Business colleagues discussing, debating around a conference table

Le débat sans fin sur la ligne hiérarchique des RSSI – et ce qu’il dit sur le leadership en matière de cybersécurité

Lucas Morel

Nous sommes en 2026 et nous nous disputons encore sur la responsabilité du RSSI. La vérité ? Le tableau importe moins que de savoir si le RSSI a le pouvoir réel d’influencer l’ensemble de l’entreprise.

Il est difficile de comprendre pourquoi, en 2026, nous débattons encore de la ligne hiérarchique du responsable de la sécurité de l’information (RSSI).

C’est l’un des premiers sujets sur lesquels j’ai écrit en 2015, et après plus de deux décennies de cyberincidents très médiatisés, de pressions réglementaires soutenues, d’investissements technologiques massifs et de l’élévation constante de la cybersécurité à l’ordre du jour des conseils d’administration, on pourrait raisonnablement s’attendre à ce que cette question soit réglée depuis longtemps.

Pourtant la question persiste. Et des articles comme celui-ci Il est temps de repenser les lignes hiérarchiques des RSSI montrent que le débat est toujours vif.

Le fait que le débat se poursuive nous apprend quelque chose d’important. Il révèle que de nombreuses organisations sont encore confrontées à une question plus fondamentale : quel est exactement le rôle du RSSI au sein de l’entreprise ?

La ligne hiérarchique est importante – mais cela n’a jamais été la vraie question

Laissez-moi être clair. La ligne hiérarchique est importante. C’est important car il définit l’autorité, la visibilité et l’influence de la fonction de sécurité au sein de l’organisation. Il signale en interne à quel point la cybersécurité est prise au sérieux et détermine l’efficacité avec laquelle le RSSI peut s’engager auprès de l’équipe de direction.

Mais la véritable question n’a jamais été la ligne hiérarchique.

La vraie question est de savoir si le RSSI dispose du statut organisationnel nécessaire pour influencer les décisions à travers plusieurs silos : informatique, opérations, juridique, conformité, ressources humaines, achats, fournisseurs tiers et un écosystème de plus en plus complexe de partenaires et de plateformes numériques.

La cybersécurité est l’une des rares fonctions d’entreprise qui touche pratiquement tous les aspects de l’entreprise. Il est donc par nature transversal. Sans une autorité et une visibilité suffisantes, le RSSI ne peut espérer influencer les comportements au sein de l’organisation, et encore moins susciter des changements significatifs.

Si nous débattons encore de la ligne hiérarchique en 2026, c’est en grande partie parce que de nombreuses organisations traitent encore la cybersécurité comme une question technique plutôt que comme une question de leadership.

Le déficit de gouvernance derrière le débat

La persistance de ce débat reflète un déficit de gouvernance plus large.

Historiquement, la sécurité de l’information est apparue comme une discipline technique intégrée aux services informatiques. Les premières équipes de sécurité se concentraient principalement sur la protection des infrastructures : pare-feu, contrôles d’accès, surveillance du réseau et gestion des vulnérabilités. Dans cet environnement, il était naturel que la fonction de sécurité soit intégrée à l’organisation informatique.

Mais la nature du cyber-risque a considérablement évolué.

Aujourd’hui, la cybersécurité ne consiste pas simplement à protéger l’infrastructure technologique. Il s’agit de protéger les modèles économiques numériques, la confiance des clients, la propriété intellectuelle, la résilience opérationnelle et, dans certains secteurs, même les intérêts de sécurité nationale.

Autrement dit, la cybersécurité est devenue un enjeu stratégique pour les entreprises.

Et pourtant, dans de nombreuses organisations, les structures de gouvernance autour de la cybersécurité n’ont pas évolué au même rythme.

Le débat en cours sur la ligne hiérarchique du RSSI porte donc moins sur la conception organisationnelle que sur la question de savoir si les entreprises ont pleinement internalisé la nature stratégique du cyber-risque.

Il n’existe pas de ligne hiérarchique universelle

Une autre idée fausse récurrente est la recherche d’une réponse universelle.

Chaque année, des enquêtes tentent de déterminer la ligne hiérarchique « correcte » du RSSI. Certains concluent que le RSSI devrait rendre compte au PDG. D’autres recommandent le CRO ou le COO. Certains insistent sur le fait que l’indépendance vis-à-vis de l’informatique est essentielle.

En réalité, il n’existe pas de modèle universel. La ligne hiérarchique reste un moyen pour parvenir à une fin.

Les organisations diffèrent considérablement par leur structure, leur culture, leur maturité et leur environnement réglementaire. Ce qui fonctionne dans une organisation peut ne pas fonctionner dans une autre.

Dans de nombreuses organisations, le DSI reste la ligne hiérarchique la plus naturelle pour le RSSI, en particulier lorsque la transformation technologique et l’innovation numérique sont des priorités stratégiques fondamentales. Dans d’autres, le COO ou le PDG peuvent être mieux placés pour soutenir les changements opérationnels nécessaires pour intégrer la sécurité dans les processus métier.

Ce qui compte, ce n’est pas le titre du poste du dirigeant au-dessus du RSSI.

Ce qui compte est de savoir si cette personne possède l’autorité, la crédibilité, la portée organisationnelle et la volonté personnelle de soutenir le programme de sécurité.

L’autorité compte – et une grande partie de celle-ci se forge au cours des 100 premiers jours

Lorsqu’un nouveau RSSI rejoint une organisation, sa priorité immédiate est rarement technique. Il s’agit plutôt d’une question organisationnelle : comprendre l’entreprise, cartographier les parties prenantes, évaluer les structures de gouvernance et identifier les barrières culturelles qui peuvent entraver les améliorations de la sécurité.

Au cours de ces premiers mois, le RSSI doit rapidement renforcer sa crédibilité auprès de plusieurs groupes d’intérêt. Ils doivent collaborer avec des cadres supérieurs, des responsables opérationnels, des équipes technologiques et parfois des régulateurs ou des partenaires externes.

Rien de tout cela ne peut être fait efficacement si le RSSI manque d’autorité organisationnelle.

Une ligne hiérarchique qui laisse le RSSI enfoui plusieurs niveaux en dessous de la direction limite considérablement sa capacité à établir les relations nécessaires pour réussir. À l’inverse, une ligne hiérarchique offrant un accès direct aux décideurs de haut niveau peut considérablement accélérer le processus.

La ligne hiérarchique est donc importante non pas parce qu’elle détermine les décisions techniques, mais parce qu’elle détermine l’accès, l’influence et la crédibilité.

L’illusion des solutions structurelles

Dans le même temps, il convient de veiller à ne pas surestimer l’importance des organigrammes.

Une erreur courante consiste à supposer que le déplacement de la ligne hiérarchique du RSSI résoudra automatiquement les problèmes de cybersécurité.

Ce ne sera pas le cas.

Les échecs de cybersécurité se produisent rarement parce que l’organigramme était incorrect. Ils se produisent en raison d’une mauvaise gouvernance, d’un leadership faible, d’une responsabilité peu claire ou d’une résistance culturelle au changement.

Les RSSI les plus efficaces réussissent non pas grâce à des structures hiérarchiques parfaites, mais parce qu’ils renforcent la confiance, la crédibilité et l’influence au sein de l’organisation.

Ce qui nous amène au facteur peut-être le plus important de tous : la relation entre le RSSI et son supérieur direct.

La confiance compte plus que la structure

En pratique, le succès du RSSI dépend fortement de la qualité de la relation avec le dirigeant dont il rend compte.

Cette relation doit être fondée sur la confiance, l’alignement et la compréhension partagée de l’appétit pour le risque et des priorités stratégiques de l’organisation.

Si le cadre supérieur au RSSI comprend l’importance de la cybersécurité et est disposé à défendre le programme de sécurité au niveau du conseil d’administration et dans l’ensemble de l’entreprise, la structure hiérarchique peut extrêmement bien fonctionner.

Si ce soutien fait défaut parce que l’entreprise dans son ensemble ne voit pas l’importance stratégique de la cybersécurité, aucune ligne hiérarchique ne résoudra le problème comme par magie.

Le mythe du conflit DSI-RSSI

Un dernier argument fréquemment évoqué dans ces discussions est le supposé « conflit d’intérêts » entre le DSI et le RSSI.

Selon cette théorie, le RSSI ne devrait pas rendre compte au CIO car le CIO est responsable de la réalisation des projets technologiques et de la performance opérationnelle, tandis que le RSSI est responsable de l’application des contrôles de sécurité susceptibles de ralentir les choses.

Cet argument avait peut-être une certaine pertinence il y a 20 ans, lorsque les fonctions de sécurité étaient principalement chargées de l’audit des opérations informatiques.

Mais aujourd’hui, cela reflète de plus en plus une compréhension dépassée de ces deux rôles.

La cybersécurité moderne est profondément liée à l’architecture technologique, aux plateformes cloud, aux pipelines DevOps, aux programmes de transformation numérique et aux initiatives de résilience opérationnelle. La sécurité ne peut pas être considérée comme une fonction de surveillance externe contrôlant l’informatique à distance.

Il doit être intégré à la stratégie technologique elle-même. Tout DSI moderne devrait voir les choses de cette façon.

Dans cet environnement, une collaboration étroite entre le DSI et le RSSI est non seulement souhaitable, mais essentielle.

Présenter cette relation comme un conflit budgétaire structurel et une source de frictions est contreproductif et dépassé. Le véritable objectif ne doit pas être d’éviter les frictions mais de parvenir à un alignement : garantir que le leadership technologique et le leadership en matière de sécurité travaillent ensemble pour soutenir les objectifs stratégiques de l’organisation.

Aller au-delà du débat

En fin de compte, le débat permanent sur la ligne hiérarchique du RSSI détourne le secteur de la sécurité de questions plus importantes.

Ce qui importe bien plus, c’est de savoir si la cybersécurité est intégrée à la gouvernance d’entreprise, soutenue par la direction et alignée sur la stratégie de l’entreprise.

Si les organisations se disputent encore sur la place du RSSI en 2026, cela peut simplement indiquer qu’elles n’ont pas encore pleinement accepté la nature stratégique du cyber-risque.

Et jusqu’à ce que cela change, le débat se poursuivra probablement.

Non pas parce que la réponse est difficile, mais parce que le défi sous-jacent en matière de gouvernance n’est toujours pas résolu.

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?

CSO et RSSISuite CDirection informatique

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Malware
Plus de fausses extensions liées à GlassWorm trouvées sur le marché du code Open VSX
Business Conference Presentation: Visionary Startup CEO Presents New Product, Does Motivational Talk Science, Lecture, Technology, Entrepreneurship, Development, Leadership. Background with Code.
Ce que les RSSI doivent faire à l’heure où l’identité entre dans l’ère agentique
Poznan, Poland – April 14, 2025: Close-up of Cursor app icon on the macOS dock, showcasing a modern code editor enhanced with AI features for developers
Un bug critique du curseur pourrait transformer la routine Git en RCE