La relation DSI RSSI ressemble encore trop souvent à un malentendu organisé : la DSI construit, le RSSI ralentit. Du moins, c'est ce qu'on entend.
Lors de nos derniers ateliers Tenacy avec une vingtaine de RSSI (banque, assurance, santé, industrie), le constat était unanime : "On ne peut pas avancer seul en cyber." Pourtant, dans les faits, la collaboration DSI RSSI reste bancale :
- La sécurité débarque en fin de projet, quand il est trop tard pour arbitrer proprement
- Les projets IT se décident sans cartographie des risques cyber
- Les priorités s'opposent plutôt qu'elles ne s'alignent
- Le reporting ? Éclaté entre trois outils, inexploitable
Voici ce que ces RSSI ont remonté comme leviers concrets pour sortir du statu quo.
DSI RSSI : arrêter la cohabitation, passer à la co-construction
Si les fonctions de RSSI et DSI sont bien distinctes, cela ne signifie pas pour autant qu’ils doivent travailler en silo ! Bien au contraire, une collaboration ouverte entre les deux s’avère fructueuse – et surtout indispensable. Une relation DSI RSSI mature ne se mesure pas au nombre de réunions communes, mais à l'existence d'une gouvernance partagée. Pas parallèle. Partagée.
Un langage commun, des KPI lisibles par les deux parties
Le RSSI et le DSI peuvent échanger régulièrement sur les projets en cours, les données de télémétrie et les rapports sur les menaces et incidents de sécurité observés. Par exemple, lors de l’analyse des risques, ils peuvent utiliser des Security Scorecards pour évaluer la posture de cybersécurité du système d’information.
À ce titre, Tenacy facilite ce processus en permettant au RSSI de partager les informations directement avec le DSI. En centralisant les données de sécurité, on obtient une vue d’ensemble qui aide à coordonner les efforts de défense et à améliorer la communication entre ces deux rôles.
Fini le débat "tu ne comprends rien à la sécu" vs "tu bloques tout". Ce qui rapproche DSI et RSSI, ce sont les indicateurs d'impact métier :
- Exposition réelle du SI
- Conformité réglementaire (ISO, NIS2, DORA)
- Maturité par domaine : IAM, patch management, gestion des vulnérabilités
- Avancement des chantiers structurants
- Risques bloquants sur les projets en cours
Plusieurs RSSI l'ont confirmé : réduire leur reporting à 4-6 KPI stratégiques a changé leur relation avec leur DSI, et avec le COMEX. Moins d'indicateurs, mais actionnables.
Un pilotage stratégique DSI RSSI ancré dans le réel
Les organisations qui fonctionnent ont toutes :
- Un comité cyber-IT trimestriel qui arbitre (pas qui informe)
- Un plan pluriannuel co-écrit DSI RSSI, pas imposé
- Un référentiel de gouvernance commun (ISO 27001, NIS2, DORA)
- Une priorisation des investissements basée sur les risques, pas sur les urgences
Exemple concret remonté par un RSSI dans la logistique : un score NIS2 sur 100, recalculé tous les six mois, est devenu la boussole de la relation DSI RSSI.
"Maintenant, dès qu'on parle d'un projet, mon DSI me demande : quel impact sur notre score ?"
Un enjeux de transparence
Les tensions DSI RSSI viennent rarement d'un désaccord technique. Elles viennent d'un manque de visibilité mutuelle. Comme le dit le proverbe africain : « Seul, on va plus vite, ensemble, on va plus loin ». C’est en cela que la complémentarité des deux rôles permet de développer des initiatives communes.
Le RSSI reproche à la DSI de ne pas mettre en conformité.
La DSI reproche au RSSI d'arriver en bout de chaîne.
La solution ? Rendre visible l'effort des deux côtés.
Ce qui marche chez les RSSI qu'on a rencontrés :
- Audit 360 du SI avec une restitution compréhensible par tous
- Reporting industrialisé (exit les fichiers Excel éparpillés)
- Visualisation des progrès par domaine (IAM, patch, PRA, etc.)
- Valorisation des équipes IT quand les indicateurs s'améliorent
Résultat : la sécurité sort du rôle de "police du SI" et devient un moteur d'amélioration continue.
DSI RSSI : comment arrêter d'arriver trop tard dans les projets IT
Tous les RSSI partagent le même problème : ils arrivent après la bataille.
Pourquoi ? Parce que les projets IT sont planifiés sous contrainte business, puis on appelle la sécurité pour "vérifier". Pas pour co-construire.
Trois leviers pour inverser cette mécanique :
→ Imposer un passage sécurité en amont
Pas pour ralentir. Pour garantir la faisabilité technique ET réglementaire. Le RSSI ne valide pas la stack : il valide la gestion du risque.
→ Co-écrire les security gates avec la DSI
Un RSSI en banque a mis en place des gates simples, compréhensibles par les chefs de projet IT.
Résultat : "La sécu n'est plus vécue comme une validation, mais comme une aide à cadrer les risques avant les arbitrages."
→ Synchroniser DSI, RSSI et métiers autour d'un référentiel unique
Une cartographie des risques partagée, mise à jour, comparée crée une émulation saine. Personne ne veut être le dernier de la classe.
Pourquoi RH, Achats et Métiers renforcent (ou sabotent) la relation DSI-RSSI
La collaboration DSI RSSI ne vit pas en vase clos. Elle dépend de la capacité du RSSI à embarquer les partenaires internes.
RH : le socle d'une culture cyber durable
Dans un groupe de protection sociale, l'alignement RH-RSSI-DSI repose sur une démarche ISO 27001 continue : onboarding incluant la sécurité, parcours obligatoire, audits réguliers, contenus adaptés aux métiers.
Résultat : la cybersécurité n'est plus un sujet IT, c'est un sujet entreprise.
Achats : l'allié sous-estimé
La pression réglementaire (NIS2, DORA) fait peser sur DSI et RSSI une responsabilité majeure liée aux tiers. Les organisations matures intègrent la sécurité dès les appels d'offres, dans les contrats, dans le suivi prestataires.
Métiers : le vrai baromètre
La collaboration DSI RSSI se mesure auprès des métiers. Quand ceux-ci comprennent la valeur du RSSI et de l'IT, la dynamique change.
"Quand tout le monde a compris les enjeux, peu importe l'organigramme, ça avance."
Ce que confirment ces retours terrain sur la relation DSI RSSI
Les RSSI présents aux ateliers Tenacy convergent tous sur ces points :
- La collaboration DSI RSSI n'est pas un sprint, c'est un marathon. C'est un travail d'acculturation continue, structuré, mesurable.
- Les normes (ISO, NIS2, DORA) sont un prétexte puissant. Elles créent un cadre commun DSI-RSSI-Métiers.
- La communication est le soft-skill clé du RSSI. Pour influencer sans imposer. Pour embarquer sans contraindre.
- Les indicateurs sont un langage universel. S'ils sont clairs, partagés, orientés risques métier.
- La valorisation du positif est indispensable. C'est elle qui crée l'émulation, bien plus que la sanction.
DSI et RSSI doivent piloter ensemble la résilience
La relation DSI RSSI est mature quand la sécurité n'intervient plus "après", mais "avec".
Quand le RSSI n'est plus perçu comme un frein, mais comme un accélérateur de décisions.
Quand le DSI n'est plus vu comme un exécutant technique, mais comme un partenaire stratégique.
C'est ce qui permet d'anticiper les risques, d'accélérer les projets, de fluidifier la conformité, et d'aligner la sécurité sur la performance de l'entreprise.
