IA, cybersécurité, accumulation de normes… les DSI sous pression

« Avant, on parlait au DSI pour un problème de souris ou d’écran. Maintenant, on lui parle d’enjeux et de processus », sourit Jean-Baptiste Monville, directeur des systèmes d’information (DSI) de l’école de commerce Ieseg.

Un temps cantonnée à des missions techniques, la fonction de DSI a radicalement changé de nature. Aux balbutiements d’internet, il fallait équiper les entreprises. Les compétences attendues étaient donc purement techniques : installer et maintenir les réseaux.

Puis de nouveaux enjeux sont apparus. Le Covid a généralisé le cloud des années 2010 et accéléré la multiplication d’outils et canaux de communication.

Désormais, internet et le numérique structurent l’ensemble des activités de l’entreprise. Les DSI gèrent des enjeux organisationnels, et leurs choix peuvent avoir un impact sur le business. Ils deviennent donc parties prenantes de la stratégie, et leur présence est aujourd’hui régulière au comité de direction (CoDir) et au comité exécutif.

« Eux seuls ont une vision transverse »

Stéphane Atlani, DSI à temps partagé au sein de Finaxim, souligne que si les DSI ont d’abord mené des projets que les autres directions n’avaient pas le temps de gérer, ils y sont désormais intégrés dès l’origine.

« Dans les PME, eux seuls ont une vision transverse », ajoute le spécialiste, qui précise : « En ce moment, j’interviens dans deux projets où je représente l’ensemble des métiers face au sponsor. »

Cette montée en responsabilité se manifeste particulièrement dans le domaine de la cybersécurité : une attaque réussie peut paralyser l’entreprise. Le développement du travail à distance a encore accentué ces risques, les réseaux privés étant plus vulnérables et les utilisateurs isolés.

En 2024, 5 629 violations de données personnelles ont été notifiées à la Cnil, une hausse de 20 % en un an, pour un coût moyen de 3,95 millions d’euros. Jean-Baptiste Monville voit des tentatives de hameçonnage « chaque seconde ».

« Il y en a des millions par an. Des scénarios de sécurité déclenchés, quand on estime qu’un événement de sécurité quelque part nécessite une action, c’est des dizaines par an. Des scénarios de crise, moins, mais j’ai pu en avoir », expose le DSI.

Jongler avec une réglementation renforcée

Pour encadrer ces enjeux et responsabiliser davantage les DSI, la réglementation a progressivement été renforcée.

Depuis 2018, le RGPD, règlement général de la protection des données, a conféré une grande responsabilité aux DSI et RSSI (responsables de la sécurité des systèmes d’information), « très impliqués, selon l’avocat Pierre Nieuwyaer, counsel du cabinet FBL, parce qu’il y avait un volet sécurité, et que certains sont devenus DPO, data protection officers, même si cela pose des questions de conflit d’intérêt ».

La réglementation exige de plus en plus de prouver la maîtrise de son infrastructure et des moyens de prévention mis en œuvre, jusqu’à les démontrer en audit ou devant les autorités, et de savoir non seulement détecter mais aussi documenter les incidents.

Mais certains s’inquiètent d’une accumulation et d’un manque de lisibilité : NIS2 (cybersécurité du grand nombre d’entreprises considérées critiques), IA Act (respect des droits fondamentaux, de la sécurité, de l’éthiques dans l’usage de l’IA), Data Governance Act et Data Act (règles de partage et d’exploitation des données), facturation électronique…

S’ajoutent des réglementations sectorielles : DORA (résilience numérique dans le secteur financier), Cyber Résilience Act (appliqué en 2027 aux fabricants, importateurs, distributeurs de produits numériques), directives Mifid 2 et 3 (gestion des données financières), HDS2 (Hébergement des Données de Santé).

Les DSI et RSSI se retrouvent donc à jongler avec des textes juridiques sans être juriste ni maîtriser l’articulation des différentes obligations. Et l’accompagnement du service juridique est variable selon les organisations. Sans compter que les textes évoluent – le paquet de révisions Omnibus pose par exemple des questions sur l’avenir du RGPD.

Cependant, les textes ne créent pas de régime de responsabilité spécifique pour les DSI ni de « nouveaux risques ». « Cela crée une charge supplémentaire, mais je vois ces textes comme des outils pour appréhender les risques, comme des leviers pour mobiliser les équipes », analyse Pierre Nieuwyaer.

« Les structures sont forcées de se poser des questions, de mettre en place des procédures et de former des équipes transdisciplinaires. C’est aussi l’occasion de questionner l’organisation de la structure, car c’est une bonne chose de mobiliser plusieurs équipes sur la conformité, pas la seule DSI ».

« Chaque nouveau système devient une potentielle faille à surveiller »

Les DSI doivent aussi gérer de nouveaux outils, une multiplication des canaux et un travail plus nomade, qui créent ou amplifient certains risques, et dont l’adoption s’accélère. « On est passés d’un rythme où l’évolution technologique se faisait sur dix à quinze ans à un rythme inférieur à cinq ans », raconte Antony Derbes, dirigeant de l’éditeur de logiciels pour DSI Open Lake Technology.

Ils doivent contrôler de façon accrue des données plus éparpillées. Certes, les DSI peuvent avoir « une illusion de maîtrise, parce que les données existent », explique Christine Abdalla Mikhaeil, chercheuse en systèmes d’informations à l’Ieseg, mais chaque outil ayant son propre fonctionnement, cela « multiplie les procédures et fragmente la visibilité du DSI. Chaque nouveau système, canal application, devient une potentielle faille à surveiller ».

Et les salariés, en attente de solutions ergonomiques, traitent parfois des données sur des réseaux publics non sécurisés ou sans cadre quand l’entreprise ne déploient pas un outil assez vite.

« Le shadow IA démultiplie les risques juridiques pour l’entreprise, en termes de données personnelles mais aussi de secret des affaires, de gestion de la confidentialité », explique Pierre Nieuwyaer. Ce qui entraîne aussi « un risque de l’augmentation des coûts liés à l’IT, si c’est déployé dans tous les sens », selon Christine Abadalla Mikhaeil.

Les DSI se retrouvent à faire de « l’urbanisation du système d’information », selon Stéphane Atlani, c’est-à-dire optimiser et structurer les éléments numériques d’une entreprise, faire la chasse au doublon, diminuer les coûts et rendre l’ensemble mieux coordonné et plus cohérent, alors que dans certaines entreprises, des logiciels traitant de même sujets (un CRM et un ERP, par exemple) ne sont toujours pas connectés.

Lui a « hâte que certaines choses se mettent en place ». « Je vois pas mal de côtés positifs. Ce qui m’intéresse, c’est comment l’IA va permettre aux métiers, à la DSI d’évoluer ».

Les budgets qui ne suivent pas, « surcharge cognitive » pour les DSI

Tous ces sujets qui méritent chacun une attention particulière doivent être traités en parallèle. Or, les ressources ont augmenté… mais pas à hauteur des missions, et la pression budgétaire s’accentue : selon une étude publiée par l’éditeur Abraxio à la rentrée 2025, seuls un tiers des DSI s’attendaient à une hausse de leur budget en 2026.

« Dans de précédentes entreprises, j’ai vécu des cas extrêmement durs, témoigne Jean-Baptiste Monville. A l’Ieseg, c’est équilibré ». Si lui gère une trentaine de personnes, en moyenne les équipes n’ont pas grandi assez pour recruter des spécialistes pour chaque enjeu.

Les DSI passent donc leur vie à arbitrer entre une multitude de priorités (conformité, sécurité, innovation, fluidité…), dans une incertitude croissante quant aux conséquences de leurs décisions. « Les textes évoluent aussi parfois plus rapidement que les cycles budgétaires des organisations », ajoute Christine Abdalla Mikhaeil. Le manque de moyens « peut créer un stress supplémentaire, une surcharge cognitive pour les DSI ».

« Ce n’est pas facile au quotidien, reconnaît Jean-Baptiste Monville. Je passe les sujets réglementaires avant les autres. C’est comme l’exercice incendie : cela casse les pieds à tout le monde, et pourtant, c’est indispensable : ne pas le faire peut avoir des conséquences dramatiques ».

Les conséquences sont réelles : délais allongés pour l’entreprise, tensions et surcharge de travail pour les DSI. Le manque de temps revient dans tous les échanges. « Parfois un contrat est signé, mais ils n’ont pas le temps de l’appliquer, témoigne Antony Derbes. Et un projet qui aurait dû être mené en deux ou trois mois va se faire en six ou neuf mois ».

L’expert observe aussi « plus de turnover ». « Avant, un DSI était en poste une dizaine d’années. Maintenant, quand ils restent plus de cinq ans, c’est déjà bien ». Ce que confirme Stéphane Atlani. « Regardez le nombre de DSI en CHU qui ont démissionné après le Covid. Ils ont tiré la sonnette d’alarme pendant quinze ans sur les systèmes pas sécurisés, et n’ont jamais été entendus. Mais si on les avait écoutés, il n’y aurait pas eu autant d’hôpitaux hackés ».

Les DSI interrogés apprécient l’évolution de leur rôle. Jean-Baptiste Monville reconnaît toutefois que ce n’est pas étranger au fait que son équipe « a[it] réussi à s’organiser autour de ce sujet ». « J’ai des collègues dans des équipes sous-staffées de manière structurelle, et en souffrance forte. Quand on n’arrive déjà pas à faire face au quotidien, c’est très dur d’avoir des exigences réglementaires en plus ».

D’un métier technique à un métier relationnel

Face à ces nouveaux enjeux, les DSI ont un rôle de plus en plus relationnel. « Désormais, le DSI doit être un technicien, un communicant, un stratège, un négociateur », résume Antony Derbes.

Pour Christine Abdalla Mikhaeil, les DSI doivent développer à la fois « des soft skills, de communication, de posture, pour être force de proposition sur la stratégie sans jargon technique », et « une compréhension du business et des enjeux métiers. Si un DSI n’est pas capable de dire quelle est la mission de son entreprise, est-il capable d’aligner les outils avec cette mission ? ».

Surtout, ils doivent maintenant faire acte de pédagogie, notamment en matière de cybersécurité : former non seulement à l’utilisation des outils, mais également aux bonnes pratiques, afin d’éviter des conduites à risque. D’autant que les cyberattaques passent beaucoup par du social engineering, pour récupérer des identifiants.

A l’Ieseg, Jean-Baptiste Monville gère 60 000 boîtes mails, d’étudiants, anciens et professeurs. Il estime avoir en tant que DSI « un vrai rôle et devoir d’éveiller les consciences sur ces sujets, en restant au service des utilisateurs plutôt que d’être les méchants qui empêchent de travailler ».

A côté d’un chatbot qui interpelle régulièrement les utilisateurs pour donner des conseils de cybersécurité, le DSI envoie régulièrement des campagnes de faux hameçonnage pour mesurer le taux d’ouverture et accompagner quand nécessaire.

Stéphane Atlani, lui, a mis en place dans service comptabilité, très visé, des procédures pour éviter l’arnaque au président et prémunir d’arnaques à base de facture falsifiées, de plus en plus courantes et réalistes selon lui.

Les DSI ont aussi un vrai rôle de conduite du changement, que ce soit pour un changement de logiciel ou pour la mise en place de nouvelles procédures. Certains s’y sentent très à l’aise, quand d’autres sont de très bons techniciens mais n’ont aucun intérêt pour ce rôle plus humain et stratégique.

Rôle auquel ils n’ont d’ailleurs pas été formés. Selon Christine Abdalla Mikhaeil et Antony Derbes, les écoles d’ingénieurs prennent conscience de l’importance de ces enjeux, la formation initiale s’améliore, mais lentement.

Les professionnels, certains sortis d’école il y a plusieurs décennies, se forment parfois sur le tas ou au contact de consultants externes spécialisés, mais manquent de temps. L’Ieseg a donc lancé, outre un Master de management de la cybersécurité, en formation initiale, un certificat de management de la cybersécurité dédié aux professionnels en poste.

Les intervenants voient la pression encore s’intensifier et devenir une nouvelle norme mais sont assez optimistes sur le fait que les DSI puissent être accompagnés pour mieux la gérer : automatisation, formation, redéfinition du poste, engagement du top management, sponsors…

« C’est un travail sans fin, et si jamais cela se passe mal, les conséquences peuvent être dramatiques, admet Jean-Baptiste Monville. Mais c’est un sujet qui bouge vite, avec des outils dont on ne pouvait même pas rêver il y a quelques mois. La période est passionnante ».