Publicité en cours de chargement...
La SSI chiffrée entre 5 % et 10 % du budget DSI. Vraiment ?
Parmi les annonces faites, il a été déclaré dans une conférence de presse que « les établissements de santé devront consacrer entre 5 % et 10 % du budget informatique à la cybersécurité pour bénéficier du soutien de l’État ». On ne peut que se féliciter de l’arrivée de moyens dans un domaine qui en manque cruellement mais, en termes de processus de décision, il s’agit de ce que Christian Morel appelle une « souricière cognitive ».
D’une part, et le non-initié pourra s’en étonner, il est très difficile de calculer le budget SSI, tout simplement parce qu’il est très difficile d’arrêter un périmètre (logiciels, matériel, temps agents) qui relève de la SSI. OK, on voit bien que l’antivirus et la sauvegarde en font partie, que le pare-feu aussi : ce sont des éléments qui participent directement à la SSI. Mais le dispositif IAM (Identity and Access Management, avec son serveur de PKI, son imprimante pour carte à puce) ? L’outil de collecte des traces techniques ? La console de supervision (Nagios ou autre) ? Sans parler de mon préféré : le système d’archivage des données (qui accessoirement coûte une blinde). Je pourrais tout aussi bien vous démontrer que ces dispositifs font partie de la SSI que l’inverse, avec la plus pure mauvaise foi qui me caractérise habituellement. Et encore, on ne parle que d’équipements matériels ou logiciels : quid des agents pour installer et maintenir en fonctionnement tout ce bazar ? Dit autrement, n’importe qui peut vous démontrer sans difficulté que l’établissement affecte déjà largement plus que le seuil minimal de 5 % à la SSI. Quand il est aussi facile de tordre une question et sa réponse, c’est que la sémantique d’origine est très discutable.
Vouloir entrer dans ce genre de comptes d’apothicaire n’aboutit qu’à une seule finalité, toujours la même : les équipes cyber vont s’entendre dire que les moyens exigés par les pouvoirs publics existent déjà. Nulle raison donc d’en affecter plus, de recruter plus, d’installer plus, sujet clos, fermez le ban. C’est ça, une souricière cognitive.
Mais, d’autre part, la souricière en question recèle une autre facette, nettement plus savonneuse. Le raisonnement n’est pas « Question : combien de budget devons-nous affecter à la SSI ? Réponse : entre 5 % et 10 % », mais « Question : contre quel risque cyber devons-nous nous protéger ? Réponse : contre les attaques cyber par cryptolocker – Conclusion : alors, il nous faut x % du budget en plus ». On ne met pas un paquet de billets de banque sur la table pour se demander ensuite quoi en faire, on exprime un besoin métier (ici, la sécurité cyber face à une nouvelle classe de risque) et on chiffre ensuite le coût de la réponse à ce nouveau besoin – libre au demandeur initial de financer ou pas, en toute connaissance de cause si la réponse est négative. Je suis fichtre incapable de dire combien une DSI doit dépenser en SSI, par contre je peux lister les contre-mesures à prendre face à un nouveau risque et les chiffrer. Un ingénieur (un expert au sens large) sait chiffrer la réponse à un besoin, un ingénieur ou un expert ne doit surtout pas se demander ce qu’il peut bien faire avec le budget qu’on vient de lui allouer : se laisser entraîner dans cette souricière cognitive, c’est prendre le risque de se voir reprocher un incident IT – ben oui cher monsieur, on vous avait donné des budgets, et vous n’avez pas su bien les utiliser. Accepter les moyens, c’est reconnaître de facto qu’ils suffisent à satisfaire le besoin.
Si la fourchette de 5 % à 10 % précédemment évoquée a des impacts positifs évidents (prise de conscience évoquée plus haut), elle ne sert pas à grand-chose puisqu’il faut partir du besoin pour calculer les moyens, et non l’inverse. À titre personnel, une première estimation – à la louche, mais vraiment à la louche – semble démontrer que, pour prendre en compte a minima ce nouveau risque en plus de la cartographie existante supposée déjà traitée, il faudrait affecter entre 2 % et 3 % des ETP d’une DSI. Et encore, sans parler des acquisitions matérielles ou logicielles additionnelles, des dispositifs de type SOC ou EDR qui font consensus sur les forums de spécialistes, etc. On parle bien de moyens en plus.
Il serait intéressant de pouvoir faire un comparatif avec le coût de sécurisation d’un véhicule, sur une durée de quatre ans par exemple, en incluant l’assurance, l’entretien, le coût des dispositifs de protection tels que les airbags, l’antidémarrage, etc. On dépasse allègrement les 5 % du coût d’acquisition dudit véhicule, et il est clair que le chiffre réel est nettement plus élevé. Et, curieusement, quand on parle de bagnole, personne n’est surpris.
La question des attaques de ransomware ne laisse de toute manière que deux certitudes : c’est une véritable cochonnerie, et la facture va être salée.
Avez-vous apprécié ce contenu ?
A lire également.

Les cyber-tuiles ont toutes été posées par cyber-temps sec
27 oct. 2025 - 22:19,
Tribune
-Chaque semaine, je me demande bien ce que je vais pouvoir raconter dans le billet de la semaine suivante… et il me suffit de jeter un œil sur l’actualité pour tomber sur des sujets en veux-tu en voilà qu’il est d’autant plus facile de relier à la cyber que les analogies sautent aux yeux comme une am...

Lancement d’un appel à manifestation d’intérêt sur les DMN
27 oct. 2025 - 22:17,
Actualité
- Damien Dubois, DSIHStation [e]-Santé a lancé son appel à manifestation d’intérêt sur les dispositifs médicaux numériques dans le cadre du plan Innovation Santé 2030. Il est ouvert jusqu’au 1er décembre.
RGPD et cyber : l’ouverture de la chasse à la bécasse et à la galinette cendrée[1]
20 oct. 2025 - 13:47,
Tribune
-En l’espace d’une semaine, je tombe sur deux « news » de la planète RGPD/RSSI, à propos desquelles on se demande comment les organisations impliquées ont bien pu « en arriver là » – sans conséquences gravissimes, heureusement.

La plateforme de télémédecine Rofim lève 10 millions d’euros pour poursuivre sa croissance et internationaliser son activité
15 sept. 2025 - 22:03,
Actualité
- Propos recueillis par Mehdi Lebranchu et Pauline NicolasPensée par et pour des médecins en 2018, Rofim est une plateforme de télémédecine qui regroupe désormais six modules afin de permettre aux patients de recevoir le juste soin, au bon endroit, au bon moment et par le bon professionnel de santé. En cette rentrée 2025, Rofim annonce une levée de fonds d...
