Les 5 tensions qui fragilisent votre collaboration DSI RSSI et votre gouvernance cybersécurité (et comment les dépasser)

La collaboration DSI RSSI souffre d’un paradoxe persistant : les deux métiers partagent le même terrain de jeu, mais rarement les mêmes règles et la même vision. Pourtant, la gouvernance cybersécurité est une fonction transverse qui ne peut être portée par une seule personne. Sans une synergie forte entre la DSI, le RSSI, le COMEX et les métiers, la collaboration est souvent source de tensions et de blocages…

‍

« Une équipe cyber seule ne fait pas grand chose. Elle a besoin d'interagir avec un certain nombre d'entités, et toutes ces interactions nécessitent une chose essentielle : la collaboration. Ça ne se décrète pas, ça se construit. »
– Julien Coulet, CSO chez Tenacy

‍

Lors du petit-déjeuner cyber du 4 mars 2026, Tenacy a réuni l’écosystème cyber et IT lyonnais pour échanger sur ce sujet majeur : les interactions entre RSSI et DSI. Au cours de la table ronde, Aymeric Lacroix (DSI chez Adenes Group, dans la société depuis sa création) et Franck Martel-Badinga (RSSI chez Artelia depuis quatre ans, après avoir été recruté en tant que CTO en 2014), ont pu partager leurs retours d’expérience et leurs conseils avisés.

Dans cet article, nous revenons sur les 5 points de friction majeurs qui minent la relation DSI-RSSI – et surtout, les pistes concrètes pour enfin les dépasser !

‍

Tension n°1 : Le rôle du RSSI face au COMEX : un enjeu majeur de gouvernance cybersécurité

Alors que le COMEX est composé d’une diversité d’individus aux attentes et aux sensibilités différentes, RSSI et DSI peuvent se retrouver face à une injonction contradictoire : comment délivrer un message technique complexe à une audience qui oscille entre le besoin de micro-détails et l’urgence de la synthèse en quelques bullet points ?

‍

Le défi : naviguer entre l’analytique et le synthétique

Pour convaincre le COMEX, il ne suffit pas d’avoir raison techniquement. Il faut pouvoir s’adapter à la psychologie de son interlocuteur.

« Le COMEX, c'est une pluralité d'individus. Il y a des interlocuteurs très synthétiques qui veulent uniquement les risques sur lesquels ils sont censés se positionner, d'autres qui sont plus analytiques et dans le détail… »
‍– Aymeric Lacroix, DSI chez Adenes Group

Le risque ? Perdre la moitié de la salle en voulant satisfaire l’autre. Le défi est alors de simplifier… sans dénaturer le message à faire passer.

→ Pour ne plus subir ces passages en instance, le binôme DSI-RSSI doit changer de posture.

‍

Les leviers à activer

Être rigoureux sur le temps de parole

C’est un classique : vous aviez 20 minutes, mais l’ordre du jour a débordé et il vous en reste 10. La cybersécurité ne doit pas être une variable d’ajustement : RSSI et DSI doivent pouvoir se mettre d’accord en amont et garantir leur créneau.

Trouver des ambassadeurs en interne

Identifiez, au sein du COMEX, des alliés qui comprennent vos enjeux et peuvent traduire votre message avec les codes de leurs pairs. Comme le souligne Aymeric Lacroix (DSI chez Adenes Group), ces ambassadeurs sont précieux pour « reformuler avec leurs mots, porter un message, faire des alliances » avant même le début de la réunion.

Utiliser le "langage business"

Le COMEX ne parle pas en « vulnérabilités critiques », mais en « interruption d'activité » ou en « perte de chiffre d'affaires ». Le centre d’intérêt qui réunit tout le monde, c’est le business. L’actualité des pairs peut aussi être un bon levier pédagogique : des exemples concrets, vécus par des concurrents, peuvent permettre de transformer un risque théorique en menace tangible.

‍

Tension n°2 : Aligner la collaboration DSI RSSI sur l’appréciation du risque cyber

DSI et RSSI ne lisent pas toujours les signaux de la même façon. La différence de sensibilité est légitime et humaine, mais elle peut vite devenir une source de malaise chronique si elle n’est pas nommée et travaillée.

‍

Le défi : décoder l’intuition (gut feeling) de l’autre

Le risque n’est pas qu’une suite de chiffres dans un tableau : c’est aussi une affaire d’expérience. Pour un DSI, voir des signaux d’alerte converger sans obtenir la réaction attendue peut mettre la confiance à rude épreuve.

Ce décalage crée une zone d’ombre : quand un DSI s'inquiète d'une vulnérabilité qu'il juge critique, le RSSI, lui, peut prioriser un autre chantier qu'il estime plus structurant. Résultat ? Une perte de fluidité et un sentiment d’insécurité partagé.

→ Le but n'est alors pas de supprimer la différence de point de vue, mais de la rendre intelligible pour l'autre.

‍

Les leviers à activer

Sortir de la gestion de crise pour se parler

L'erreur classique est d'attendre l’incident pour confronter ses visions du risque. Pour éviter les tensions et les conflits, mieux vaut instaurer des rituels de partage réguliers, hors urgence opérationnelle. L'objectif : expliquer sa grille de lecture avant ou après la crise.

Pratiquer la présomption de compétence

Face à un désaccord, il est essentiel de maintenir un lien de confiance pour transformer une tension en un débat d’experts constructif.

« Il ne faut pas partir sur le postulat qu’une personne ne maîtrise pas son sujet. C'est important d'expliquer avant ou post-crise, pour clarifier les choses avec les membres de son équipe. »
– Franck Martel-Badinga, RSSI chez Artelia

Passer de l'alerte à la résolution proactive

Face à des signaux d’alerte, un DSI attend qu’on lui apporte de la sérénité. C’est aussi le rôle d’un RSSI : savoir rassurer par l’action.

« Si j'avais une baguette magique, j’aimerais que l’on vienne me voir le matin, que l’on me donne l’information que j’ai lue la veille et que l’on me dise 'j'ai vu ce truc-là, j'ai pris les mesures'. »
– Aymeric Lacroix, DSI chez Adenes Group

Au-delà de l'intuition : le cadre de la gouvernance SI comme langage commun

Pour que la collaboration DSI RSSI soit pérenne, elle doit s'appuyer sur une gouvernance SI structurée. La norme ISO 27001 sert de colonne vertébrale à de nombreuses organisations : elle impose une documentation rigoureuse et, surtout, une répartition claire des rôles. Cependant, la norme ne règle pas tout par magie : elle définit le « quoi », mais pas le « comment » humain.

La véritable gouvernance cybersécurité commence là où les tableurs s'arrêtent. Elle réside dans la capacité du binôme à transformer des exigences de conformité en un actif stratégique qui protège le business tout en restant fluide.

‍

Tension n°3 : La « patate chaude » : qui porte vraiment le risque cyber ?

Dans beaucoup d’organisations, tout le monde veut être impliqué dans les décisions cyber… mais personne ne souhaite porter le risque et assumer la responsabilité finale. Résultat : le risque devient une « patate chaude » que l’on se renvoie entre services, créant un climat de méfiance qui paralyse l’action.

‍

Le défi : sortir du syndrome du « RSSI Superman »

Le danger majeur est de laisser croire que le RSSI est le seul garant de la sécurité. Cette vision centralisée, en plus d’être épuisante pour l’intéressé, déresponsabilise les autres métiers.

« Les gens peuvent être très crispés parce qu'ils ont l'impression qu'on veut leur donner la responsabilité d'un risque – et ça crée beaucoup de tensions, ça coupe la communication. »
– Aymeric Lacroix, DSI chez Adenes Group

Pour éviter cette rupture, il faut sortir du risque où le RSSI joue les « Superman » avec un tampon de validation des pratiques.

→ Le risque doit être endogène, porté par chaque service et chaque acteur, ce qui nécessite un équilibre entre fermeté et dialogue.

‍
Les leviers à activer

Clarifier le pouvoir décisionnel

Si chaque décision doit remonter au sommet, l'entreprise devient immobile. La solution ? Redonner du pouvoir de décision aux experts de terrain.

« Il ne faut pas tout remonter au COMEX – il y a plein de risques qui doivent être traités par un architecte, par un développeur… Chacun doit avoir aussi une capacité à décider, sinon tout le monde est paralysé avec un parapluie. »
‍– Aymeric Lacroix, DSI chez Adenes Group

Chacun doit assumer ses choix techniques sans attendre un arbitrage systématique.

Adapter la gouvernance à la maturité des entités

On ne demande pas la même chose à une petite filiale qu’à une direction régionale structurée. Un modèle de gouvernance performant doit être agile, afin de proposer :

• une assistance technique forte aux structures plus légères – le RSSI est alors un support opérationnel ;
• de la gouvernance et de la redevabilité (accountability) aux entités plus matures – elles portent leur risques, tandis que le RSSI supervise et conseille.

Faire de la maîtrise des risques un projet collectif

Quand la maîtrise des risques est portée par chaque service, le rôle du RSSI change de dimension : il n'est plus celui qui bloque, mais celui qui donne les moyens aux autres d'être responsables. C'est en nommant clairement cette répartition que l'on libère la communication et que l'on fait avancer la posture cyber.

‍

Tension n°4 : La gestion de crise : quand la pression révèle (ou fracture) la relation

La crise cyber est le moment de vérité ultime pour le binôme DSI-RSSI. Sous la pression de l’urgence, les masques tombent : soit la relation se soude durablement, soit elle explose sous le poids des non-dits et de la désorganisation. En pleine tempête, il est trop tard pour se demander qui décide de quoi !

‍

Le défi : éviter le « sur-accident »

En secourisme, la priorité est d'éviter le sur-accident. En cybersécurité, c’est pareil. Si le DSI et le RSSI s’écharpent sur la stratégie de remédiation alors que les systèmes sont à l’arrêt, ils créent un sur-accident organisationnel.

Pour Franck, la gestion de crise est comparable à une sortie en haute montagne : la survie dépend d'une hiérarchie claire et acceptée. Sans ce contrat de confiance préalable, le stress prend le dessus sur la compétence.

« Quand on part en montagne, il y a un guide et c'est défini à l'avance. Anticiper les choses, c'est important pour pouvoir gérer dans la crise ou les situations d'urgence. »
– Franck Martel-Badinga, RSSI chez Artelia

→ Une crise bien gérée ne doit pas laisser de cicatrices, mais des fondations.
‍

Les leviers à activer

Assurer l'après-crise

C’est la hantise de tout RSSI : devenir le fusible après une attaque. Pour Aymeric, cette approche est une impasse managériale. L’explication des décisions doit avoir lieu à froid plutôt que dans le feu de l’action.

Définir la chaîne de décision « en temps de paix »

La confiance ne se décrète pas le jour J : elle se cultive avant et après la crise. Les rôles (qui commande, qui exécute, qui communique) doivent être gravés dans le marbre bien avant l’alerte pour permettre le bon niveau de délégation le moment venu.

Cultiver l’empathie au sommet

La technique est importante, mais l'humain est le moteur de la résilience. Le soutien du COMEX fait partie de ce qui permet aux équipes de tenir sur la durée.

‍

Tension n°5 : Le burn-out du RSSI : un problème structurel encore sous-estimé

Si la relation DSI-RSSI peut être tendue, c'est aussi parce que le RSSI porte parfois un poids démesuré : responsable de tout, régulièrement seul, il peut être perçu tantôt comme le frein au business, tantôt comme le pompier de service. Cette pression constante, si elle n'est pas adressée par le DSI et la direction générale, mène à une impasse.

‍

Le défi : sortir de l'isolement du « responsable de tout »

Le terme de « Responsable », en français (contrairement au termes anglais de Chief Information Security Officer), peut être un piège : comment un seul individu peut-il être l'unique garant de la sécurité d'un écosystème complexe et mouvant ?

La solitude face au risque est d'autant plus dure que le RSSI peut être mis en cause personnellement lors d'une crise, malgré tous ses efforts de prévention.

« C'est un métier difficile, où on peut faire du mieux qu'on peut et se trouver dans des situations de crise où sa responsabilité peut être mise en jeu [...] Humainement, je trouve ça assez dur. »
– Aymeric Lacroix, DSI chez Adenes Group

→ Pour éviter l'épuisement, le RSSI doit cesser d'être un électron libre pour devenir un pivot stratégique bien entouré.

‍

Les leviers à activer

Ne plus laisser le RSSI seul face au risque

La première mesure de protection est organisationnelle : il faut répartir la charge. Le RSSI ne doit pas être le seul à porter les risques.

« Il faut consolider les équipes, sélectionner les bonnes personnes avec lesquelles vous allez travailler et leur faire confiance. »— Franck Martel-Badinga, RSSI chez Artelia

Recruter un « traducteur » plutôt qu'un pur technicien

Le burn-out peut aussi venir de l'incompréhension. Un RSSI qui ne parle que firewall s'épuisera à ne pas être entendu par sa direction, alors qu’un profil hybride sera bénéfique.

« Le plus important, c'est trouver la bonne ressource. Pas un hyper-spécialiste. Le RSSI doit parler firewall avec l'administrateur firewall ET parler le bon langage au COMEX. Si il a le même langage avec les deux, ça ne marchera pas. »
– Aymeric Lacroix, DSI chez Adenes Group

Passer de « frein » à « partenaire business »

L'épuisement naît aussi du sentiment d'inutilité ou de rejet. Si le RSSI impose des procédures inapplicables, il casse la confiance et devient un poids.

« Si tu as essayé de dire que tu étais important pour le business, mais que tu as cassé les pieds à tout le monde avec des procédures inapplicables dans le quotidien, tu deviens un frein au business. Tu entames la confiance. Pour la regarder, il faut apporter quelque chose au business. »
– Franck Martel-Badinga, RSSI chez Artelia

En se positionnant comme un facilitateur plutôt que comme un contrôleur, le RSSI réduit les frictions quotidiennes et, par extension, son propre niveau de stress.

Prévenir le burn-out RSSI : un enjeu de résilience organisationnelle

Le syndrome d'épuisement professionnel chez les responsables sécurité n'est pas une fatalité individuelle : lorsque l'on attend du RSSI qu'il soit à la fois le stratège, l'auditeur et l'expert technique d'astreinte, on programme une rupture. Le burn-out RSSI est un risque systémique pour l'entreprise : un départ précipité ou une incapacité de travail en pleine cyberattaque peut s'avérer catastrophique.

Pour désamorcer cette bombe à retardement, la direction doit transformer la fonction. Cela passe par le choix des bonnes ressources, mais aussi par une intégration réelle dans les processus de décision. La lutte contre l'épuisement commence par une collaboration DSI RSSI où l'on s'accorde sur une priorité : la cybersécurité est un marathon, pas un sprint permanent sous adrénaline !

‍

Conclusion : ce qui fait vraiment tenir une collaboration DSI-RSSI

La collaboration DSI-RSSI ne dépend ni d’un organigramme, ni d’un budget, mais d'une culture partagée. Qu’il s'agisse de convaincre le COMEX, d'aligner l’appréciation des risques ou de traverser une crise, la confiance se construit patiemment, avec des rôles clairs et un langage commun.

Finalement, si la technique pose les fondations, c'est avant tout le facteur humain qui fait tenir l’édifice.

« Il est important que le comité de direction comprenne nos contraintes et nos enjeux, et que l’on comprenne les leurs. Il faut se respecter mutuellement et trouver l’équilibre pour faire du business tout en sécurisant les choses et les personnes. »
– Aymeric Lacroix, DSI chez Adenes Group

‍

Vous souhaitez aller plus loin et mettre toutes les chances de votre côté pour construire une collaboration réellement efficace ? Cet article devrait vous intéresser : RSSI & DSI : les clés d’une collaboration performante et orientée business !

‍

Merci à Franck Martel-Badinga et à Aymeric Lacroix de nous avoir permis de rédiger cet article, ainsi qu’aux nombreux participants au petit-déjeuner cyber pour les échanges éclairants sur ce sujet crucial !

‍