« La DSI ? Un centre de coûts… sauf quand elle prouve le contraire ». Cette petite pique, je l’entends encore trop souvent dans la bouche de certains dirigeants, encore trop peu concernés par les problématiques IT. Or 68 % des DSI français classent désormais la cybersécurité au 1ᵉʳ rang de leurs priorités pour 2025, loin devant l’IA ou le cloud. Pendant que les attaques explosent, les CODIR réclament des KPI clairs : où va l’argent ? Quel projet accouche d’un avantage concurrentiel ? Qui pilote les risques ?
Bref, la gouvernance IT n’est plus un « nice to have ». Elle conditionne la confiance budgétaire… et parfois la survie de l’entreprise. Reste à choisir les bons outils pour piloter, sécuriser et progresser sans transformer la DSI en hall d’aéroport…
Quelles sont les thématiques à traiter en priorité pour une bonne gouvernance d’un DSI ?
Tout d’abord, la gouvernance IT n’est surtout pas qu’une histoire de reporting.
Petit rappel du terrain de jeu du DSI de 2025.
D’abord le Build : financer, planifier, livrer les projets qui façonneront le business de demain. À l’autre bout se trouve le Run : assurer la qualité de service 24 h/24, patcher, documenter, communiquer. Entre les deux, une ligne rouge : la sécurité. RGPD, NIS 2, DORA ou simple bon sens, un incident majeur peut engloutir le budget innovation d’une année.
Il faut aussi surveiller la dérive budgétaire, mesurer la valeur métier réelle, suivre l’adoption utilisateur, arbitrer les compétences internes/externes et, enfin, prouver qu’on améliore en continu. *Respire un bon coup*
Je l’ai vu des dizaines et des dizaines de fois, quand ces points ne sont pas couverts, les projets se multiplient comme des petits Gremlins, chacun avec sa base de données et sa facture SaaS, pendant que le Run manque de bras pour tenir le SLA.
Alors oui, six chantiers, c’est dense. Mais la bonne nouvelle, c’est qu’un trio d’outils bien choisis couvre 80 % du terrain.
(Suspense)
Entre Build / Run et sécurisation : les clés pour piloter un SI
Build et Run sont souvent présentés comme deux planètes. En réalité, ils forment la même galaxie : un mauvais Run détournera toujours des ressources Build, et un Build mal gouverné engorgera le Run de tickets.
Pour maintenir l’équilibre, tout en gardant la sécurité au centre, trois leviers font la différence :
- Prioriser : un Project & Portfolio Management (PPM) note chaque initiative sur sa valeur business et son risque cyber. On aligne ainsi l’euro investi sur la stratégie… et on éteint les projets « pet‑project » qui siphonnent le budget.
- Standardiser : un référentiel ITIL, même « light », fixe les règles du jeu. D’après une étude Freshworks, les organisations ayant adopté ITIL de bout en bout réduisent de 30 % les interruptions non planifiées (et le MTTR diminue en proportion).
- Sécuriser « by design » : intégrer un scoring de vulnérabilité (CVSS, patch level, audit) dans la CMDB dès le backlog projet. Rien de révolutionnaire, juste la garantie qu’aucune appli ne sort sans passer par la case pentest.
Le trio gagnant : ITSM, PPM, Cartographie
La DSI est jugée sur sa capacité à arbitrer vite et à exécuter sans trous d’air. Pour y parvenir, on peut lister trois familles logicielles qui se complètent plus qu’elles ne se superposent :
- ITSM, la tour de contrôle opérationnelle : incidents, problèmes, changements, demandes.
- PPM, le GPS stratégique : vision capacités vs. budget, scoring de valeur, portefeuille projets.
- Cartographie d’entreprise, la carte IGN du SI : dépendances applicatives, data lineage, exposant cyber. Sur ce type de solutions, voici un exemple de logiciel de cartographie du système d’Information, édité par un éditeur français.
À La Poste, par exemple, le tandem ServiceNow (ITSM) + Planisware (PPM) repose sur Mega Hopex pour visualiser l’impact d’un micro‑service sur un mainframe encore critique.
Résultat : 600 API, 50 millions de requêtes par jour, un SLA public de 99,9 % et, surtout, un comex qui comprend enfin où part chaque euro.
Avec le PPM on construit, avec l’ITSM on maintient… et la cartographie réunit le tout
Le PPM joue le rôle de l’architecte, il priorise, arbitre, finance. L’ITSM agit comme chef de chantier, il exécute, trace, mesure. Et la carto, elle, fait le pont, elle matérialise les impacts croisés (qui dépend de quoi, et quel SLA sera touché).
Ajoutez à cela une couche sécurité (IAM centralisé, vulnérabilités corrélées dans la CMDB, alertes SIEM branchées sur les Assets) et le tour est joué.
Rapide exemple-type très concret : un simple patch Java 17 déclenche automatiquement une fiche de changement ITSM, ré‑évalue le risque dans Hopex, ajuste le budget dans Planisware et alerte le RSSI. Tout ça sans tableur intermédiaire.
Les approches ITIL, une colonne vertébrale pour la gouvernance
Et la méthode dans tout ça ? Eh bien ITIL est un excellent choix.
ITIL v4 découpe le cycle de vie en cinq étapes : Stratégie, Conception, Transition, Exploitation, Amélioration continue. Certains jugent la méthode verbeuse, mais elle reste pourtant selon moi la seule à donner un vocabulaire commun aux équipes Build, Run et Sécurité.
Là où ça peut coincer ? Lorsqu’on implémente à la carte (un process Incident par‑ci, deux KPIs par‑là, mais aucune matrice de dépendance).
Toujours selon le benchmark Freshservice/Freshworks 2024, un socle ITIL complet fait chuter de 30 % les interruptions non planifiées. Plus fort : il réduit de moitié les escalades « panique » vers le top management.
Concret : moins de bruit, plus de bande passante pour l’innovation.
Piloter une DSI, c’est jongler entre construction, maintenance et sécurité…
…et prouver, chiffres à l’appui, que chaque jongle produit de la valeur.
Le trio ITSM–PPM–Cartographie offre cette visibilité : PPM décide, ITSM exécute, la cartographie éclaire les impacts.
Encapsulez le tout dans un cadre ITIL et vous obtenez une gouvernance robuste, mesurable et, surtout, lisible par des non‑technos.
En pratique : centralisez vos demandes dans l’ITSM, branchez‑les sur votre backlog PPM, faites‑les traverser un pipeline DevSecOps, éclairez chaque déploiement via la cartographie et consolidez les métriques dans un tableau de bord unique. Résultat : des décisions budgétaires basées sur la data, un SLA qui respire et un SOC qui dort (presque) tranquille.
Je vous le garantis, les comex adorent les histoires résumables en trois écrans. Avec ce trio, vous offrez un pilotage de A à Z, et vous reprenez la main sur la narration. A vous de jouer 😉 !
