Assumer simultanément les fonctions de DSI et de RSSI n’est jamais un choix neutre, encore moins dans un contexte comme celui d’un réseau de soins et d’un opérateur de tiers payant. Les systèmes d’information y sont au cœur de la promesse de valeur : fluidité des échanges, continuité de service, fiabilité des données et confiance des partenaires. La moindre défaillance peut avoir des impacts immédiats, visibles et parfois sensibles.

Dans une entreprise comme Carte Blanche Partenaires, cette réalité est particulièrement marquée. Le système d’information n’est pas seulement un outil de support. Il est un maillon central de la chaîne de soins, un intermédiaire entre professionnels de santé, organismes complémentaires et bénéficiaires. Cette position confère au SI une criticité élevée, tant sur le plan opérationnel que sur le plan de la sécurité.

La double casquette DSI/RSSI place naturellement au croisement de deux dynamiques parfois perçues comme antagonistes. D’un côté, la modernisation du système d’information est une nécessité. Les attentes en matière de performance, d’agilité, de scalabilité et d’interopérabilité imposent une remise en question des architectures traditionnelles. L’évolution vers des modèles Cloud Native s’inscrit dans cette logique. Elle permet de mieux absorber les pics de charge, de réduire le time-to-market et de favoriser une approche plus modulaire des applications.

De l’autre côté, cette modernisation transforme profondément le profil de risque. Le Cloud Native ne se résume pas à un changement d’hébergement. Il implique une redéfinition des responsabilités, une multiplication des dépendances technologiques et une nouvelle manière de penser la sécurité. Les frontières traditionnelles du système d’information s’estompent, les surfaces d’exposition évoluent et les mécanismes de contrôle doivent être repensés.

Porter la double casquette dans ce contexte oblige à un exercice d’équilibre permanent. En tant que DSI, il est difficile d’ignorer les bénéfices apportés par des architectures modernes, basées sur des services managés, des conteneurs ou des API. Ces choix sont souvent déterminants pour soutenir la croissance, améliorer la résilience et répondre aux exigences des partenaires. En tant que RSSI, ces mêmes choix appellent une vigilance accrue, car ils introduisent de nouveaux vecteurs de risque et exigent une maturité organisationnelle suffisante.

Le premier enjeu est celui de la clarté des responsabilités. Dans un environnement Cloud Native, la sécurité repose sur un partage explicite des rôles entre le fournisseur de services cloud et l’entreprise. Comprendre, documenter et expliquer ce partage est indispensable, en particulier dans un secteur où la protection des données et la disponibilité des services sont critiques. La double casquette permet ici une lecture intégrée, mais elle impose aussi une discipline accrue pour éviter toute zone grise.

Un autre enjeu majeur concerne la cohérence des trajectoires. La modernisation du SI ne peut pas être conduite indépendamment de la stratégie de sécurité. À l’inverse, une approche de sécurité trop conservatrice peut freiner inutilement des évolutions nécessaires. Le risque, dans une organisation où la même personne porte les deux responsabilités, serait de trancher seul, sans mise en débat suffisante. La gouvernance joue alors un rôle essentiel pour structurer les arbitrages et éviter les décisions implicites.

Le Cloud Native modifie également la temporalité des décisions. Les cycles sont plus courts, les déploiements plus fréquents, les changements plus continus. Cette dynamique est une opportunité, mais elle peut entrer en tension avec des exigences de maîtrise du risque historiquement pensées sur des cycles plus longs. Le rôle du DSI/RSSI consiste alors à adapter les mécanismes de contrôle, sans chercher à reproduire à l’identique des modèles conçus pour des architectures plus statiques.

Dans un contexte de tiers payant, la continuité de service est un facteur clé de confiance. Toute interruption, même brève, peut avoir des répercussions sur l’ensemble de l’écosystème. La modernisation du SI doit donc renforcer cette continuité, non la fragiliser. Le Cloud Native offre des leviers intéressants en matière de résilience et de redondance, à condition que ces aspects soient intégrés dès la conception et non traités comme des compléments.

La double casquette présente également un risque plus subtil : celui de la perception. En interne comme en externe, il est essentiel que la sécurité ne soit pas perçue comme un simple prolongement de l’IT, ni l’IT comme un terrain d’expérimentation déconnecté des enjeux de sécurité. Clarifier les rôles, même lorsqu’ils sont portés par une même personne, contribue à maintenir un équilibre sain et une capacité de remise en question.

Pour une entreprise comme Carte Blanche Partenaires, la modernisation vers des architectures Cloud Native ne peut donc être envisagée que dans une logique de gouvernance forte. Cette gouvernance ne vise pas à ralentir la transformation, mais à lui donner un cadre lisible, assumé et partagé. Elle permet de concilier innovation, conformité, sécurité et performance, sans opposer artificiellement ces dimensions.

Assumer la double casquette DSI/RSSI dans ce contexte est exigeant. Elle impose une vigilance constante, une capacité à expliciter les arbitrages et une attention particulière aux signaux faibles. Mais elle offre aussi une opportunité rare : celle de penser le système d’information comme un tout cohérent, aligné avec la stratégie de l’entreprise et les attentes de son écosystème.

Dans un monde où les architectures évoluent rapidement et où la confiance numérique devient un actif stratégique, cette cohérence est sans doute l’un des atouts les plus précieux pour une organisation opérant au cœur des parcours de soins.