Enterprise Architecture
Dette technique et gouvernance du SI : pourquoi c'est (aussi) l'affaire du CIO
Dette technique et gouvernance du SI : pourquoi c'est (aussi) l'affaire du CIO
Eric Draperi
La dette technique est souvent présentée comme le problème du CTO : une question de code, d'Architecture logicielle, de pratiques de développement. Une affaire de technique, gérée par des techniciens.
Pourtant, dans la plupart des organisations, ce n'est pas là qu'elle se joue vraiment. La dette technique s'accumule parce que les décisions qui la génèrent sont prises sans vision transversale du système d'information, sans arbitrage structuré entre valeur business et contraintes d'architecture, sans cadre de gouvernance capable de connecter stratégie, exécution et réalité du terrain. Autrement dit : la résoudre commence par le pilotage du SI. Et ça, c'est l'affaire du DSI.
Découvrez ici pourquoi la dette technique est moins un symptôme du code qu'un révélateur de la gouvernance IT, et des leviers concrets pour en reprendre le contrôle durablement.
En bref
La dette technique est souvent traitée comme un problème d'ingénierie. Ici, nous défendons une autre lecture : elle est avant tout un révélateur de gouvernance. Et pour les DSI et CIO, comprendre pourquoi elle s'accumule (et comment la piloter en anticipation) est devenu un enjeu stratégique à part entière.
Qu'est-ce que la dette technique ?
La métaphore financière de Ward Cunningham
La notion de dette technique a été formalisée en 1992 par Ward Cunningham, pionnier du mouvement agile. En empruntant la métaphore financière, il décrivait une réalité que tout développeur connaît : écrire du code rapidement, c'est comme contracter un prêt. On avance vite, mais on s'engage à rembourser plus tard - sous forme de corrections, de refactoring, de mises à jour structurelles. Comme toute dette, elle a un coût. Et comme toute dette mal gérée, elle produit des intérêts.
En effet, l'analogie avec la dette financière est plus qu'une figure de style : elle structure une façon de raisonner sur le temps et le coût dans le développement logiciel. Un raccourci de conception pris aujourd'hui, c'est un effort supplémentaire demain. Un module conçu sans documentation, c'est une dépendance cachée qui ralentira les prochaines évolutions.
Le coût n'est pas immédiat, mais différé. Souvent invisible dans les tableaux de bord, mais bien réel dans la base de code et dans la vélocité des équipes. Ce que Cunningham pointait, c'est que la dette technique n'est pas en soi une erreur : c'est une décision. Ce qui devient une erreur, c'est de ne pas la reconnaître, de ne pas la mesurer, et de ne pas la rembourser.
Dette technique et dette du SI : quelle distinction ?
La dette technique informatique est souvent cantonnée au code source : bugs non corrigés, architecture mal conçue, tests insuffisants. Mais dans les grandes organisations, la notion s'élargit. On parle alors de dette du système d'information : des applications obsolètes maintenues sous perfusion, des infrastructures vieillissantes, des intégrations point à point qui fragilisent l'ensemble du système d'information.
La distinction est importante pour les DSI : la première se gère au niveau des équipes de développement, la seconde se pilote au niveau du portefeuille IT. Confondre les deux, c'est traiter un symptôme sans s'attaquer à la racine.
Dette volontaire, involontaire : les deux faces d'un même problème
Martin Fowler a affiné la pensée de Cunningham en proposant quatre quadrants de la dette technique, organisés sur deux axes : volontaire/involontaire et prudente/imprudente.
Ainsi :
Une dette intentionnelle et prudente (par exemple, choisir délibérément une solution temporaire pour respecter un délai de lancement) peut être justifiée si elle est documentée et planifiée.
Une dette involontaire et imprudente (héritée de mauvaises pratiques, d'un manque de compétences ou d'une absence de standards) est autrement plus dangereuse, car elle est souvent invisible jusqu'à ce qu'elle devienne critique.
Dans les deux cas, c'est la capacité à nommer, tracer et arbitrer la dette qui fait la différence entre une organisation qui la maîtrise et une organisation qui la subit.
PPM, BI, agile, delivery : quel(s) outil(s) pour votre gouvernance ?
Télécharger le guide
Pourquoi la dette technique n'est pas seulement l'affaire du CTO
C'est la lecture la plus répandue, et la plus limitante : la dette technique serait un problème d'ingénierie, résolu par de meilleures pratiques de développement, plus de refactoring, des équipes mieux formées. Or cette lecture est incomplète.
Ce que révèle réellement la dette technique, c'est l'état de la gouvernance du système d'information. Elle s'accumule là où les décisions techniques ne sont pas éclairées par une vision transversale. Elle prospère dans les angles morts entre la stratégie, l'Architecture et le delivery. Elle s'aggrave chaque fois qu'un arbitrage est fait dans l'urgence, sans cadre structuré, sans visibilité sur les dépendances ni sur l'impact à moyen terme.
Le CTO peut poser des standards techniques, outiller les équipes, instaurer des pratiques de qualité... Mais si la gouvernance du SI ne lui donne pas la visibilité nécessaire pour connecter chaque décision technique à la trajectoire du portefeuille, la dette continuera de s'accumuler -de façon diffuse, cohérente dans sa logique locale, mais incohérente à l'échelle du système d'information. C'est pourquoi maîtriser sa dette technique est aussi (et peut-être d'abord) l'affaire du DSI.
- Eric Draperi, co-fondateur de Smoteo
Quels sont les différents types de dette technique ?
La dette technique ne se résume pas à du mauvais code. Elle prend des formes multiples, souvent invisibles les unes des autres, qui s'accumulent en silence dans des couches distinctes du système d'information. Les identifier précisément est la première condition pour les prioriser, et pour éviter de traiter un symptôme visible en laissant prospérer une cause structurelle.
Dette de code et d'architecture
C'est la forme la plus connue. Elle recouvre un code source difficile à lire, à modifier ou à tester - des structures héritées jamais refactorisées, des dépendances non maîtrisées, une conception initiale qui ne tient plus face à l'évolution des besoins.
La dette architecturale est souvent plus grave : elle touche les fondations du système. Une architecture monolithique dans un contexte qui exige de l'agilité, des microservices déployés sans standards d'observabilité, des intégrations point à point sans plateforme d'échange : autant de choix techniques qui semblaient raisonnables au moment du lancement et qui deviennent des freins structurels au fil du temps.
Parties prenantes concernées : les équipes de développement la vivent au quotidien, mais ses conséquences (délais allongés, coûts de maintenance en hausse, blocages sur les évolutions métiers) remontent directement jusqu'au DSI et aux directions métiers qui attendent des livraisons.
Dette de documentation et de tests
Un code existant non documenté, c'est une connaissance qui reste dans la tête des développeurs qui l'ont écrit. Quand ils partent, la connaissance part avec eux. La dette de documentation se matérialise dans les délais de prise en main, dans les erreurs d'interprétation, dans la difficulté à faire monter de nouveaux profils en compétence.
La dette de tests (couverture insuffisante, tests automatisés absents ou obsolètes) amplifie le risque à chaque nouvelle livraison : sans filet de sécurité, chaque modification du code source devient une source potentielle de régression.
Parties prenantes concernées : au-delà des équipes dev, c'est un enjeu de management IT et de RH (difficulté à recruter, risque de dépendance à des profils clés, coût d'intégration des nouveaux arrivants). Une dette de documentation élevée fragilise aussi la capacité de la DSI à faire évoluer son organisation.
Dette de sécurité et d'infrastructure
La dette de sécurité est l'une des plus critiques. Elle recouvre les failles connues non corrigées, les mises à jour repoussées, les composants open source obsolètes. Selon un rapport 2026 de Black Duck, 78 % des codes analysés contiennent des vulnérabilités à risque élevé ou critique, et 92 % des composants présentent un retard de plus de dix versions.
La dette d'infrastructure, elle, concerne les systèmes vieillissants maintenus au-delà de leur durée de vie raisonnable : serveurs en fin de support, bases de données non migrées, cloud hybride mal gouverné… Ces deux formes de dette pèsent directement sur la conformité réglementaire et la résilience opérationnelle du SI.
Parties prenantes concernées : DSI, RSSI, Direction Juridique, Direction de la Conformité... et potentiellement la direction générale en cas d'incident. C'est la forme de dette la plus éloignée du code et la plus proche des enjeux de gouvernance d'entreprise.
Dette organisationnelle et dette IA : les formes émergentes
Au-delà du technique, la dette organisationnelle désigne l'accumulation de processus manuels, de workflows non standardisés, de silos de compétences et de pratiques de développement logiciel non harmonisées entre équipes. Elle ralentit la coordination et fragilise la cohérence du portefeuille.
La dette liée à l'IA est plus récente mais croît rapidement : modèles déployés sans cadre de gouvernance, agents IA intégrés sans traçabilité, cycles de vie des données non maîtrisés… Contrairement à la dette IT traditionnelle, elle touche non seulement le code mais l'ensemble de la chaîne de valeur des données et des modèles - ce qui en fait un enjeu de gouvernance à part entière, que les DSI commencent à peine à outiller.
Parties prenantes concernées : DSI, Chief Data Officer, directions métiers, et souvent la direction générale. Cette forme de dette dépasse largement le périmètre technique : elle engage la stratégie data, la conformité réglementaire (AI Act, RGPD) et la capacité de l'entreprise à déployer l'IA en confiance. C'est précisément celle que les organisations sont le moins équipées pour piloter aujourd'hui.
Quelles sont les causes profondes de la dette technique ?
La dette technique ne surgit pas par manque de compétences techniques. Elle est le produit de dynamiques organisationnelles bien identifiées - et la plupart d'entre elles relèvent directement du périmètre du DSI.
La pression du time-to-market et les raccourcis de conception
La cause la plus immédiate est aussi la plus universelle : la pression du délai.
Dans un contexte où les cycles de développement logiciel s'accélèrent et où les équipes agile enchaînent les sprints, la tentation de prendre des raccourcis de conception est structurelle. On reporte le refactoring à plus tard. On livre une fonctionnalité sans couvrir les tests. On choisit une solution rapide plutôt qu'une solution pérenne.
- Eric Draperi, co-fondateur de Smoteo
Ces décisions sont souvent rationnelles à court terme : elles permettent de respecter les délais, de lancer un produit, de répondre à une demande métier urgente. Résultat : la base de code se charge d'une dette à court terme qui, faute d'être remboursée, devient une contrainte à long terme.
L'absence de vision transversale du SI
Une cause moins visible, mais plus structurelle : le manque de vision globale du système d'information.
Quand chaque équipe optimise ses propres choix techniques sans visibilité sur l'ensemble du portefeuille, la dette technique s'accumule de façon diffuse et cohérente dans sa propre logique locale, mais incohérente à l'échelle du SI. Les applications prolifèrent sans urbanisation. Les mises à jour se font en silo. Les dépendances entre modules ne sont pas cartographiées.
Ce n'est pas de la négligence - c'est l'effet prévisible d'une organisation où la gouvernance du SI est fragmentée. Chaque décision technique, prise isolément, semble raisonnable. C'est leur accumulation sans fil rouge qui génère la dette.
C'est précisément le cœur du problème pour le DSI : l'absence de vision transversale n'est pas une faille technique, mais une faille de gouvernance. Et elle ne se résout pas en demandant aux équipes de mieux coder, mais en structurant le cadre dans lequel les décisions techniques sont prises.
- Eric Draperi, co-fondateur de Smoteo
Des décisions d'arbitrage prises sans cadre de gouvernance
C'est la cause la plus stratégique… et la moins traitée. Dans beaucoup d'organisations, les arbitrages entre valeur business, coût technique et risque architectural ne disposent pas de cadre structuré. Les décisions sont prises dans l'urgence, sous pression budgétaire, sans visibilité sur les dépendances ni sur l'impact à moyen terme.
Le DSI n'a pas toujours les outils pour objectiver ces arbitrages devant le COMEX. Les équipes de développement n'ont pas toujours la légitimité pour imposer un délai de refactoring face à une demande métier. Et les directions métiers, de leur côté, ne mesurent pas ce que leurs exigences de rapidité coûtent au système d'information.
C'est dans cet espace, entre stratégie, architecture et delivery, que la dette technique prospère. Et c'est là que le DSI a un rôle structurant à jouer, que nul autre ne peut tenir à sa place.
Quelles sont les conséquences de la dette technique pour l'entreprise ?
Une dette technique non pilotée ne reste pas stable. Elle s'aggrave, mécaniquement, silencieusement, jusqu'à atteindre un seuil où ses effets deviennent impossibles à ignorer. Ces effets touchent simultanément les équipes, les budgets, la sécurité et la capacité de l'entreprise à se transformer. C'est cette dimension systémique qui en fait un enjeu de direction, pas seulement un problème d'équipe technique.
Coûts de maintenance en hausse, vélocité en baisse
C'est l'effet le plus immédiat et le plus documenté. Plus la dette technique s'accumule, plus le coût de maintenance augmente : chaque nouvelle fonctionnalité prend plus de temps à développer, chaque bug à corriger entraîne des effets de bord imprévus, chaque mise à jour nécessite de dénouer des dépendances mal maîtrisées.
Les équipes de développement passent alors une part croissante de leur capacité à gérer le code existant plutôt qu'à créer de la valeur nouvelle. Dans les organisations les plus exposées, jusqu'à 40 % du budget IT peut être absorbé par la maintenance de modules hérités, laissant peu de marge pour financer la transformation ou investir dans de nouvelles technologies. La vélocité baisse, les délais s'allongent, la frustration monte - côté équipes comme côté métiers.
Risques de sécurité et de conformité amplifiés
Une base de code vieillissante est une surface d'attaque. Les composants obsolètes, les mises à jour repoussées, les failles connues non corrigées constituent autant de points d'entrée pour des incidents de sécurité potentiellement critiques. La dette de sécurité est d'autant plus préoccupante qu'elle s'accumule souvent en silence, dans des couches du système d'information peu surveillées.
À cela s'ajoute une pression réglementaire croissante : le règlement européen NIS 2, entré en vigueur en 2024, impose désormais un suivi renforcé de l'état d'obsolescence des systèmes d'information critiques, avec des audits obligatoires et des sanctions en cas de non-conformité. La dette technique devient ainsi un risque juridique et réputationnel, pas seulement opérationnel.
Transformation du SI ralentie, business impacté
C'est la conséquence la plus stratégique, et celle qui engage le plus directement la responsabilité du DSI. Une organisation dont le système d'information est alourdi par une dette technique élevée ne peut pas se transformer à la vitesse que le marché exige. Chaque initiative de transformation digitale (migration cloud, déploiement d'agents IA, refonte d'un processus métier critique…) bute sur des contraintes architecturales héritées qui rallongent les délais, gonflent les budgets et multiplient les risques d'échec.
Ainsi, le SI, au lieu d'être un accélérateur de la stratégie business, devient un frein. Les directions métiers perdent confiance dans la capacité de la DSI à livrer. Et le DSI, pris en étau entre les exigences de modernisation et la réalité d'un patrimoine technique sous tension, se retrouve à arbitrer dans l'urgence plutôt qu'à piloter avec vision.
- Eric Draperi, co-fondateur de Smoteo
Comment mesurer et évaluer sa dette technique ?
On ne pilote pas ce qu'on ne mesure pas. C'est vrai pour la performance business, c'est vrai pour la dette technique. Pourtant, sa mesure reste l'un des angles morts les plus fréquents dans les organisations : difficile à quantifier, peu visible dans les reportings standards, souvent cantonnée à des métriques purement techniques que la direction ne sait pas interpréter.
L'enjeu n'est pas simplement de mesurer pour mesurer : c'est de construire une lecture partagée de la dette, entre équipes techniques, DSI et direction, comme condition préalable à tout arbitrage sérieux.
Construire une lecture partagée de la dette, entre équipes techniques, DSI et direction, est pourtant la condition préalable à tout arbitrage sérieux.
Les indicateurs clés à suivre
Plusieurs indicateurs permettent d'objectiver le niveau de dette technique d'un système d'information.
Côté qualité du code : taux de couverture des tests automatisés, densité de bugs connus non résolus, complexité cyclomatique des modules critiques.
Côté processus de développement : temps de cycle moyen entre l'écriture du code et sa mise en production, fréquence des incidents liés au code existant, ratio entre effort de maintenance et effort de développement nouveau.
Côté infrastructure : part des composants obsolètes ou en fin de support, niveau de dette de sécurité identifié lors des audits.
Aucun de ces indicateurs n'est suffisant isolément. C'est leur lecture croisée, dans le contexte du portefeuille IT, qui donne une image fidèle de la situation.
Les outils d'audit : SonarQube et cartographie applicative
SonarQube est l'outil de référence pour l'analyse statique du code source : il détecte les vulnérabilités, mesure la couverture de tests, identifie les mauvaises pratiques et estime un niveau de dette en temps de correction. C'est un point de départ solide pour les équipes de développement.
Mais pour les DSI qui pilotent un portefeuille d'applications complexe, l'analyse du code ne suffit pas. La cartographie applicative (soit le recensement structuré des applications, de leurs dépendances, de leur état technique et de leur valeur business) est l'outil complémentaire indispensable. Elle permet de situer chaque dette dans son contexte : une application critique avec une forte dette architecturale n'appelle pas le même traitement qu'un module secondaire en fin de durée de vie.
C'est cette lecture systémique qui transforme un audit technique en levier de décision stratégique.
Traduire la dette en langage de direction
Les métriques techniques parlent aux développeurs, pas nécessairement aux membres du COMEX. L'enjeu pour le DSI est de traduire ces indicateurs en langage business : coût de remédiation estimé, impact sur les délais de livraison, exposition au risque réglementaire, freins identifiés sur les initiatives stratégiques.
Construire un tableau de bord de la dette partagé entre la DSI et les directions métiers, c'est poser les bases d'un dialogue sur les arbitrages. C'est aussi la condition pour que la gestion de la dette sorte du seul domaine technique et devienne ce qu'elle devrait être : un enjeu de gouvernance d'entreprise, arbitré au même niveau que les priorités business.
Comment reprendre le contrôle sur la dette technique : le rôle du pilotage du SI
C'est ici que le rôle du DSI devient central. Réduire la dette technique durablement ne passe pas d'abord par du refactoring ou de bonnes pratiques de développement, mais par un cadre de gouvernance capable d'anticiper, de prioriser et d'arbitrer. Voici les trois leviers structurants.
Donner une visibilité transversale sur le portefeuille IT
La dette s'accumule là où la vision manque. Le premier levier est donc la cartographie : savoir quelles applications approchent de leur durée de vie raisonnable, quels modules concentrent le plus de bugs et de délais, quels choix techniques d'aujourd'hui hypothèquent quelles initiatives de demain.
Cette visibilité transversale ne relève pas des équipes de développement, mais du DSI. Et elle ne se construit pas dans une réunion : elle suppose un référentiel vivant des dépendances, des capacités et des risques, connecté à la réalité du delivery.
- Eric Draperi, co-fondateur de Smoteo
Arbitrer la dette au niveau du portefeuille
Toute la dette technique n'est pas égale. Certaines dettes sont critiques : elles exposent le SI à des risques immédiats ou bloquent des initiatives stratégiques. D'autres sont acceptables à court terme, à condition d'être tracées et planifiées.
L'enjeu pour le DSI est de faire entrer ces arbitrages dans le processus de gouvernance du portefeuille IT - au même niveau que les décisions d'investissement sur de nouvelles fonctionnalités. Sans ce cadre, les décisions de remboursement de dette restent locales, informelles, et toujours perdantes face à l'urgence du delivery.
Poser un cadre de gouvernance avant de coder
La majorité de la dette technique naît dans l'espace entre la demande métier et le lancement du développement. C'est dans cet espace, souvent trop court et trop informel, que les raccourcis de conception sont pris, que les dépendances ne sont pas cartographiées, que les risques architecturaux ne sont pas évalués.
- Eric Draperi, co-fondateur de Smoteo
Structurer cet espace demande d’imposer un cadrage systématique de chaque initiative avant tout développement : objectifs clairs, impacts business et technologiques identifiés, dépendances tracées, risques nommés. Et c'est la première ligne de défense contre l'accumulation future. C'est aussi ce qui donne aux équipes de développement les moyens de prendre des décisions éclairées plutôt que des décisions rapides.
Et avec Smoteo, ça donne quoi ?
La gestion de la dette technique bute souvent sur le même obstacle : l'absence de cadre partagé entre la DSI, les équipes de développement et les directions métiers pour arbitrer collectivement. Cette dette s'accumule là où la gouvernance manque de prise sur le réel. Smoteo adresse ce problème à trois niveaux distincts.
D'abord, la cartographie applicative : Smoteo structure les référentiels business et technologiques pour révéler les liens entre processus, capacités et projets IT. Chaque changement devient instantanément lisible, en termes d’applications, de rôles, de dépendances, d’impacts. C'est cette visibilité transversale qui permet d'identifier où la dette s'accumule, avant qu'elle ne devienne critique.
Ensuite, l'alignement stratégie-exécution : grâce au pilotage de portefeuille intégré, les initiatives de remboursement de dette peuvent être arbitrées au même niveau que les nouvelles fonctionnalités, avec une lecture claire de leur impact business et de leur coût d'opportunité. Les données remontent automatiquement depuis les outils de delivery, sans courir après l'information.
Enfin, la capitalisation des décisions : avec Smoteo, les études d'impact et les cadrages ne se perdent plus dans des slides oubliés. Ils deviennent un référentiel exploitable, un actif stratégique qui trace l'historique des choix techniques et nourrit les arbitrages futurs. C'est précisément le type de savoir collectif dont l'absence est l'une des causes profondes de la dette involontaire - et que le DSI ne peut pas reconstituer sans outillage adapté.
Résultat : la dette n'est plus gérée en réaction, elle est pilotée en anticipation - comme n'importe quelle autre variable du portefeuille.
De la mesure à la maîtrise : la dette technique comme révélateur de gouvernance
La dette technique n'est pas un problème de CTO. Ou du moins, pas seulement. C'est un révélateur de gouvernance - et à ce titre, c'est un enjeu de DSI.
Les organisations qui la maîtrisent durablement ne sont pas celles qui codent mieux. Ce sont celles qui gouvernent mieux : celles où les décisions techniques sont prises dans un cadre structuré, avec une visibilité transversale sur le portefeuille, et des arbitrages formalisés entre stratégie, architecture et delivery. La tech debt est, en ce sens, un indicateur de maturité organisationnelle autant que technique.
La mesurer, c'est bien. La gouverner, c'est mieux. L'anticiper, c'est ce qui distingue une DSI qui subit sa transformation de celle qui la conduit.
Vous souhaitez reprendre le contrôle sur votre portefeuille IT et réduire les conditions d'apparition de la dette technique ? Smoteo vous donne la visibilité transversale et le cadre de gouvernance pour arbitrer en confiance, de la stratégie au delivery : demandez votre démo de la plateforme dès maintenant.
Guide comparatif
PPM, BI, agile, delivery : quel(s) outil(s) pour votre gouvernance ?
Comparez les options à votre disposition, pour accélérer la création de valeur dans votre organisation dès demain.
La dette technique est souvent présentée comme le problème du CTO : une question de code, d'Architecture logicielle, de pratiques de développement. Une affaire de technique, gérée par des techniciens.
Pourtant, dans la plupart des organisations, ce n'est pas là qu'elle se joue vraiment. La dette technique s'accumule parce que les décisions qui la génèrent sont prises sans vision transversale du système d'information, sans arbitrage structuré entre valeur business et contraintes d'architecture, sans cadre de gouvernance capable de connecter stratégie, exécution et réalité du terrain. Autrement dit : la résoudre commence par le pilotage du SI. Et ça, c'est l'affaire du DSI.
Découvrez ici pourquoi la dette technique est moins un symptôme du code qu'un révélateur de la gouvernance IT, et des leviers concrets pour en reprendre le contrôle durablement.
En bref
La dette technique est souvent traitée comme un problème d'ingénierie. Ici, nous défendons une autre lecture : elle est avant tout un révélateur de gouvernance. Et pour les DSI et CIO, comprendre pourquoi elle s'accumule (et comment la piloter en anticipation) est devenu un enjeu stratégique à part entière.
Qu'est-ce que la dette technique ?
La métaphore financière de Ward Cunningham
La notion de dette technique a été formalisée en 1992 par Ward Cunningham, pionnier du mouvement agile. En empruntant la métaphore financière, il décrivait une réalité que tout développeur connaît : écrire du code rapidement, c'est comme contracter un prêt. On avance vite, mais on s'engage à rembourser plus tard - sous forme de corrections, de refactoring, de mises à jour structurelles. Comme toute dette, elle a un coût. Et comme toute dette mal gérée, elle produit des intérêts.
En effet, l'analogie avec la dette financière est plus qu'une figure de style : elle structure une façon de raisonner sur le temps et le coût dans le développement logiciel. Un raccourci de conception pris aujourd'hui, c'est un effort supplémentaire demain. Un module conçu sans documentation, c'est une dépendance cachée qui ralentira les prochaines évolutions.
Le coût n'est pas immédiat, mais différé. Souvent invisible dans les tableaux de bord, mais bien réel dans la base de code et dans la vélocité des équipes. Ce que Cunningham pointait, c'est que la dette technique n'est pas en soi une erreur : c'est une décision. Ce qui devient une erreur, c'est de ne pas la reconnaître, de ne pas la mesurer, et de ne pas la rembourser.
Dette technique et dette du SI : quelle distinction ?
La dette technique informatique est souvent cantonnée au code source : bugs non corrigés, architecture mal conçue, tests insuffisants. Mais dans les grandes organisations, la notion s'élargit. On parle alors de dette du système d'information : des applications obsolètes maintenues sous perfusion, des infrastructures vieillissantes, des intégrations point à point qui fragilisent l'ensemble du système d'information.
La distinction est importante pour les DSI : la première se gère au niveau des équipes de développement, la seconde se pilote au niveau du portefeuille IT. Confondre les deux, c'est traiter un symptôme sans s'attaquer à la racine.
Dette volontaire, involontaire : les deux faces d'un même problème
Martin Fowler a affiné la pensée de Cunningham en proposant quatre quadrants de la dette technique, organisés sur deux axes : volontaire/involontaire et prudente/imprudente.
Ainsi :
Une dette intentionnelle et prudente (par exemple, choisir délibérément une solution temporaire pour respecter un délai de lancement) peut être justifiée si elle est documentée et planifiée.
Une dette involontaire et imprudente (héritée de mauvaises pratiques, d'un manque de compétences ou d'une absence de standards) est autrement plus dangereuse, car elle est souvent invisible jusqu'à ce qu'elle devienne critique.
Dans les deux cas, c'est la capacité à nommer, tracer et arbitrer la dette qui fait la différence entre une organisation qui la maîtrise et une organisation qui la subit.
PPM, BI, agile, delivery : quel(s) outil(s) pour votre gouvernance ?
Télécharger le guide
Pourquoi la dette technique n'est pas seulement l'affaire du CTO
C'est la lecture la plus répandue, et la plus limitante : la dette technique serait un problème d'ingénierie, résolu par de meilleures pratiques de développement, plus de refactoring, des équipes mieux formées. Or cette lecture est incomplète.
Ce que révèle réellement la dette technique, c'est l'état de la gouvernance du système d'information. Elle s'accumule là où les décisions techniques ne sont pas éclairées par une vision transversale. Elle prospère dans les angles morts entre la stratégie, l'Architecture et le delivery. Elle s'aggrave chaque fois qu'un arbitrage est fait dans l'urgence, sans cadre structuré, sans visibilité sur les dépendances ni sur l'impact à moyen terme.
Le CTO peut poser des standards techniques, outiller les équipes, instaurer des pratiques de qualité... Mais si la gouvernance du SI ne lui donne pas la visibilité nécessaire pour connecter chaque décision technique à la trajectoire du portefeuille, la dette continuera de s'accumuler -de façon diffuse, cohérente dans sa logique locale, mais incohérente à l'échelle du système d'information. C'est pourquoi maîtriser sa dette technique est aussi (et peut-être d'abord) l'affaire du DSI.
- Eric Draperi, co-fondateur de Smoteo
Quels sont les différents types de dette technique ?
La dette technique ne se résume pas à du mauvais code. Elle prend des formes multiples, souvent invisibles les unes des autres, qui s'accumulent en silence dans des couches distinctes du système d'information. Les identifier précisément est la première condition pour les prioriser, et pour éviter de traiter un symptôme visible en laissant prospérer une cause structurelle.
Dette de code et d'architecture
C'est la forme la plus connue. Elle recouvre un code source difficile à lire, à modifier ou à tester - des structures héritées jamais refactorisées, des dépendances non maîtrisées, une conception initiale qui ne tient plus face à l'évolution des besoins.
La dette architecturale est souvent plus grave : elle touche les fondations du système. Une architecture monolithique dans un contexte qui exige de l'agilité, des microservices déployés sans standards d'observabilité, des intégrations point à point sans plateforme d'échange : autant de choix techniques qui semblaient raisonnables au moment du lancement et qui deviennent des freins structurels au fil du temps.
Parties prenantes concernées : les équipes de développement la vivent au quotidien, mais ses conséquences (délais allongés, coûts de maintenance en hausse, blocages sur les évolutions métiers) remontent directement jusqu'au DSI et aux directions métiers qui attendent des livraisons.
Dette de documentation et de tests
Un code existant non documenté, c'est une connaissance qui reste dans la tête des développeurs qui l'ont écrit. Quand ils partent, la connaissance part avec eux. La dette de documentation se matérialise dans les délais de prise en main, dans les erreurs d'interprétation, dans la difficulté à faire monter de nouveaux profils en compétence.
La dette de tests (couverture insuffisante, tests automatisés absents ou obsolètes) amplifie le risque à chaque nouvelle livraison : sans filet de sécurité, chaque modification du code source devient une source potentielle de régression.
Parties prenantes concernées : au-delà des équipes dev, c'est un enjeu de management IT et de RH (difficulté à recruter, risque de dépendance à des profils clés, coût d'intégration des nouveaux arrivants). Une dette de documentation élevée fragilise aussi la capacité de la DSI à faire évoluer son organisation.
Dette de sécurité et d'infrastructure
La dette de sécurité est l'une des plus critiques. Elle recouvre les failles connues non corrigées, les mises à jour repoussées, les composants open source obsolètes. Selon un rapport 2026 de Black Duck, 78 % des codes analysés contiennent des vulnérabilités à risque élevé ou critique, et 92 % des composants présentent un retard de plus de dix versions.
La dette d'infrastructure, elle, concerne les systèmes vieillissants maintenus au-delà de leur durée de vie raisonnable : serveurs en fin de support, bases de données non migrées, cloud hybride mal gouverné… Ces deux formes de dette pèsent directement sur la conformité réglementaire et la résilience opérationnelle du SI.
Parties prenantes concernées : DSI, RSSI, Direction Juridique, Direction de la Conformité... et potentiellement la direction générale en cas d'incident. C'est la forme de dette la plus éloignée du code et la plus proche des enjeux de gouvernance d'entreprise.
Dette organisationnelle et dette IA : les formes émergentes
Au-delà du technique, la dette organisationnelle désigne l'accumulation de processus manuels, de workflows non standardisés, de silos de compétences et de pratiques de développement logiciel non harmonisées entre équipes. Elle ralentit la coordination et fragilise la cohérence du portefeuille.
La dette liée à l'IA est plus récente mais croît rapidement : modèles déployés sans cadre de gouvernance, agents IA intégrés sans traçabilité, cycles de vie des données non maîtrisés… Contrairement à la dette IT traditionnelle, elle touche non seulement le code mais l'ensemble de la chaîne de valeur des données et des modèles - ce qui en fait un enjeu de gouvernance à part entière, que les DSI commencent à peine à outiller.
Parties prenantes concernées : DSI, Chief Data Officer, directions métiers, et souvent la direction générale. Cette forme de dette dépasse largement le périmètre technique : elle engage la stratégie data, la conformité réglementaire (AI Act, RGPD) et la capacité de l'entreprise à déployer l'IA en confiance. C'est précisément celle que les organisations sont le moins équipées pour piloter aujourd'hui.
Quelles sont les causes profondes de la dette technique ?
La dette technique ne surgit pas par manque de compétences techniques. Elle est le produit de dynamiques organisationnelles bien identifiées - et la plupart d'entre elles relèvent directement du périmètre du DSI.
La pression du time-to-market et les raccourcis de conception
La cause la plus immédiate est aussi la plus universelle : la pression du délai.
Dans un contexte où les cycles de développement logiciel s'accélèrent et où les équipes agile enchaînent les sprints, la tentation de prendre des raccourcis de conception est structurelle. On reporte le refactoring à plus tard. On livre une fonctionnalité sans couvrir les tests. On choisit une solution rapide plutôt qu'une solution pérenne.
- Eric Draperi, co-fondateur de Smoteo
Ces décisions sont souvent rationnelles à court terme : elles permettent de respecter les délais, de lancer un produit, de répondre à une demande métier urgente. Résultat : la base de code se charge d'une dette à court terme qui, faute d'être remboursée, devient une contrainte à long terme.
L'absence de vision transversale du SI
Une cause moins visible, mais plus structurelle : le manque de vision globale du système d'information.
Quand chaque équipe optimise ses propres choix techniques sans visibilité sur l'ensemble du portefeuille, la dette technique s'accumule de façon diffuse et cohérente dans sa propre logique locale, mais incohérente à l'échelle du SI. Les applications prolifèrent sans urbanisation. Les mises à jour se font en silo. Les dépendances entre modules ne sont pas cartographiées.
Ce n'est pas de la négligence - c'est l'effet prévisible d'une organisation où la gouvernance du SI est fragmentée. Chaque décision technique, prise isolément, semble raisonnable. C'est leur accumulation sans fil rouge qui génère la dette.
C'est précisément le cœur du problème pour le DSI : l'absence de vision transversale n'est pas une faille technique, mais une faille de gouvernance. Et elle ne se résout pas en demandant aux équipes de mieux coder, mais en structurant le cadre dans lequel les décisions techniques sont prises.
- Eric Draperi, co-fondateur de Smoteo
Des décisions d'arbitrage prises sans cadre de gouvernance
C'est la cause la plus stratégique… et la moins traitée. Dans beaucoup d'organisations, les arbitrages entre valeur business, coût technique et risque architectural ne disposent pas de cadre structuré. Les décisions sont prises dans l'urgence, sous pression budgétaire, sans visibilité sur les dépendances ni sur l'impact à moyen terme.
Le DSI n'a pas toujours les outils pour objectiver ces arbitrages devant le COMEX. Les équipes de développement n'ont pas toujours la légitimité pour imposer un délai de refactoring face à une demande métier. Et les directions métiers, de leur côté, ne mesurent pas ce que leurs exigences de rapidité coûtent au système d'information.
C'est dans cet espace, entre stratégie, architecture et delivery, que la dette technique prospère. Et c'est là que le DSI a un rôle structurant à jouer, que nul autre ne peut tenir à sa place.
Quelles sont les conséquences de la dette technique pour l'entreprise ?
Une dette technique non pilotée ne reste pas stable. Elle s'aggrave, mécaniquement, silencieusement, jusqu'à atteindre un seuil où ses effets deviennent impossibles à ignorer. Ces effets touchent simultanément les équipes, les budgets, la sécurité et la capacité de l'entreprise à se transformer. C'est cette dimension systémique qui en fait un enjeu de direction, pas seulement un problème d'équipe technique.
Coûts de maintenance en hausse, vélocité en baisse
C'est l'effet le plus immédiat et le plus documenté. Plus la dette technique s'accumule, plus le coût de maintenance augmente : chaque nouvelle fonctionnalité prend plus de temps à développer, chaque bug à corriger entraîne des effets de bord imprévus, chaque mise à jour nécessite de dénouer des dépendances mal maîtrisées.
Les équipes de développement passent alors une part croissante de leur capacité à gérer le code existant plutôt qu'à créer de la valeur nouvelle. Dans les organisations les plus exposées, jusqu'à 40 % du budget IT peut être absorbé par la maintenance de modules hérités, laissant peu de marge pour financer la transformation ou investir dans de nouvelles technologies. La vélocité baisse, les délais s'allongent, la frustration monte - côté équipes comme côté métiers.
Risques de sécurité et de conformité amplifiés
Une base de code vieillissante est une surface d'attaque. Les composants obsolètes, les mises à jour repoussées, les failles connues non corrigées constituent autant de points d'entrée pour des incidents de sécurité potentiellement critiques. La dette de sécurité est d'autant plus préoccupante qu'elle s'accumule souvent en silence, dans des couches du système d'information peu surveillées.
À cela s'ajoute une pression réglementaire croissante : le règlement européen NIS 2, entré en vigueur en 2024, impose désormais un suivi renforcé de l'état d'obsolescence des systèmes d'information critiques, avec des audits obligatoires et des sanctions en cas de non-conformité. La dette technique devient ainsi un risque juridique et réputationnel, pas seulement opérationnel.
Transformation du SI ralentie, business impacté
C'est la conséquence la plus stratégique, et celle qui engage le plus directement la responsabilité du DSI. Une organisation dont le système d'information est alourdi par une dette technique élevée ne peut pas se transformer à la vitesse que le marché exige. Chaque initiative de transformation digitale (migration cloud, déploiement d'agents IA, refonte d'un processus métier critique…) bute sur des contraintes architecturales héritées qui rallongent les délais, gonflent les budgets et multiplient les risques d'échec.
Ainsi, le SI, au lieu d'être un accélérateur de la stratégie business, devient un frein. Les directions métiers perdent confiance dans la capacité de la DSI à livrer. Et le DSI, pris en étau entre les exigences de modernisation et la réalité d'un patrimoine technique sous tension, se retrouve à arbitrer dans l'urgence plutôt qu'à piloter avec vision.
- Eric Draperi, co-fondateur de Smoteo
Comment mesurer et évaluer sa dette technique ?
On ne pilote pas ce qu'on ne mesure pas. C'est vrai pour la performance business, c'est vrai pour la dette technique. Pourtant, sa mesure reste l'un des angles morts les plus fréquents dans les organisations : difficile à quantifier, peu visible dans les reportings standards, souvent cantonnée à des métriques purement techniques que la direction ne sait pas interpréter.
L'enjeu n'est pas simplement de mesurer pour mesurer : c'est de construire une lecture partagée de la dette, entre équipes techniques, DSI et direction, comme condition préalable à tout arbitrage sérieux.
Construire une lecture partagée de la dette, entre équipes techniques, DSI et direction, est pourtant la condition préalable à tout arbitrage sérieux.
Les indicateurs clés à suivre
Plusieurs indicateurs permettent d'objectiver le niveau de dette technique d'un système d'information.
Côté qualité du code : taux de couverture des tests automatisés, densité de bugs connus non résolus, complexité cyclomatique des modules critiques.
Côté processus de développement : temps de cycle moyen entre l'écriture du code et sa mise en production, fréquence des incidents liés au code existant, ratio entre effort de maintenance et effort de développement nouveau.
Côté infrastructure : part des composants obsolètes ou en fin de support, niveau de dette de sécurité identifié lors des audits.
Aucun de ces indicateurs n'est suffisant isolément. C'est leur lecture croisée, dans le contexte du portefeuille IT, qui donne une image fidèle de la situation.
Les outils d'audit : SonarQube et cartographie applicative
SonarQube est l'outil de référence pour l'analyse statique du code source : il détecte les vulnérabilités, mesure la couverture de tests, identifie les mauvaises pratiques et estime un niveau de dette en temps de correction. C'est un point de départ solide pour les équipes de développement.
Mais pour les DSI qui pilotent un portefeuille d'applications complexe, l'analyse du code ne suffit pas. La cartographie applicative (soit le recensement structuré des applications, de leurs dépendances, de leur état technique et de leur valeur business) est l'outil complémentaire indispensable. Elle permet de situer chaque dette dans son contexte : une application critique avec une forte dette architecturale n'appelle pas le même traitement qu'un module secondaire en fin de durée de vie.
C'est cette lecture systémique qui transforme un audit technique en levier de décision stratégique.
Traduire la dette en langage de direction
Les métriques techniques parlent aux développeurs, pas nécessairement aux membres du COMEX. L'enjeu pour le DSI est de traduire ces indicateurs en langage business : coût de remédiation estimé, impact sur les délais de livraison, exposition au risque réglementaire, freins identifiés sur les initiatives stratégiques.
Construire un tableau de bord de la dette partagé entre la DSI et les directions métiers, c'est poser les bases d'un dialogue sur les arbitrages. C'est aussi la condition pour que la gestion de la dette sorte du seul domaine technique et devienne ce qu'elle devrait être : un enjeu de gouvernance d'entreprise, arbitré au même niveau que les priorités business.
Comment reprendre le contrôle sur la dette technique : le rôle du pilotage du SI
C'est ici que le rôle du DSI devient central. Réduire la dette technique durablement ne passe pas d'abord par du refactoring ou de bonnes pratiques de développement, mais par un cadre de gouvernance capable d'anticiper, de prioriser et d'arbitrer. Voici les trois leviers structurants.
Donner une visibilité transversale sur le portefeuille IT
La dette s'accumule là où la vision manque. Le premier levier est donc la cartographie : savoir quelles applications approchent de leur durée de vie raisonnable, quels modules concentrent le plus de bugs et de délais, quels choix techniques d'aujourd'hui hypothèquent quelles initiatives de demain.
Cette visibilité transversale ne relève pas des équipes de développement, mais du DSI. Et elle ne se construit pas dans une réunion : elle suppose un référentiel vivant des dépendances, des capacités et des risques, connecté à la réalité du delivery.
- Eric Draperi, co-fondateur de Smoteo
Arbitrer la dette au niveau du portefeuille
Toute la dette technique n'est pas égale. Certaines dettes sont critiques : elles exposent le SI à des risques immédiats ou bloquent des initiatives stratégiques. D'autres sont acceptables à court terme, à condition d'être tracées et planifiées.
L'enjeu pour le DSI est de faire entrer ces arbitrages dans le processus de gouvernance du portefeuille IT - au même niveau que les décisions d'investissement sur de nouvelles fonctionnalités. Sans ce cadre, les décisions de remboursement de dette restent locales, informelles, et toujours perdantes face à l'urgence du delivery.
Poser un cadre de gouvernance avant de coder
La majorité de la dette technique naît dans l'espace entre la demande métier et le lancement du développement. C'est dans cet espace, souvent trop court et trop informel, que les raccourcis de conception sont pris, que les dépendances ne sont pas cartographiées, que les risques architecturaux ne sont pas évalués.
- Eric Draperi, co-fondateur de Smoteo
Structurer cet espace demande d’imposer un cadrage systématique de chaque initiative avant tout développement : objectifs clairs, impacts business et technologiques identifiés, dépendances tracées, risques nommés. Et c'est la première ligne de défense contre l'accumulation future. C'est aussi ce qui donne aux équipes de développement les moyens de prendre des décisions éclairées plutôt que des décisions rapides.
Et avec Smoteo, ça donne quoi ?
La gestion de la dette technique bute souvent sur le même obstacle : l'absence de cadre partagé entre la DSI, les équipes de développement et les directions métiers pour arbitrer collectivement. Cette dette s'accumule là où la gouvernance manque de prise sur le réel. Smoteo adresse ce problème à trois niveaux distincts.
D'abord, la cartographie applicative : Smoteo structure les référentiels business et technologiques pour révéler les liens entre processus, capacités et projets IT. Chaque changement devient instantanément lisible, en termes d’applications, de rôles, de dépendances, d’impacts. C'est cette visibilité transversale qui permet d'identifier où la dette s'accumule, avant qu'elle ne devienne critique.
Ensuite, l'alignement stratégie-exécution : grâce au pilotage de portefeuille intégré, les initiatives de remboursement de dette peuvent être arbitrées au même niveau que les nouvelles fonctionnalités, avec une lecture claire de leur impact business et de leur coût d'opportunité. Les données remontent automatiquement depuis les outils de delivery, sans courir après l'information.
Enfin, la capitalisation des décisions : avec Smoteo, les études d'impact et les cadrages ne se perdent plus dans des slides oubliés. Ils deviennent un référentiel exploitable, un actif stratégique qui trace l'historique des choix techniques et nourrit les arbitrages futurs. C'est précisément le type de savoir collectif dont l'absence est l'une des causes profondes de la dette involontaire - et que le DSI ne peut pas reconstituer sans outillage adapté.
Résultat : la dette n'est plus gérée en réaction, elle est pilotée en anticipation - comme n'importe quelle autre variable du portefeuille.
De la mesure à la maîtrise : la dette technique comme révélateur de gouvernance
La dette technique n'est pas un problème de CTO. Ou du moins, pas seulement. C'est un révélateur de gouvernance - et à ce titre, c'est un enjeu de DSI.
Les organisations qui la maîtrisent durablement ne sont pas celles qui codent mieux. Ce sont celles qui gouvernent mieux : celles où les décisions techniques sont prises dans un cadre structuré, avec une visibilité transversale sur le portefeuille, et des arbitrages formalisés entre stratégie, architecture et delivery. La tech debt est, en ce sens, un indicateur de maturité organisationnelle autant que technique.
La mesurer, c'est bien. La gouverner, c'est mieux. L'anticiper, c'est ce qui distingue une DSI qui subit sa transformation de celle qui la conduit.
Vous souhaitez reprendre le contrôle sur votre portefeuille IT et réduire les conditions d'apparition de la dette technique ? Smoteo vous donne la visibilité transversale et le cadre de gouvernance pour arbitrer en confiance, de la stratégie au delivery : demandez votre démo de la plateforme dès maintenant.
Guide comparatif
PPM, BI, agile, delivery : quel(s) outil(s) pour votre gouvernance ?
À propos de l'auteur
Eric Draperi
Cofounder @ Smoteo
J’ai passé une grande partie de ma carrière à décrypter la complexité des systèmes d’information. D’abord architecte omnicanal, j’ai accompagné des entreprises confrontées à un défi commun : connecter leurs mondes (ceux du business et de l’IT) sans perdre en agilité ni en clarté. J’ai contribué à plusieurs transformations numériques, toujours avec la même conviction : une architecture ne vaut que si elle sert concrètement la stratégie et la création de valeur.
À propos de l'auteur
Eric Draperi
Cofounder @ Smoteo
J’ai passé une grande partie de ma carrière à décrypter la complexité des systèmes d’information. D’abord architecte omnicanal, j’ai accompagné des entreprises confrontées à un défi commun : connecter leurs mondes (ceux du business et de l’IT) sans perdre en agilité ni en clarté. J’ai contribué à plusieurs transformations numériques, toujours avec la même conviction : une architecture ne vaut que si elle sert concrètement la stratégie et la création de valeur.
Chacun fait bouger
les lignes, Smoteo
les connecte
Que vous soyez CIO, Architecte, PMO ou Product Owner, nous vous accompagnons.
Chacun fait bouger
les lignes, Smoteo
les connecte
Que vous soyez CIO, Architecte, PMO ou Product Owner, nous vous accompagnons.