← revenir au blog Actu No. 08 · Juin 2026
// une seule personne, deux casquettes DSI construit & fait tourner RSSI challenge & sécurise = la même personne (NIS 2 oblige, budget non) ✕ juge & partie ✕ 24 h / jour ✕ seul face à la crise → la cyber n'est plus un sujet technique, c'est de la gouvernance

Fig. 1 · Sous la pression de NIS 2, des milliers de PME confient la sécurité à leur DSI déjà débordé. Une bombe à retardement.

Cybersécurité · 12 juin 2026 · 7 min de lecture

Quand la DSI devient aussi RSSI

Sous la pression de NIS 2, des milliers de PME confient la cybersécurité à leur DSI déjà débordé. Pourquoi ce cumul est risqué, et comment ne pas tout faire reposer sur une seule personne.

Dans la majorité des PME françaises, c'est désormais la même personne qui gère le parc informatique le matin et traite une alerte de cybersécurité l'après-midi. Avec l'entrée en application de la directive européenne NIS 2 (un texte qui élargit fortement le nombre d'entreprises tenues de se protéger contre les cyberattaques), des milliers d'organisations doivent se doter d'un responsable cybersécurité. Faute de budget pour recruter, beaucoup confient le rôle à leur DSI (Directeur des Systèmes d'Information). Résultat : un cumul DSI RSSI en PME qui pose un vrai problème de gouvernance. Cet article décrypte ce que ça change pour les dirigeants, et surtout comment ne pas faire reposer toute la sécurité de votre entreprise, et de vos outils métier, sur les épaules d'une seule personne.

Pourquoi le cumul DSI / RSSI explose dans les PME

Petit rappel des rôles. Le DSI fait tourner l'informatique : serveurs, postes, logiciels, projets. Le RSSI (Responsable de la Sécurité des Systèmes d'Information) protège tout ça contre les attaques. Deux métiers, deux logiques : l'un construit et fait fonctionner, l'autre challenge et sécurise.

Sous la pression réglementaire de NIS 2, les PME concernées doivent désormais nommer un référent sécurité. Mais embaucher un RSSI à plein temps coûte cher, et le marché est en tension. La solution la plus courante ? Demander au responsable IT en place d'endosser aussi la casquette RSSI.

Le problème, c'est que :

La disponibilité, nouvel enjeu de sécurité (pas seulement de performance)

Pendant longtemps, on a opposé deux univers : les équipes performance (« le site est-il rapide ? l'appli répond-elle ? ») et les équipes sécurité (« sommes-nous protégés contre une intrusion ? »). Cette frontière n'existe plus.

Quand votre SaaS de facturation tombe pendant 4 heures, peu importe que ce soit une attaque par déni de service (saturation volontaire des serveurs) ou un bug d'infrastructure : votre activité s'arrête. La disponibilité est devenue un enjeu de sécurité à part entière, parce que l'indisponibilité coûte aussi cher qu'une fuite de données.

Concrètement, pour un dirigeant :

Les attaquants ne piratent plus, ils se connectent

C'est l'évolution majeure observée pour 2026 : les cybercriminels n'ont plus besoin de forcer la porte. Ils achètent ou récupèrent des identifiants valides (mot de passe, accès VPN, jetons d'API) sur des marchés noirs, et se connectent simplement à vos outils comme un salarié le ferait.

Pour une PME qui utilise une dizaine de SaaS (CRM, comptabilité, RH, messagerie…), c'est un changement de paradigme. Les protections traditionnelles (pare-feu, antivirus) ne servent à rien si l'attaquant arrive avec les bonnes clés.

Ce qui devient prioritaire :

Le message pour un dirigeant non-tech : ne demandez plus à votre IT « sommes-nous bien protégés ? », demandez « que se passe-t-il si un identifiant fuit demain ? ».

"Ne demandez plus à votre IT « sommes-nous bien protégés ? », demandez « que se passe-t-il si un identifiant fuit demain ? »."
cybersécurité 2026 · les attaquants se connectent plus qu'ils ne piratent

Intégrer la sécurité dès la conception de vos outils métier

Si vous faites développer un SaaS interne, une application métier ou si vous intégrez de l'IA dans vos process, la pire stratégie consiste à « ajouter la sécurité à la fin ». C'est plus coûteux, moins efficace, et ça repose entièrement sur la vigilance d'une personne en interne.

L'approche security by design (sécurité dès la conception) consiste à intégrer les bonnes pratiques dès la première ligne de code :

Pour un dirigeant, le bon réflexe est de poser ces questions à votre prestataire dès le cahier des charges, pas après la mise en production. Cela évite que votre DSI-RSSI hérite, six mois plus tard, d'un outil impossible à sécuriser sans tout refaire.

Ne pas tout faire reposer sur une seule personne : 4 leviers concrets

Même sans budget pour recruter un RSSI dédié, vous pouvez répartir la charge et réduire le risque.

  1. Externaliser le contrôle. Faites auditer une fois par an votre sécurité par un prestataire externe. Coût raisonnable, regard neuf, et votre DSI n'est plus seul juge.
  2. Mutualiser avec d'autres PME. Des RSSI à temps partagé (un même expert pour 3-4 entreprises) existent désormais sur le marché. C'est souvent 2 à 3 fois moins cher qu'un recrutement.
  3. Former les équipes métier. 80 % des incidents partent d'un clic malheureux. Une heure de sensibilisation par an et par salarié coûte peu et change la donne.
  4. Documenter un plan de crise simple. Qui appelle qui en cas d'attaque ? Quels prestataires intervenir ? Avoir ce document à jour évite la paralysie au pire moment.
À noter : nous n'avons pas trouvé de chiffres publics consolidés sur le coût moyen d'un RSSI à temps partagé en France. À demander en devis selon votre secteur et votre taille.

En résumé

Le cumul DSI / RSSI en PME est une réponse pragmatique à NIS 2, mais c'est une bombe à retardement si rien n'est fait pour épauler la personne en charge. Les attaques évoluent (connexions plutôt que piratages, indisponibilité comme arme) et exigent une approche partagée. Pour un dirigeant, trois priorités : intégrer la sécurité dès la conception de vos outils métier, externaliser une partie du contrôle, et former vos équipes. La cybersécurité n'est plus un sujet purement technique, c'est un sujet de gouvernance.

veille tech & produit · NUOPS

Recevez notre veille IA & actu tech

Chaque semaine, on décrypte les actus dev, SaaS et IA pour les porteurs de projet non-techs : ce qui change vraiment, ce que ça implique pour vous, sans jargon. Désinscription en un clic.

// sources
Le Journal du Net : DSI le jour, RSSI aussi · Le Journal du Net : La disponibilité, enjeu de sécurité · Le Journal du Net : Les hackers se connectent plus qu'ils ne piratent

passons aux choses sérieuses

Vous avez un projet à développer ?

Racontez-nous votre projet, même flou. On vous répond personnellement sous 48h.

// réponse personnelle sous 48h · sans engagement NUOPS / Lyon · France · Belgique · Suisse · Luxembourg