Publicité en cours de chargement...

Publicité en cours de chargement...

La SSI chiffrée entre 5 % et 10 % du budget DSI. Vraiment ?

02 mars 2021 - 09:44,
Tribune - Cédric Cartau
Dans la suite des attaques cyber qu’ont connues les hôpitaux de Dax et de Villefranche en février, les pouvoirs publics semblent avoir pris réellement la mesure de ce que signifie un blocage par un cryptolocker – un des très rares risques en mesure, au demeurant, de paralyser totalement le fonctionnement d’une entreprise privée pendant plusieurs semaines.

Parmi les annonces faites, il a été déclaré dans une conférence de presse que « les établissements de santé devront consacrer entre 5 % et 10 % du budget informatique à la cybersécurité pour bénéficier du soutien de l’État ». On ne peut que se féliciter de l’arrivée de moyens dans un domaine qui en manque cruellement mais, en termes de processus de décision, il s’agit de ce que Christian Morel appelle une « souricière cognitive ».

D’une part, et le non-initié pourra s’en étonner, il est très difficile de calculer le budget SSI, tout simplement parce qu’il est très difficile d’arrêter un périmètre (logiciels, matériel, temps agents) qui relève de la SSI. OK, on voit bien que l’antivirus et la sauvegarde en font partie, que le pare-feu aussi : ce sont des éléments qui participent directement à la SSI. Mais le dispositif IAM (Identity and Access Management, avec son serveur de PKI, son imprimante pour carte à puce) ? L’outil de collecte des traces techniques ? La console de supervision (Nagios ou autre) ? Sans parler de mon préféré : le système d’archivage des données (qui accessoirement coûte une blinde). Je pourrais tout aussi bien vous démontrer que ces dispositifs font partie de la SSI que l’inverse, avec la plus pure mauvaise foi qui me caractérise habituellement. Et encore, on ne parle que d’équipements matériels ou logiciels : quid des agents pour installer et maintenir en fonctionnement tout ce bazar ? Dit autrement, n’importe qui peut vous démontrer sans difficulté que l’établissement affecte déjà largement plus que le seuil minimal de 5 % à la SSI. Quand il est aussi facile de tordre une question et sa réponse, c’est que la sémantique d’origine est très discutable.

Vouloir entrer dans ce genre de comptes d’apothicaire n’aboutit qu’à une seule finalité, toujours la même : les équipes cyber vont s’entendre dire que les moyens exigés par les pouvoirs publics existent déjà. Nulle raison donc d’en affecter plus, de recruter plus, d’installer plus, sujet clos, fermez le ban. C’est ça, une souricière cognitive.

Mais, d’autre part, la souricière en question recèle une autre facette, nettement plus savonneuse. Le raisonnement n’est pas « Question : combien de budget devons-nous affecter à la SSI ? Réponse : entre 5 % et 10 % », mais « Question : contre quel risque cyber devons-nous nous protéger ? Réponse : contre les attaques cyber par cryptolocker – Conclusion : alors, il nous faut x % du budget en plus ». On ne met pas un paquet de billets de banque sur la table pour se demander ensuite quoi en faire, on exprime un besoin métier (ici, la sécurité cyber face à une nouvelle classe de risque) et on chiffre ensuite le coût de la réponse à ce nouveau besoin – libre au demandeur initial de financer ou pas, en toute connaissance de cause si la réponse est négative. Je suis fichtre incapable de dire combien une DSI doit dépenser en SSI, par contre je peux lister les contre-mesures à prendre face à un nouveau risque et les chiffrer. Un ingénieur (un expert au sens large) sait chiffrer la réponse à un besoin, un ingénieur ou un expert ne doit surtout pas se demander ce qu’il peut bien faire avec le budget qu’on vient de lui allouer : se laisser entraîner dans cette souricière cognitive, c’est prendre le risque de se voir reprocher un incident IT – ben oui cher monsieur, on vous avait donné des budgets, et vous n’avez pas su bien les utiliser. Accepter les moyens, c’est reconnaître de facto qu’ils suffisent à satisfaire le besoin.

Si la fourchette de 5 % à 10 % précédemment évoquée a des impacts positifs évidents (prise de conscience évoquée plus haut), elle ne sert pas à grand-chose puisqu’il faut partir du besoin pour calculer les moyens, et non l’inverse. À titre personnel, une première estimation – à la louche, mais vraiment à la louche – semble démontrer que, pour prendre en compte a minima ce nouveau risque en plus de la cartographie existante supposée déjà traitée, il faudrait affecter entre 2 % et 3 % des ETP d’une DSI. Et encore, sans parler des acquisitions matérielles ou logicielles additionnelles, des dispositifs de type SOC ou EDR qui font consensus sur les forums de spécialistes, etc. On parle bien de moyens en plus.

Il serait intéressant de pouvoir faire un comparatif avec le coût de sécurisation d’un véhicule, sur une durée de quatre ans par exemple, en incluant l’assurance, l’entretien, le coût des dispositifs de protection tels que les airbags, l’antidémarrage, etc. On dépasse allègrement les 5 % du coût d’acquisition dudit véhicule, et il est clair que le chiffre réel est nettement plus élevé. Et, curieusement, quand on parle de bagnole, personne n’est surpris.

La question des attaques de ransomware ne laisse de toute manière que deux certitudes : c’est une véritable cochonnerie, et la facture va être salée.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le Groupe Softway Medical accueille Bain Capital Europe au sein de sa structure capitalistique

Le Groupe Softway Medical accueille Bain Capital Europe au sein de sa structure capitalistique

22 avril 2025 - 15:27,

Communiqué

- Groupe Softway Medical

22 avril, 2025 – le Groupe Softway Medical, un leader européen des systèmes d’information en santé, à la fois éditeur, hébergeur et intégrateur pour les établissements de santé publics et privés en France, au Canada et à travers l’Europe, annonce aujourd’hui l’arrivée du fonds de capital-investissem...

Illustration L’IA en action : les conditions d’un déploiement réussi au sein des équipes de soins

L’IA en action : les conditions d’un déploiement réussi au sein des équipes de soins

21 avril 2025 - 18:55,

Tribune

- Arnaud HAVE, Directeur Conseil Weliom

L’intégration de l’intelligence artificielle (IA) dans les établissements sanitaires et médico-sociaux représente un défi majeur – à la fois culturel, opérationnel et technique. Pour maximiser les bénéfices concrets de l’IA, les ambitions doivent être alignées sur la maturité de la structure, des éq...

Illustration AAP sur les innovations organisationnelles basées sur le numérique

AAP sur les innovations organisationnelles basées sur le numérique

14 avril 2025 - 21:50,

Actualité

- DSIH, Damien Dubois

L’Agence régionale de santé d’Île-de-France a lancé début avril un appel à projets sur les innovations organisationnelles s’appuyant sur des solutions numériques et technologiques.

Illustration Greffes & transplantations : pour répondre aux enjeux majeurs du secteur, France Biotech mobilise les acteurs de l’innovation santé !

Greffes & transplantations : pour répondre aux enjeux majeurs du secteur, France Biotech mobilise les acteurs de l’innovation santé !

14 avril 2025 - 12:36,

Communiqué

- France Biotech

L’ambition : accélérer l’innovation de rupture, faire émerger des solutions concrètes – biologiques, technologiques, thérapeutiques – et redonner espoir aux patients en attente de dons d’organe et de tissus.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.