pourquoi le RSSI est-il longtemps resté en dehors de la DSI ?

La multiplication des cyberattaques, tentatives d’hameçonnages ou encore de hacking, a mis au cœur des organisations la prépondérance de la mission du RSSI. Jusqu’alors, la plupart des grandes organisations laissaient cette fonction indépendante de la DSI. Principale raison évoquée : le RSSI exerce une activité de contrôle, et ne peut donc pas être à la fois juge et partie de la Direction gérant les systèmes d’information de l’organisation. Il ne devrait pas pouvoir interpréter les décisions et les mesures qu’il a lui-même mises en place, en raison de possibles conflits d’intérêts. 

Autre motif évoqué : concentrer de très nombreuses responsabilités sur le seul DSI apparaît comme un risque. Positionner le RSSI hors de la DSI permet également de favoriser la synergie entre les différentes Directions et de mieux prendre conscience des risques encourus par l’entreprise (défaillances, menaces, axes d’améliorations) et donc de prendre des décisions plus pertinentes. 

Conscient des enjeux stratégiques de sécurité, de nombreuses organisations rattachent ainsi la fonction de RSSI soit à la Direction du risk management (quand elle existe), soit directement à la Direction Générale l’entreprise. En effet, en tant qu’ultime décisionnaire, c’est elle qui porte la responsabilité de la sécurité de l’entreprise et qui contribue ainsi à la mise en œuvre des moyens et budgets associés à la protection des systèmes d’information. 

Dans cette configuration où le RSSI n’est pas rattaché à la DSI, il doit évidemment y avoir une relation de confiance entre les deux entités car une coordination efficace est nécessaire. Les deux entités doivent communiquer de manière régulière et transparente.

Quel résultat lorsque RSSI et DSI sont intégrées au sein d’une même Direction ?

Si le DSI est le seul garant du système d’information global, y compris de la sécurité, ce modèle semble désormais en voie d’obsolescence. De plus en plus fréquemment, le RSSI est ainsi intégré au sein de la DSI, avec un rôle dédié qui appuie l’enjeu de la fonction. Un positionnement intéressant à plusieurs titres :

  • Actionner les leviers de transformation digitale de l’entreprise

Les missions du RSSI ont évolué au fil du temps : d’abord techniques, elles sont aujourd’hui indispensables tout au long du projet, que ce soit dans l’architecture des systèmes, dans son exploitation, mais aussi plus globalement dans la transformation des entreprises. Le RSSI s’inclut ainsi dans un écosystème global de sécurité intégrant des ressources internes, dont le DSI, et externes : organismes officiels, référentiels, labels, réseaux de bonnes pratiques, etc. Faire fonctionner ensemble RSSI au sein de la DSI permet ainsi d’actionner des leviers de digitalisation performants : ils vont couvrir les besoins insufflés par les différents métiers de l’entreprise tout en répondant aux normes de sécurité, pour faire de l’agilité une réelle valeur ajoutée pour toute l’entreprise. 

  • Maitriser et porter un budget global du SI incluant la sécurité informatique

Intégrer la fonction RSSI au sein de la DSI permet également d’avoir une vision complète du budget informatique et de sécurité… et de le défendre comme un tout auprès du comité de direction. La question de la maîtrise du budget est clé : en effet, la DSI va plaider la cause de la sécurité auprès des instances dirigeantes (en évitant que la sécurité IT ne fasse les frais de restrictions budgétaires). Cette approche commune permet de positionner les exigences de sécurité en amont des projets, et donc de réduire les coûts et d’améliorer l’efficacité des projets… tout en sanctuarisant le budget de fonctionnement de la sécurité informatique. Gérer et centraliser le budget de la DSI en y intégrant les dimensions liées aux enjeux de cybersécurité permet d’adopter une approche plus globale de tous les enjeux. 

  • Sensibiliser l’organisation à la sécurité informatique, au plus haut niveau

Le DSI, en tant que membre du comité de Direction, permet enfin de porter la voix de la sécurité informatique au plus haut niveau hiérarchique de l’entreprise. Cela démontre ainsi que la sécurité concerne tout le monde, et pas uniquement l’informatique, et responsabilise chaque Direction Métier. À lui de donner à son RSSI le rôle et le poids nécessaires et de soutenir et défendre son action.

DSI et RSSI dans la même direction, le débat en résumé

ForcesFreins
Unir des forces dans les plus hautes instances de direction de l’entreprise Porter un budget commun Faire de la sécurité informatique un enjeu transverse aux SI  Sensibiliser toute l’entreprise à cet enjeu clé  Contribuer à la transformation digitale de l’entreprise Faire front commun aux crises croissantes de cybersécuritéRôle confondu de « juge et partie » sur la sécurité des SI : il prend les mesures dont il évalue ensuite lui-même les résultats Risque de centralisation du pouvoir dans les mains du DSI au regard de la multiplicité des enjeux de sécurité Un rattachement à la DG permet de porter encore plus haut les enjeux et de garantir une neutralité sur les actions mises en place

Ces ressources

vont vous plaire

Toutes les ressources
  • Expertise
Dette technique : comment la maîtriser ?
La dette technique désigne les compromis du SI hérité. Elle freine l’agilité, se mesure par coûts et risques et se…
  • Communiqué
Sécuriser sans ralentir : Abraxio dévoile la feuille de route des DSI en 2026 
Face à des budgets contraints, les DSI abordent 2026 avec un double objectif : sécuriser et renforcer la résilience du…
  • Expertise
Quelles sont les principales méthodes traditionnelles de gestion de projet ?
Les méthodes traditionnelles de gestion de projet, dites aussi séquentielles ou prédictives, organisent le projet en phases linéaires où chaque…
  • Expertise
Gestion de projet : quelles tendances en 2026 ?
Cet article passe en revue différentes méthodes agiles, en comparant leur contexte d’usage, leur organisation interne, leurs points forts et…
  • Etudes
Le Baromètre 2025 de la maturité DSI est clôturé – Rendez-vous en 2026
Obtenez les repères dont vous avez besoin pour piloter 2026 avec lucidité : situez-vous parmi vos pairs, mesurez votre progression…
  • Expertise
  • Tribune
Chaque jour compte (le temps au cœur du pilotage de la DSI)
Les budgets de la DSI sont sous tension et les projets sous pression. Le temps est devenu une ressource rare…
  • Expertise
  • Tribune
DSI des assureurs : il va falloir continuer à assurer !
Le rôle du DSI dans l’assurance évolue : au-delà de l’IT traditionnelle, il pilote la transformation, innove et fait de…
  • Événement
Abraxio participe à l’Africa IT Meeting 2025 à Marrakech
Les équipes d’Abraxio auront, cette année encore, le plaisir de rencontrer les responsables et personnels des structures numériques des établissements…