Quatre éditeurs ont sollicité directement le DSI cette semaine. Trois directions métiers ont demandé l'activation d'agents IA pour leurs équipes. La RSSI a remonté un incident shadow AI : un cadre dirigeant a collé un document confidentiel dans un outil grand public. Le DG attend la feuille de route IA pour le board de juin. Le mandat du DSI est technique. Les décisions qu'on lui demande de prendre sont stratégiques. C'est une semaine ordinaire en 2026.
Le constat structurel
Selon l'enquête Gartner CIO and Technology Executive Survey 2026, menée auprès de 2 501 répondants entre mai et juin 2025, 87 % des DSI augmentent leurs budgets IA en 2026 , et 64 % prévoient le déploiement d'agents IA dans les 24 mois. Au Gartner IT Symposium, 45 % des DSI EMEA portent la stratégie IA de leur entreprise . Le rôle s'est élargi sans que les mandats associés ne soient repensés.
Le périmètre historique du DSI : architecture, sécurité, intégration, maîtrise des coûts d'infrastructure, gestion des incidents. C'est là que se trouve sa légitimité, son expertise, ses indicateurs de performance. Les décisions IA qu'on lui demande de porter dépassent ce périmètre. Choix de stack engageant la souveraineté des données. Exposition au Cloud Act. Arbitrage entre vitesse de déploiement et réversibilité. Posture face aux hyperscalers américains. Définition des cas d'usage prioritaires. Ces décisions engagent l'organisation au-delà du SI. Elles devraient être portées au COMEX et au board.
Le décrochage s'aggrave côté financier. L'étude Rimini Street/Censuswide 2025-2026 documente une chute brutale de la collaboration CFO-CIO : seuls 23 % des CFO déclarent aujourd'hui collaborer principalement avec les DSI , contre 86 % en 2024. Le tandem traditionnel d'arbitrage économique des décisions IT se fissure au moment précis où les décisions IA exigent un alignement financier renforcé.
DORA, NIS2, shadow AI : la convergence des pressions en 2026
DORA est entré en vigueur le 17 janvier 2025, avec des sanctions atteignant 2 % du chiffre d'affaires annuel. NIS2 prévoit jusqu'à hauteur de 2 % du CA pour les entités essentielles, et la possibilité d' interdiction d'exercer pour les cadres dirigeants en cas de non-respect. L'AI Act atteint sa pleine charge le 2 août 2026, avec des exigences complètes pour les systèmes IA à haut risque. Ces textes redéfinissent la responsabilité personnelle des dirigeants IT. Ils ne clarifient pas pour autant qui dans l'organisation porte chaque obligation.
Le shadow AI progresse en parallèle. Selon Microsoft France/YouGov en janvier 2026, 61 % des utilisateurs d'IA en entreprise passent par leurs comptes personnels au moins une fois par semaine . Netskope Threat Labs documente que le volume de données envoyé aux applications GenAI a été multiplié par six en un an, avec 1 550 applications GenAI suivies fin 2025 contre 317 en février de la même année. Le code source représente 30 % des données sensibles exposées, les documents juridiques 22,3 %, les données M&A 12,6 % selon Harmonic Security. Le coût moyen d'une violation impliquant du shadow AI atteint 4,2 millions de dollars selon IBM Cost of a Data Breach 2025.
Quand l'incident remonte, c'est sur le bureau du DSI. Y compris quand la décision d'utiliser l'outil non autorisé a été prise par un cadre dirigeant qui contourne sciemment la politique IT.
La souveraineté technique totale est hors d'atteinte. La souveraineté décisionnelle est à construire. Pour le DSI, cela commence par une clarification : ce qui lui appartient de décider, et ce qu'il refuse de porter seul. Doctrine VEIA · Décider avant d'intégrer
Ce qui appartient au DSI et ce qui appartient au DG
La distinction n'est pas une commodité méthodologique. C'est une condition de fonctionnement durable du rôle. Ce qui appartient au DSI : l'architecture des systèmes, la sécurité technique, l'intégration au SI existant, la maîtrise des coûts d'infrastructure, le choix des composants techniques d'implémentation. Ce périmètre est légitime, documenté, mesurable.
Ce qui appartient au directeur général et au board : le choix des dépendances structurantes, les seuils de non-délégation, l'exposition au Cloud Act, l'arbitrage entre souveraineté et vitesse, la posture face aux hyperscalers, la définition des cas d'usage stratégiques. Ces décisions engagent l'organisation au-delà du SI. Elles ne devraient jamais être prises par défaut au niveau DSI faute d'arbitrage exécutif.
Ce qui se co-décide : le shadow AI et les règles d'usage, la négociation des contrats éditeurs structurants, la gouvernance des données alimentant les modèles, la répartition des obligations DORA, NIS2 et AI Act. La co-décision exige une matrice de responsabilité explicite, validée au COMEX, opposable en cas d'incident.
Comment repositionner
Le repositionnement ne se fait pas en défendant un territoire. Il se fait en cartographiant les décisions actuellement portées par le DSI qui devraient relever du COMEX, en formulant les seuils de non-délégation, et en présentant ce cadre au directeur général dans un format opposable. C'est un travail politique avant d'être un travail technique.
La présence d'un Chief AI Officer ne simplifie pas l'exercice. Selon IBM Institute for Business Value 2025, 26 % des organisations ont nommé un CAIO , contre 11 % en 2023. La question n'est pas de défendre un périmètre face au CAIO. Elle est de redéfinir la contribution stratégique du DSI avant que l'organisation ne le fasse à sa place, et de distinguer ce qui relève de l'orchestration technique (DSI) de ce qui relève de la stratégie d'adoption (CAIO) et de ce qui relève de la décision exécutive (DG, board).
Le rôle d'un conseil structurellement indépendant, sans contrat avec aucun éditeur ni intégrateur, est précisément de soutenir ce repositionnement. Il ne s'agit pas d'apporter une compétence technique que le DSI possède déjà. Il s'agit d'objectiver les arbitrages qui doivent remonter, de challenger les hypothèses, et de préparer le DSI à la défense de son cadrage face au COMEX et au board.
