La direction des systèmes d’information traverse une mutation silencieuse mais radicale. Pendant que les entreprises françaises s’inquiètent légitimement de la prochaine cyberattaque, un changement plus fondamental s’opère : le périmètre même du poste de DSI explose. Entre les obligations réglementaires qui s’accumulent (NIS2, DORA, loi sur la sécurisation de l’espace numérique), les technologies qui se multiplient (cloud, intelligence artificielle, objets connectés) et les menaces qui se professionnalisent, le responsable des systèmes d’information d’hier devient le garant de la résilience numérique d’aujourd’hui.
Cette transformation n’est pas qu’une question de titre ou de périmètre élargi. Elle redessine profondément les compétences attendues, les responsabilités portées et même la position stratégique de cette fonction dans l’organigramme. Comprendre cette évolution permet aux entreprises de mieux anticiper leurs besoins en compétences et aux professionnels du numérique de se projeter dans un rôle en pleine redéfinition.
👉 Vous a besoin de définir en amont votre besoin en recrutement d’un(e) futur(e) directeur(rice) de la résilience de votre entreprise ? contactez notre cabinet de recrutement spécialisé cybersécurité
Quand le périmètre explose : bienvenue dans le numérique total
De la salle serveurs à l’écosystème numérique complet
Il y a quinze ans, un DSI gérait principalement des serveurs, quelques applications métier et un parc informatique relativement homogène. Le numérique représentait un service support, certes important, mais clairement délimité. Aujourd’hui, cette vision paraît presque nostalgique.
Le DSI contemporain supervise un écosystème numérique qui irrigue chaque activité de l’entreprise. Les postes de travail ne se résument plus à des ordinateurs fixes : tablettes, smartphones, équipements nomades se comptent par milliers dans certaines organisations. Une étude du Cigref de 2024 révèle que 73% des grandes entreprises françaises gèrent désormais plus de cinq types d’équipements différents, contre 42% en 2019.
Les données ne résident plus sagement dans un centre informatique sous contrôle direct. Elles circulent entre clouds publics, privés, hybrides, applications SaaS et encore quelques serveurs locaux pour les applications métier critiques. Selon le Baromètre de la transformation numérique des entreprises publié par France Num en 2024, 68% des PME françaises utilisent au moins un service cloud, et ce chiffre grimpe à 94% pour les entreprises de plus de 250 salariés.
L’informatique industrielle : les machines deviennent des cibles
L’exemple le plus spectaculaire de cet élargissement concerne sans doute l’informatique industrielle. Pendant des décennies, les systèmes de contrôle industriels (SCADA, automates programmables, robots de production) fonctionnaient en vase clos, déconnectés du reste du réseau informatique. La sécurité reposait sur l’isolement physique : pas de connexion réseau, pas de problème.
Cette époque est révolue. Les impératifs de maintenance prédictive, de pilotage en temps réel et d’optimisation ont conduit à connecter massivement ces équipements. Les capteurs transmettent leurs données vers des plateformes d’analyse, les machines reçoivent leurs instructions de production depuis des systèmes de planification, les techniciens accèdent à distance aux automates pour diagnostiquer des pannes.
Résultat : le DSI se retrouve responsable de la cybersécurité d’équipements industriels conçus il y a vingt ans, qui n’ont jamais été pensés pour résister à des cyberattaques, et dont la mise à jour peut nécessiter l’arrêt complet d’une ligne de production. Une étude de l’ANSSI publiée en 2023 montre que 47% des sites industriels français ont détecté au moins une tentative d’intrusion visant leurs systèmes de contrôle au cours des deux dernières années.
Cette convergence entre informatique de gestion et informatique industrielle crée des tensions considérables. Les équipes de production privilégient la disponibilité absolue des systèmes et craignent tout changement qui pourrait perturber la production. Les équipes informatiques veulent appliquer des correctifs de sécurité et imposer des segmentations réseau. Le DSI doit arbitrer entre ces logiques contradictoires, souvent sans disposer d’expertise approfondie sur les systèmes industriels concernés.
La vidéosurveillance comme enjeu numérique
Prenons un autre exemple révélateur : la vidéosurveillance. Il y a dix ans, un système de caméras relevait de la sécurité physique, point final. Les enregistrements partaient sur des bandes, le responsable sûreté gérait l’ensemble, le DSI n’était jamais sollicité.
Aujourd’hui, ces mêmes caméras sont connectées au réseau de l’entreprise. Elles transmettent des flux vidéo haute définition qui transitent par l’infrastructure réseau, se stockent sur des serveurs ou dans le cloud, et génèrent des quantités massives de données. Certaines sont même équipées d’intelligence artificielle pour détecter des anomalies ou reconnaître des individus.
Résultat : le DSI se retrouve responsable de la cybersécurité de dispositifs qu’il n’a pas choisis, installés par des prestataires de sécurité physique qui n’ont jamais entendu parler de segmentation réseau. Une enquête de l’ANSSI publiée en 2023 montre que 34% des incidents de sécurité dans les entreprises industrielles proviennent de dispositifs connectés mal sécurisés, dont les systèmes de vidéosurveillance représentent une part significative.
Cette situation se reproduit avec les contrôles d’accès, les capteurs industriels, les systèmes de gestion technique des bâtiments… Chaque objet connecté devient une porte d’entrée potentielle pour un attaquant et une responsabilité supplémentaire pour le DSI.
L’authentification, nouveau champ de bataille
L’authentification illustre parfaitement l’expansion du périmètre. Gérer des identifiants et des mots de passe relevait autrefois de l’administration système, une tâche technique parmi d’autres. Désormais, l’authentification constitue un enjeu stratégique majeur.
Les collaborateurs accèdent aux ressources de l’entreprise depuis n’importe où, sur n’importe quel appareil, à toute heure. Ils utilisent des dizaines d’applications différentes, certaines fournies par l’entreprise, d’autres choisies individuellement. Le rapport 2024 de l’observatoire de la cybersécurité du Cesin indique que les entreprises françaises gèrent en moyenne 127 applications cloud par organisation, contre 68 en 2020.
Le DSI doit maintenant orchestrer des systèmes d’authentification multifactorielle, gérer des fédérations d’identités, déployer des solutions de gestion des accès privilégiés, surveiller les comportements anormaux… Tout cela en maintenant une expérience utilisateur acceptable, car des processus trop complexes encouragent les contournements dangereux.
Les données : du stockage à la gouvernance complète
La responsabilité sur les données a elle aussi radicalement changé de nature. Le DSI ne se contente plus d’assurer des sauvegardes et de fournir de l’espace disque. Il doit désormais piloter une gouvernance complète des données qui englobe leur classification, leur cycle de vie, leur conformité réglementaire et leur exploitation stratégique.
Le règlement général sur la protection des données (RGPD) a profondément transformé cette dimension. Le DSI partage maintenant la responsabilité de garantir que l’entreprise respecte ses obligations : cartographie des traitements, gestion des consentements, mise en œuvre du droit à l’effacement, notification des violations… Autant de sujets qui mêlent technique, juridique et organisationnel.
Selon le rapport 2024 de la Commission nationale de l’informatique et des libertés (CNIL), 62% des entreprises françaises de plus de 250 salariés ont nommé un délégué à la protection des données, mais dans 78% des cas, cette fonction travaille en binôme étroit avec la direction des systèmes d’information qui assure la mise en œuvre technique des mesures de conformité.
Cette gouvernance s’étend aussi à l’exploitation des données. L’intelligence artificielle et l’analyse prédictive transforment les données en actifs stratégiques. Le DSI doit garantir la qualité, la disponibilité et la sécurité des données tout en facilitant leur utilisation par les métiers. Il orchestre les infrastructures de données (lacs de données, entrepôts, plateformes analytiques) et veille à ce que les pratiques d’exploitation respectent les exigences de sécurité et de conformité.
La téléphonie et la communication unifiée
Autre domaine qui a migré vers le numérique : la téléphonie. Les standards téléphoniques physiques ont laissé place à la voix sur IP et aux plateformes de communication unifiée qui agrègent téléphonie, visioconférence, messagerie instantanée et partage de documents.
Cette convergence place le DSI en première ligne sur des enjeux qui relevaient traditionnellement de la direction administrative : qualité de service des communications, continuité en cas de panne, sécurisation des échanges… Les attaques par déni de service qui saturent les systèmes de communication peuvent paralyser l’activité aussi efficacement qu’un rançongiciel.
Une étude du cabinet PAC publiée en 2024 révèle que 71% des entreprises françaises de plus de 100 salariés ont migré vers des solutions de téléphonie sur IP ou de communication unifiée. Dans 84% des cas, le DSI porte la responsabilité de ces systèmes, alors qu’il n’intervenait historiquement pas sur la téléphonie traditionnelle.
Les terminaux de paiement et les systèmes de caisse
Dans les secteurs du commerce et de la restauration, les terminaux de paiement et les systèmes de caisse connectés élargissent encore le périmètre du DSI. Ces équipements, autrefois autonomes, sont désormais intégrés aux systèmes d’information pour synchroniser les stocks, alimenter la comptabilité en temps réel et analyser les comportements d’achat.
Cette connectivité apporte une efficacité remarquable mais crée aussi de nouvelles vulnérabilités. Les attaques visant les systèmes de paiement se sont multipliées. Selon les données de l’Observatoire de la sécurité des moyens de paiement pour 2023, les fraudes liées à la compromission des terminaux de paiement ont augmenté de 34% en France, représentant un préjudice de 18 millions d’euros.
Le DSI doit maintenant garantir la conformité de ces systèmes avec les standards de sécurité de l’industrie des cartes de paiement (PCI DSS), superviser les mises à jour des terminaux, isoler les flux de paiement du reste du réseau… Autant de responsabilités techniques qui s’ajoutent à la liste déjà longue.
Les flottes de véhicules connectés
Pour les entreprises disposant de flottes de véhicules, la connectivité croissante de ces derniers crée encore un nouveau périmètre. Les véhicules modernes embarquent des systèmes télématiques qui transmettent en permanence des données : position GPS, consommation de carburant, comportement de conduite, état mécanique…
Ces informations alimentent des plateformes de gestion de flotte qui optimisent les tournées, planifient la maintenance préventive et analysent les coûts. Mais elles transitent par les systèmes d’information de l’entreprise, créant de nouveaux flux de données à sécuriser et à gouverner.
Plus inquiétant encore, certains véhicules peuvent recevoir des instructions à distance : déverrouillage, démarrage, mise à jour logicielle… Une compromission de ces systèmes pourrait permettre à un attaquant de localiser, immobiliser ou même détourner des véhicules. Le DSI se retrouve responsable de la cybersécurité d’actifs qu’il ne peut pas directement administrer, fabriqués par des constructeurs automobiles qui découvrent eux-mêmes les enjeux de sécurité numérique.
L’impression : un vestige du passé qui reste un risque actuel
Même des technologies que l’on pourrait croire en déclin, comme l’impression, contribuent à l’expansion du périmètre. Les imprimantes multifonctions modernes constituent de véritables ordinateurs connectés au réseau, dotés de disques durs qui stockent temporairement les documents imprimés, scannés ou copiés.
Ces équipements présentent des vulnérabilités régulièrement exploitées. Des documents confidentiels peuvent être récupérés depuis les disques durs d’imprimantes mal configurées. Des attaquants peuvent utiliser des imprimantes compromises comme point d’entrée dans le réseau. Le baromètre 2024 de la sécurité numérique des entreprises, publié par le Cesin, identifie les périphériques d’impression parmi les dix sources d’incidents les plus fréquentes.
Le DSI doit donc intégrer ces équipements dans sa stratégie de sécurité : chiffrement des disques durs, authentification des utilisateurs, mises à jour de sécurité, segmentation réseau… Pour des dispositifs souvent perçus comme de simples fournitures de bureau.
Le télétravail : le périmètre devient illimité
La généralisation du télétravail, accélérée par la crise sanitaire puis pérennisée dans de nombreuses organisations, a fait exploser les frontières traditionnelles du système d’information. Le périmètre de sécurité ne se limite plus aux murs de l’entreprise. Les collaborateurs accèdent aux ressources depuis leur domicile, depuis des espaces de coworking, depuis des cafés, depuis l’étranger…
Selon le baromètre Télétravail 2024 de Malakoff Humanis, 38% des salariés français pratiquent le télétravail au moins occasionnellement, et ce chiffre atteint 61% pour les cadres. Cette évolution impose au DSI de repenser intégralement la sécurité : réseaux privés virtuels (VPN) pour sécuriser les connexions distantes, contrôle des équipements personnels utilisés à des fins professionnelles, protection des données sur des réseaux domestiques non maîtrisés…
Le DSI doit aussi gérer l’équilibre délicat entre sécurité et expérience utilisateur. Des contraintes trop lourdes encouragent les contournements : collaborateurs qui transfèrent des fichiers professionnels sur leur messagerie personnelle, qui utilisent des services de partage grand public non sécurisés, qui notent leurs mots de passe complexes sur des post-it…
L’informatique fantôme : quand le périmètre échappe au contrôle
Paradoxalement, plus le DSI voit son périmètre officiel s’étendre, plus il doit composer avec l’informatique fantôme : ces applications, services cloud et outils numériques que les collaborateurs adoptent spontanément, sans validation ni même connaissance de la direction informatique.
Une étude Gartner de 2024 estime que 41% des applications utilisées dans les entreprises échappent au contrôle direct de la DSI. Les équipes métier, frustrées par les délais de validation ou par l’inadéquation des outils proposés, souscrivent directement à des services externes avec leur carte bancaire professionnelle.
Cette réalité place le DSI face à un dilemme. Interdire ces pratiques risque de bloquer l’innovation et de démotiver les équipes. Les tolérer crée des failles de sécurité béantes et des cauchemars de gouvernance des données. Une position médiane consiste à cataloguer les services approuvés pour différents usages, facilitant ainsi l’adoption d’outils sécurisés tout en gardant une certaine flexibilité.
Vers une redéfinition permanente du périmètre
Cette énumération, déjà longue, reste incomplète. Demain, ce seront peut-être les dispositifs médicaux connectés pour les entreprises du secteur de la santé, les drones pour la logistique et l’agriculture, les lunettes de réalité augmentée pour la formation ou la maintenance, les assistants vocaux dans les espaces de travail…
Chaque innovation technologique qui pénètre l’entreprise devient potentiellement une nouvelle responsabilité pour le DSI. Cette expansion continue du périmètre explique pourquoi le rôle ne peut plus reposer sur une expertise technique exhaustive de tous ces domaines. Le DSI devient nécessairement un orchestrateur qui doit savoir identifier les risques, mobiliser les expertises appropriées et définir les cadres de gouvernance adaptés.
Cette réalité transforme fondamentalement le métier et les compétences requises pour l’exercer. Elle impose aussi de repenser l’organisation des équipes et la répartition des responsabilités, comme nous allons le voir dans les sections suivantes.
De la technique à la stratégie : quand le DSI devient un dirigeant comme les autres
La cybersécurité comme enjeu de continuité d’activité
La transformation la plus profonde du rôle de DSI concerne peut-être sa dimension stratégique. La cybersécurité n’est plus une question technique que l’on relègue au sous-sol près des serveurs. Elle détermine directement la capacité de l’entreprise à continuer d’exister.
Les chiffres français le confirment brutalement. Selon le rapport 2024 de Cybermalveillance.gouv.fr, 54% des entreprises victimes d’une cyberattaque majeure connaissent des difficultés financières dans les deux ans qui suivent, et 15% déposent le bilan. Dans le secteur de la santé, particulièrement touché, une étude de l’ANSSI de 2024 révèle que le coût moyen d’une attaque par rançongiciel atteint 1,8 million d’euros pour un établissement hospitalier, sans compter les perturbations de soins.
Face à ces réalités, le DSI ne peut plus se contenter d’implémenter des solutions techniques. Il doit évaluer les risques à l’échelle de l’entreprise, arbitrer entre différents scénarios d’investissement, expliquer des enjeux complexes à des dirigeants non techniques, et surtout convaincre sa direction d’allouer des budgets conséquents à des menaces invisibles.
Porter la résilience au-delà de l’informatique
La notion de cyberrésilience dépasse largement la simple reprise après incident. Elle englobe la capacité de l’entreprise à anticiper les menaces, à résister aux attaques, à maintenir ses activités critiques même en mode dégradé, et à se reconstruire rapidement.
Cette vision transforme profondément le rôle du DSI. Il ne suffit plus de garantir que les systèmes fonctionnent et que les données sont sauvegardées. Il faut orchestrer une résilience globale qui implique tous les métiers de l’entreprise.
Concrètement, cela signifie travailler avec la production pour identifier les processus critiques qui doivent continuer à fonctionner même si les systèmes numériques sont compromis. Collaborer avec les ressources humaines pour former les collaborateurs et développer une véritable culture de la sécurité. Échanger avec la direction commerciale sur les impacts d’une indisponibilité prolongée des systèmes de commande. Coordonner avec la direction juridique sur les obligations de notification en cas d’incident.
Le baromètre 2024 de la maturité cyber des entreprises françaises, publié par le Cesin, montre que seulement 31% des entreprises ont formalisé un plan de résilience numérique impliquant tous les services concernés. Pourtant, celles qui l’ont fait déclarent gérer les incidents 2,4 fois plus rapidement et avec des coûts 40% inférieurs.
Une place au comité de direction… enfin
Cette élévation stratégique du rôle se traduit progressivement dans les organigrammes. Selon une enquête du Syntec Numérique publiée en 2024, 62% des DSI des entreprises de plus de 500 salariés participent désormais régulièrement aux comités de direction, contre 41% en 2019.
Cette évolution change radicalement la nature du poste. Le DSI ne reçoit plus seulement des directives à exécuter, il contribue à définir la stratégie globale de l’entreprise. Il doit comprendre les enjeux business, anticiper les impacts des transformations numériques sur le modèle économique, et articuler des visions techniques avec des objectifs commerciaux.
Cette position impose aussi de nouvelles compétences en communication, en gestion du changement et en vision prospective. Le DSI devient un traducteur permanent entre le monde technique et le monde business, capable d’expliquer pourquoi investir 200 000 euros dans un système de détection d’intrusion représente un choix plus rationnel que d’embaucher deux commerciaux supplémentaires.
Les compétences de demain : un équilibre impossible ?
Le DSI orchestre, pas le DSI superman
Face à l’explosion du périmètre et à la complexification des enjeux, une tentation persiste dans certaines entreprises : chercher le DSI providentiel qui maîtrisera tous les aspects techniques, tous les enjeux réglementaires, toutes les dimensions stratégiques et qui, accessoirement, saura encore réparer l’imprimante du service comptabilité.
Cette approche conduit droit dans le mur. Un DSI moderne ne peut plus tout savoir, tout faire, tout superviser directement. Son rôle évolue vers l’orchestration d’équipes spécialisées et la coordination d’expertises complémentaires.
Concrètement, cela implique de constituer des équipes qui couvrent différents domaines : infrastructure et cloud, développement et intégration, cybersécurité, gestion des données, support utilisateurs… Dans les organisations plus petites où les équipes dédiées restent impossibles, cela passe par la capacité à identifier les bons partenaires externes et à piloter efficacement des prestataires.
La cybersécurité : compétence interne ou externe ?
La question de la cybersécurité illustre particulièrement bien ce dilemme. Faut-il recruter un responsable de la sécurité des systèmes d’information (RSSI) en interne ou externaliser cette fonction auprès d’un prestataire spécialisé ?
La réponse dépend évidemment de la taille et du secteur de l’entreprise. Les données de l’ANSSI pour 2024 montrent que 78% des entreprises de plus de 250 salariés disposent d’au moins un poste dédié à la cybersécurité, contre seulement 23% des PME de 50 à 249 salariés.
Pour les entreprises de taille intermédiaire, un modèle hybride se développe : un référent sécurité interne qui assure la coordination et le suivi, épaulé par des expertises externes pour les analyses approfondies, les tests d’intrusion, la veille sur les menaces ou la gestion des incidents majeurs.
Ce modèle exige du DSI une capacité nouvelle : celle de piloter des compétences qu’il ne possède pas directement. Il doit savoir évaluer la qualité des prestations en cybersécurité, comprendre les livrables des auditeurs externes, arbitrer entre des recommandations parfois contradictoires, et intégrer des expertises ponctuelles dans une stratégie cohérente.
La dimension humaine : cultiver la sécurité
Les études le répètent inlassablement : entre 60% et 80% des incidents de sécurité impliquent une erreur humaine, selon les différentes sources. Le rapport 2024 de Cybermalveillance.gouv.fr estime que 67% des incidents déclarés par les entreprises françaises trouvent leur origine dans une action non intentionnelle d’un collaborateur.
Cette réalité transforme le DSI en responsable de la culture numérique de l’entreprise. Au-delà des formations obligatoires sur les mots de passe et le phishing, il s’agit de développer des réflexes durables, une vigilance collective, une compréhension partagée des enjeux.
Cela demande des compétences qui sortent largement du registre technique : pédagogie pour rendre accessibles des concepts complexes, psychologie pour comprendre les résistances au changement, communication pour maintenir l’attention sur des sujets qui semblent abstraits… Autant de savoir-faire que les formations d’ingénieurs abordent rarement.
L’équilibre technique-managérial : un exercice de funambule
Le DSI moderne navigue en permanence entre expertise technique et compétences managériales. Il doit conserver une crédibilité technique suffisante pour comprendre les enjeux, évaluer les solutions, dialoguer avec ses équipes et ses prestataires. Mais il doit également développer des capacités de management, de gestion de projet, de communication et de vision stratégique.
Cette double exigence crée des tensions. Le temps passé en réunions stratégiques éloigne de la technique. L’expertise technique approfondie laisse moins de place aux formations en management. Les professionnels eux-mêmes expriment régulièrement ce tiraillement.
Une enquête menée par l’Association française des directeurs et responsables de services généraux en 2023 révèle que 58% des DSI considèrent que leur plus grande difficulté réside dans l’équilibre entre leurs responsabilités opérationnelles et leurs missions stratégiques.
👉 Vous souhaitez faire évoluer votre poste ? contactez notre cabinet de recrutement spécialisé cybersécurité
Les nouveaux profils : qui pour piloter la résilience numérique ?
Au-delà du diplôme d’ingénieur traditionnel
Pendant longtemps, le parcours vers un poste de DSI suivait un schéma assez prévisible : école d’ingénieurs, postes techniques en informatique, progression hiérarchique jusqu’aux responsabilités de direction. Ce modèle persiste, mais il ne représente plus le seul chemin possible.
La complexité actuelle du rôle valorise des profils plus diversifiés. Des parcours atypiques émergent : professionnels issus du conseil qui apportent une vision transverse, anciens responsables métier qui comprennent intimement les besoins des utilisateurs, spécialistes de la gestion des risques qui excellent dans l’analyse et la priorisation…
Cette diversification répond à une réalité simple : les compétences techniques pures ne suffisent plus. La capacité à comprendre les enjeux business, à communiquer avec des non-spécialistes, à gérer le changement ou à piloter des projets complexes devient au moins aussi déterminante que la maîtrise des architectures cloud ou des protocoles réseau.
Certaines entreprises l’ont compris et élargissent leurs critères de recrutement. D’autres continuent de chercher exclusivement des profils d’ingénieurs informaticiens classiques, puis s’étonnent de ne pas trouver le candidat idéal capable de jongler entre technique pointue et vision stratégique.
La question du secteur d’origine
Un débat intéressant traverse actuellement les services RH : faut-il privilégier des DSI issus du même secteur d’activité ou au contraire valoriser les parcours transverses ?
Les avantages de l’expertise sectorielle semblent évidents. Un DSI qui a déjà travaillé dans l’industrie comprend les contraintes de la production, les normes spécifiques, les cycles de maintenance. Un DSI issu de la santé connaît les obligations réglementaires du secteur, les systèmes d’information hospitaliers, les enjeux de protection des données de santé.
Pourtant, cette logique atteint ses limites. Un professionnel qui n’a jamais quitté le même secteur peut reproduire les mêmes schémas, manquer de recul sur les pratiques établies, ignorer des innovations développées ailleurs. À l’inverse, un DSI qui change de secteur apporte un regard neuf, des méthodes éprouvées dans d’autres contextes, une capacité à transposer des solutions.
Une étude du cabinet de conseil Wavestone publiée en 2024 montre que les DSI ayant changé de secteur au moins une fois dans leur carrière obtiennent de meilleurs scores de satisfaction de leurs directions générales sur les critères d’innovation et de transformation (73% contre 64% pour ceux restés dans le même secteur).
La question se pose différemment selon les contextes. Dans les secteurs hautement réglementés comme la santé, la finance ou la défense, l’expertise sectorielle garde une importance majeure. Dans l’industrie, la distribution ou les services, la capacité à apporter des pratiques d’autres univers constitue souvent un atout.
Recruter pour aujourd’hui ou pour demain ?
Les entreprises se retrouvent face à un dilemme classique du recrutement, mais particulièrement aigu pour les postes de DSI : rechercher quelqu’un qui répond parfaitement aux besoins immédiats ou privilégier un profil capable d’évoluer avec les transformations à venir ?
Le rythme d’évolution technologique rend cette question cruciale. Les compétences pertinentes aujourd’hui ne le seront peut-être plus dans cinq ans. Un DSI recruté principalement pour ses compétences en gestion d’infrastructure locale pourrait se trouver dépassé par un virage cloud. À l’inverse, un profil très orienté innovation et transformation risque de négliger la stabilité et la fiabilité des systèmes existants.
Cette tension explique pourquoi certaines entreprises recherchent désormais moins des compétences techniques spécifiques que des capacités d’apprentissage, d’adaptation et de vision prospective. La capacité à comprendre rapidement de nouveaux enjeux, à remettre en question ses certitudes, à se former en continu devient aussi importante que l’expertise acquise.
L’importance de l’intelligence collaborative
Un critère émerge progressivement dans les recrutements de DSI : l’intelligence collaborative, cette capacité à travailler efficacement avec des profils très différents, à fédérer des équipes diverses, à créer des ponts entre les silos organisationnels.
Cette compétence s’avère particulièrement déterminante pour porter la transformation numérique et la résilience cyber. Le DSI doit convaincre des directions métier souvent réticentes à changer leurs habitudes, négocier des budgets avec des directions financières naturellement prudentes, sensibiliser des collaborateurs qui perçoivent la sécurité comme une contrainte inutile…
Aucune école ne délivre de diplôme en intelligence collaborative. Cette qualité se détecte plutôt dans les parcours, dans la manière dont un candidat raconte ses expériences, dans sa capacité à valoriser les contributions de ses équipes plutôt que de s’attribuer tous les succès.
L’organisation de demain : vers quel modèle ?
La fin du DSI isolé
Le modèle du DSI seul responsable de l’ensemble du numérique touche à ses limites. Les organisations les plus matures évoluent vers des structures plus distribuées où les responsabilités numériques se partagent entre plusieurs fonctions.
Le RSSI émerge comme une fonction à part entière dans les grandes organisations, parfois rattachée directement à la direction générale plutôt qu’à la DSI pour garantir son indépendance. Le directeur de la donnée (chief data officer) se développe dans les entreprises qui placent l’exploitation de leurs données au cœur de leur stratégie. Le responsable de la transformation numérique apparaît pour piloter les changements organisationnels.
Cette spécialisation pose de nouveaux défis de coordination. Comment éviter que ces fonctions ne créent de nouveaux silos ? Comment garantir une cohérence d’ensemble quand les responsabilités se fragmentent ? Comment arbitrer quand les priorités divergent entre sécurité maximale et innovation rapide ?
Le DSI architecte d’écosystème
Dans ce nouveau paysage, le DSI évolue vers un rôle d’architecte d’écosystème. Il définit les règles du jeu, garantit la cohérence technique, assure l’interopérabilité, mais il ne contrôle plus tout directement.
Cette approche demande de lâcher prise sur certains aspects. Accepter que les métiers choisissent leurs propres outils, à condition qu’ils respectent les standards de sécurité. Permettre l’innovation décentralisée, tout en maintenant une gouvernance suffisante. Favoriser l’autonomie des équipes, sans compromettre la stabilité globale.
Certains DSI français expérimentent ce modèle avec succès. Ils définissent un cadre de référence (cloud approuvés, solutions de sécurité imposées, normes d’intégration obligatoires) à l’intérieur duquel les directions métier disposent d’une grande liberté de choix. Cette approche réduit les frustrations liées aux processus de validation interminables tout en maintenant le niveau de sécurité requis.
La question de l’externalisation : jusqu’où aller ?
L’externalisation informatique soulève des débats passionnés depuis des décennies. Pour les DSI confrontés à l’explosion de leur périmètre, la tentation grandit de confier une part croissante des opérations à des prestataires spécialisés.
Les arguments en faveur de l’externalisation sont connus : accès à des expertises pointues, mutualisation des coûts, flexibilité des ressources, transfert de certains risques… Les entreprises françaises y recourent massivement. Selon une étude du Syntec Numérique de 2024, 89% des entreprises de plus de 250 salariés externalisent au moins une partie de leurs opérations informatiques.
Mais l’externalisation comporte aussi des risques, particulièrement en matière de cybersécurité et de résilience. Une dépendance excessive envers des prestataires peut fragiliser l’entreprise si ces derniers connaissent eux-mêmes des incidents. La perte de compétences internes rend difficile le pilotage efficace des prestataires et complique le retour en arrière si nécessaire.
Le DSI moderne doit donc définir le bon équilibre : quelles compétences doivent impérativement rester en interne ? Quelles activités peuvent s’externaliser sans risque excessif ? Comment maintenir suffisamment d’expertise pour piloter efficacement les prestataires ?
Cette réflexion stratégique détermine en grande partie la composition des équipes à constituer et donc les profils à recruter.
Préparer la transition : passer du DSI technique au directeur de la résilience
Former les DSI en place
De nombreuses entreprises disposent déjà d’un DSI compétent sur les aspects techniques mais moins à l’aise avec les nouvelles dimensions stratégiques du rôle. La question se pose : faut-il recruter un nouveau profil ou accompagner la montée en compétences du DSI actuel ?
Cette décision dépend de multiples facteurs : la volonté d’évolution du DSI en place, sa capacité d’apprentissage, le temps disponible pour cette transition, les enjeux de continuité pour l’entreprise… Dans de nombreux cas, l’accompagnement représente une option plus pertinente que le remplacement.
Plusieurs dispositifs permettent cette transition : formations ciblées sur le management, la stratégie d’entreprise ou la communication, coaching individuel pour développer des compétences comportementales, participation à des réseaux professionnels pour échanger avec des pairs confrontés aux mêmes défis…
L’ANSSI propose notamment des formations sur la gouvernance de la sécurité numérique et la gestion de crise cyber qui aident les DSI à élever leur perspective au-delà des seuls aspects techniques.
Redéfinir le poste et ses attendus
Trop d’entreprises recrutent encore des DSI avec des fiches de poste rédigées il y a dix ans, où les enjeux de cybersécurité et de résilience apparaissent comme des responsabilités secondaires, mentionnées dans une liste interminable de missions.
Redéfinir clairement le poste représente un préalable indispensable, que l’entreprise recrute en externe ou fasse évoluer son DSI actuel. Cette clarification implique la direction générale, qui doit exprimer ses attentes réelles en termes de transformation et de sécurité, pas seulement de maintien en condition opérationnelle.
Concrètement, cela signifie poser plusieurs questions structurantes : le DSI doit-il participer au comité de direction ? Dispose-t-il d’un budget dédié à la cybersécurité ou doit-il négocier chaque investissement ? A-t-il autorité sur l’ensemble du numérique, y compris les applications métier choisies par les directions opérationnelles ? Peut-il imposer des normes de sécurité contraignantes même si elles compliquent les processus métier ?
Les réponses à ces questions déterminent le profil recherché et, surtout, les chances de succès du DSI dans son rôle.
Accepter que le poste ait changé
Certains DSI en place peuvent légitimement considérer que le rôle a évolué dans une direction qui ne leur convient pas. Ils sont devenus DSI parce qu’ils aimaient la technique, l’architecture des systèmes, la résolution de problèmes informatiques complexes. Ils se retrouvent à passer leurs journées en réunions stratégiques, à gérer des budgets, à faire de la pédagogie sur des menaces cyber…
Cette situation mérite qu’on la regarde avec honnêteté. Le métier a changé. Ce qui faisait un excellent DSI il y a quinze ans ne suffit plus aujourd’hui. Plutôt que de forcer une évolution qui ne correspond pas aux aspirations profondes de la personne, il peut être plus sain d’envisager des transitions : vers un rôle d’architecte technique pour ceux qui préfèrent rester dans l’expertise, vers un poste de conseil pour ceux qui veulent garder une dimension stratégique sans les contraintes opérationnelles, vers la transmission et la formation pour ceux qui souhaitent partager leur expérience…
Cette lucidité bénéficie à tous : au DSI qui retrouve un rôle aligné avec ses motivations profondes, à l’entreprise qui peut recruter un profil adapté aux enjeux actuels, aux équipes qui ne subissent plus les tensions d’un manager en décalage avec son poste.
👉 Vous souhaitez faire évoluer votre poste ? contactez notre cabinet de recrutement spécialisé cybersécurité
Quand Rehackt accompagne la mutation du numérique
La transformation du rôle de DSI que nous venons d’explorer illustre un phénomène plus large : la cybersécurité et la résilience numérique redessinent profondément les organisations et les compétences nécessaires pour les piloter. Cette mutation complexe pose des défis considérables aux entreprises, particulièrement en matière de recrutement et de structuration des équipes.
Chez Rehackt, nous accompagnons précisément ces transitions. Notre approche se distingue en plusieurs points essentiels.
Nous comprenons que recruter un DSI moderne ne se résume pas à trouver un profil technique. Nous analysons d’abord votre contexte organisationnel, vos enjeux de résilience, votre niveau de maturité cyber et vos ambitions de transformation. Cette compréhension nous permet d’identifier le type de profil pertinent pour votre situation spécifique : un orchestrateur capable de fédérer des équipes diversifiées, un stratège qui saura porter la résilience au niveau de la direction générale, ou encore un profil hybride qui combinera expertise technique et vision business.
Nous valorisons les parcours atypiques et les compétences transversales. Notre philosophie du « corporate hacker » nous amène à regarder au-delà des CV standardisés. Nous savons qu’un excellent DSI pour la résilience numérique peut venir d’horizons variés : un ancien consultant qui a accompagné des transformations, un responsable métier qui comprend intimement les processus de l’entreprise, un spécialiste de la gestion des risques qui excelle dans l’analyse et la priorisation… Ce qui compte, c’est la capacité à porter une vision, à fédérer des équipes et à traduire des enjeux techniques en décisions stratégiques.
Nous aidons aussi à structurer les équipes autour du DSI. Car recruter un excellent directeur de la résilience numérique ne suffit pas s’il se retrouve seul face à un périmètre ingérable. Nous accompagnons la définition des compétences complémentaires nécessaires, qu’il s’agisse de constituer une équipe cyber en interne, d’identifier les bons profils techniques pour épauler le DSI, ou de construire un modèle hybride combinant ressources internes et expertises externes.
Nous intervenons surtout en amont du recrutement, pour vous aider à clarifier ce que vous cherchez vraiment. Trop d’entreprises lancent des recherches de DSI avec des attentes floues ou contradictoires. Nous facilitons les discussions entre direction générale, directions métier et équipes techniques pour définir précisément le rôle attendu, les responsabilités associées et les moyens alloués. Cette clarification préalable augmente considérablement les chances de réussite du recrutement.
Enfin, nous restons réalistes sur les marchés. Nous savons que certains profils sont extrêmement tendus, que les attentes salariales ont fortement progressé, et que la concurrence est féroce pour attirer les meilleurs talents. Plutôt que de vous laisser chercher en vain le mouton à cinq pattes, nous vous aidons à définir des stratégies de recrutement réalistes : élargir les critères de recherche, valoriser d’autres atouts que le salaire, construire des parcours d’évolution attractifs…
La mutation du rôle de DSI vers celui de directeur de la résilience numérique constitue une transformation profonde qui touche à la fois les compétences individuelles, les organisations et les stratégies d’entreprise. Rehackt vous accompagne pour naviguer dans cette complexité et constituer les équipes dont vous avez réellement besoin pour affronter les défis numériques d’aujourd’hui et de demain.
Vous recrutez un DSI ou structurez vos équipes numériques ? Parlons-en. Contactez notre cabinet de recrutement spécialisé cybersécurité et IT pour un échange sur vos enjeux spécifiques.
Laisser un commentaire