La SSI chiffrée entre 5 % et 10 % du budget DSI. Vraiment ?

Parmi les annonces faites, il a été déclaré dans une conférence de presse que « les établissements de santé devront consacrer entre 5 % et 10 % du budget informatique à la cybersécurité pour bénéficier du soutien de l’État ». On ne peut que se féliciter de l’arrivée de moyens dans un domaine qui en manque cruellement mais, en termes de processus de décision, il s’agit de ce que Christian Morel appelle une « souricière cognitive ».

D’une part, et le non-initié pourra s’en étonner, il est très difficile de calculer le budget SSI, tout simplement parce qu’il est très difficile d’arrêter un périmètre (logiciels, matériel, temps agents) qui relève de la SSI. OK, on voit bien que l’antivirus et la sauvegarde en font partie, que le pare-feu aussi : ce sont des éléments qui participent directement à la SSI. Mais le dispositif IAM (Identity and Access Management, avec son serveur de PKI, son imprimante pour carte à puce) ? L’outil de collecte des traces techniques ? La console de supervision (Nagios ou autre) ? Sans parler de mon préféré : le système d’archivage des données (qui accessoirement coûte une blinde). Je pourrais tout aussi bien vous démontrer que ces dispositifs font partie de la SSI que l’inverse, avec la plus pure mauvaise foi qui me caractérise habituellement. Et encore, on ne parle que d’équipements matériels ou logiciels : quid des agents pour installer et maintenir en fonctionnement tout ce bazar ? Dit autrement, n’importe qui peut vous démontrer sans difficulté que l’établissement affecte déjà largement plus que le seuil minimal de 5 % à la SSI. Quand il est aussi facile de tordre une question et sa réponse, c’est que la sémantique d’origine est très discutable.

Vouloir entrer dans ce genre de comptes d’apothicaire n’aboutit qu’à une seule finalité, toujours la même : les équipes cyber vont s’entendre dire que les moyens exigés par les pouvoirs publics existent déjà. Nulle raison donc d’en affecter plus, de recruter plus, d’installer plus, sujet clos, fermez le ban. C’est ça, une souricière cognitive.

Mais, d’autre part, la souricière en question recèle une autre facette, nettement plus savonneuse. Le raisonnement n’est pas « Question : combien de budget devons-nous affecter à la SSI ? Réponse : entre 5 % et 10 % », mais « Question : contre quel risque cyber devons-nous nous protéger ? Réponse : contre les attaques cyber par cryptolocker – Conclusion : alors, il nous faut x % du budget en plus ». On ne met pas un paquet de billets de banque sur la table pour se demander ensuite quoi en faire, on exprime un besoin métier (ici, la sécurité cyber face à une nouvelle classe de risque) et on chiffre ensuite le coût de la réponse à ce nouveau besoin – libre au demandeur initial de financer ou pas, en toute connaissance de cause si la réponse est négative. Je suis fichtre incapable de dire combien une DSI doit dépenser en SSI, par contre je peux lister les contre-mesures à prendre face à un nouveau risque et les chiffrer. Un ingénieur (un expert au sens large) sait chiffrer la réponse à un besoin, un ingénieur ou un expert ne doit surtout pas se demander ce qu’il peut bien faire avec le budget qu’on vient de lui allouer : se laisser entraîner dans cette souricière cognitive, c’est prendre le risque de se voir reprocher un incident IT – ben oui cher monsieur, on vous avait donné des budgets, et vous n’avez pas su bien les utiliser. Accepter les moyens, c’est reconnaître de facto qu’ils suffisent à satisfaire le besoin.

Si la fourchette de 5 % à 10 % précédemment évoquée a des impacts positifs évidents (prise de conscience évoquée plus haut), elle ne sert pas à grand-chose puisqu’il faut partir du besoin pour calculer les moyens, et non l’inverse. À titre personnel, une première estimation – à la louche, mais vraiment à la louche – semble démontrer que, pour prendre en compte a minima ce nouveau risque en plus de la cartographie existante supposée déjà traitée, il faudrait affecter entre 2 % et 3 % des ETP d’une DSI. Et encore, sans parler des acquisitions matérielles ou logicielles additionnelles, des dispositifs de type SOC ou EDR qui font consensus sur les forums de spécialistes, etc. On parle bien de moyens en plus.

Il serait intéressant de pouvoir faire un comparatif avec le coût de sécurisation d’un véhicule, sur une durée de quatre ans par exemple, en incluant l’assurance, l’entretien, le coût des dispositifs de protection tels que les airbags, l’antidémarrage, etc. On dépasse allègrement les 5 % du coût d’acquisition dudit véhicule, et il est clair que le chiffre réel est nettement plus élevé. Et, curieusement, quand on parle de bagnole, personne n’est surpris.

La question des attaques de ransomware ne laisse de toute manière que deux certitudes : c’est une véritable cochonnerie, et la facture va être salée.