Contrairement à la majorité des publications sur la cybersécurité et les risques numériques, le Baromètre 2026 de la maturité du pilotage de la DSI publié par Abraxio ne reprend pas la rhétorique anxiogène. Il ne cherche ni à démontrer que « les attaques se multiplient » ni à alerter sur une catastrophe imminente. Son apport est ailleurs. Il met en lumière un angle mort plus structurel, plus inconfortable et, à bien des égards, plus stratégique pour les organisations.
Depuis plusieurs années, le discours dominant autour de l’IT et de la cybersécurité s’appuie sur une accumulation de menaces, de chiffres spectaculaires et de scénarios de crise. Cette mécanique est désormais bien rodée. Elle produit de l’alerte, parfois de la sidération, mais rarement de la capacité d’action durable. Le rapport d’Abraxio prend volontairement une autre trajectoire. Il s’intéresse non pas à l’intensité des menaces, mais à la capacité réelle des DSI à piloter, arbitrer et décider dans des environnements durablement contraints.
Le premier enseignement du baromètre est sans ambiguïté. Le problème central des DSI n’est pas l’ignorance des risques, mais l’insuffisance des mécanismes de décision outillés. La maturité moyenne du pilotage de la DSI stagne autour de quinze points sur trente, un niveau stable par rapport à l’édition précédente. Cette stabilité ne traduit pas une inertie, mais un plafond organisationnel difficile à franchir. Les DSI connaissent leurs priorités, identifient leurs tensions, mais manquent encore des instruments leur permettant de transformer cette lucidité en arbitrages de terrain.
Une stratégie formalisée, mais encore peu incarnée
Ce déficit traverse l’ensemble des dimensions analysées. En matière budgétaire, seuls dix-huit pour cent des répondants déclarent disposer de tableaux de bord consolidés et pédagogiques pour éclairer les arbitrages. Sur les projets, moins d’un quart des DSI évaluent systématiquement les demandes selon des critères objectivés de valeur, de risques ou de faisabilité. La conséquence est directe. Dans les moments de tension, qu’ils soient économiques, opérationnels ou cyber, la décision reste largement réactive, voire défensive, faute d’un socle partagé de données opposables.
Le rapport met également en évidence un décalage persistant entre la formulation de la stratégie IT et sa déclinaison opérationnelle. La majorité des DSI ont désormais formalisé une stratégie alignée avec celle de l’entreprise. Ce point marque un progrès réel. Toutefois, cette stratégie peine encore à devenir une boussole collective. Moins de la moitié des DSI estiment que les métiers sont pleinement impliqués dans la mise en œuvre de la stratégie IT.
Ce déficit d’appropriation n’est pas anecdotique. Il fragilise la gouvernance dans la durée et limite la capacité à assumer des choix structurants. Faute de co-responsabilité réelle avec les métiers, la DSI reste exposée à une forme de sur-responsabilisation. Elle porte les décisions sans toujours disposer du mandat collectif nécessaire pour les faire accepter, notamment lorsque les arbitrages impliquent des renoncements ou des priorisations douloureuses.
Une maturité qui masque un retard sur le risque
À rebours des discours alarmistes, le baromètre montre que les enjeux de sécurité sont désormais largement intégrés dans les pratiques des DSI. Les obligations réglementaires et la pression cyber ont produit leurs effets. En revanche, le management du risque et de la conformité reste un angle mort du pilotage. Moins de quarante pour cent des répondants estiment que ces dimensions sont réellement intégrées à la gouvernance IT.
Ce déséquilibre crée une forme de maturité trompeuse. La sécurité progresse comme un domaine technique à part entière, mais sans irriguer pleinement les décisions stratégiques et budgétaires. Le risque demeure souvent traité comme une contrainte externe plutôt que comme un outil d’aide à la décision. Dans ces conditions, l’organisation accumule des dispositifs sans toujours renforcer sa capacité à arbitrer en connaissance de cause.
Des outils trop artisanaux pour tenir dans la durée
Autre enseignement important de l’étude. Le pilotage de la DSI repose encore massivement sur des outils fragmentés et manuels. Les tableurs restent omniprésents, y compris dans des organisations de taille significative. Cette réalité n’est pas qu’un problème de confort opérationnel. Elle limite la fiabilité dans le temps, complique l’automatisation et rend le pilotage particulièrement fragile en période de tension.
Le baromètre souligne que ce pilotage « à la main » fonctionne tant que l’activité reste stable. Dès que les priorités évoluent, que les budgets se contractent ou que les incidents s’accumulent, les dispositifs existants ne tiennent plus la charge. La DSI voit ce qui s’est passé, mais peine à se projeter. Or, c’est précisément cette capacité de projection qui conditionne la qualité des décisions dans un environnement incertain.
La responsabilité partagée, véritable point de bascule
Enfin, le rapport met en lumière un verrou organisationnel rarement traité frontalement. La responsabilité reste insuffisamment partagée. Les managers intermédiaires sont encore peu responsabilisés sur leurs périmètres budgétaires. Les métiers demeurent souvent cantonnés à l’expression des besoins plutôt qu’à la co-décision. Cette situation n’est pas imputable à un défaut de volonté, mais à l’absence d’un langage commun fondé sur des données de pilotage partagées.
Tant que la DSI ne dispose pas d’outils permettant de déléguer sans perdre la maîtrise, la gouvernance reste centralisée, et donc mécaniquement moins agile. Le pilotage devient un exercice de contrôle a posteriori plutôt qu’un levier collectif de choix et de priorisation.
En définitive, le Baromètre Abraxio 2026 ne cherche pas à alarmer. Il pose un diagnostic plus exigeant. Le sujet n’est pas la multiplication des attaques, mais la capacité des organisations à décider sous contrainte. Ce rapport montre que la maturité de la DSI se joue désormais moins sur la prise de conscience des risques que sur l’outillage du pilotage, la qualité des arbitrages et la construction d’une responsabilité réellement partagée. Un déplacement du regard salutaire, à l’heure où la lucidité doit remplacer l’anxiété comme moteur de transformation.
