Publicité en cours de chargement...

Publicité en cours de chargement...

La SSI chiffrée entre 5 % et 10 % du budget DSI. Vraiment ?

02 mars 2021 - 09:44,
Tribune - Cédric Cartau
Dans la suite des attaques cyber qu’ont connues les hôpitaux de Dax et de Villefranche en février, les pouvoirs publics semblent avoir pris réellement la mesure de ce que signifie un blocage par un cryptolocker – un des très rares risques en mesure, au demeurant, de paralyser totalement le fonctionnement d’une entreprise privée pendant plusieurs semaines.

Parmi les annonces faites, il a été déclaré dans une conférence de presse que « les établissements de santé devront consacrer entre 5 % et 10 % du budget informatique à la cybersécurité pour bénéficier du soutien de l’État ». On ne peut que se féliciter de l’arrivée de moyens dans un domaine qui en manque cruellement mais, en termes de processus de décision, il s’agit de ce que Christian Morel appelle une « souricière cognitive ».

D’une part, et le non-initié pourra s’en étonner, il est très difficile de calculer le budget SSI, tout simplement parce qu’il est très difficile d’arrêter un périmètre (logiciels, matériel, temps agents) qui relève de la SSI. OK, on voit bien que l’antivirus et la sauvegarde en font partie, que le pare-feu aussi : ce sont des éléments qui participent directement à la SSI. Mais le dispositif IAM (Identity and Access Management, avec son serveur de PKI, son imprimante pour carte à puce) ? L’outil de collecte des traces techniques ? La console de supervision (Nagios ou autre) ? Sans parler de mon préféré : le système d’archivage des données (qui accessoirement coûte une blinde). Je pourrais tout aussi bien vous démontrer que ces dispositifs font partie de la SSI que l’inverse, avec la plus pure mauvaise foi qui me caractérise habituellement. Et encore, on ne parle que d’équipements matériels ou logiciels : quid des agents pour installer et maintenir en fonctionnement tout ce bazar ? Dit autrement, n’importe qui peut vous démontrer sans difficulté que l’établissement affecte déjà largement plus que le seuil minimal de 5 % à la SSI. Quand il est aussi facile de tordre une question et sa réponse, c’est que la sémantique d’origine est très discutable.

Vouloir entrer dans ce genre de comptes d’apothicaire n’aboutit qu’à une seule finalité, toujours la même : les équipes cyber vont s’entendre dire que les moyens exigés par les pouvoirs publics existent déjà. Nulle raison donc d’en affecter plus, de recruter plus, d’installer plus, sujet clos, fermez le ban. C’est ça, une souricière cognitive.

Mais, d’autre part, la souricière en question recèle une autre facette, nettement plus savonneuse. Le raisonnement n’est pas « Question : combien de budget devons-nous affecter à la SSI ? Réponse : entre 5 % et 10 % », mais « Question : contre quel risque cyber devons-nous nous protéger ? Réponse : contre les attaques cyber par cryptolocker – Conclusion : alors, il nous faut x % du budget en plus ». On ne met pas un paquet de billets de banque sur la table pour se demander ensuite quoi en faire, on exprime un besoin métier (ici, la sécurité cyber face à une nouvelle classe de risque) et on chiffre ensuite le coût de la réponse à ce nouveau besoin – libre au demandeur initial de financer ou pas, en toute connaissance de cause si la réponse est négative. Je suis fichtre incapable de dire combien une DSI doit dépenser en SSI, par contre je peux lister les contre-mesures à prendre face à un nouveau risque et les chiffrer. Un ingénieur (un expert au sens large) sait chiffrer la réponse à un besoin, un ingénieur ou un expert ne doit surtout pas se demander ce qu’il peut bien faire avec le budget qu’on vient de lui allouer : se laisser entraîner dans cette souricière cognitive, c’est prendre le risque de se voir reprocher un incident IT – ben oui cher monsieur, on vous avait donné des budgets, et vous n’avez pas su bien les utiliser. Accepter les moyens, c’est reconnaître de facto qu’ils suffisent à satisfaire le besoin.

Si la fourchette de 5 % à 10 % précédemment évoquée a des impacts positifs évidents (prise de conscience évoquée plus haut), elle ne sert pas à grand-chose puisqu’il faut partir du besoin pour calculer les moyens, et non l’inverse. À titre personnel, une première estimation – à la louche, mais vraiment à la louche – semble démontrer que, pour prendre en compte a minima ce nouveau risque en plus de la cartographie existante supposée déjà traitée, il faudrait affecter entre 2 % et 3 % des ETP d’une DSI. Et encore, sans parler des acquisitions matérielles ou logicielles additionnelles, des dispositifs de type SOC ou EDR qui font consensus sur les forums de spécialistes, etc. On parle bien de moyens en plus.

Il serait intéressant de pouvoir faire un comparatif avec le coût de sécurisation d’un véhicule, sur une durée de quatre ans par exemple, en incluant l’assurance, l’entretien, le coût des dispositifs de protection tels que les airbags, l’antidémarrage, etc. On dépasse allègrement les 5 % du coût d’acquisition dudit véhicule, et il est clair que le chiffre réel est nettement plus élevé. Et, curieusement, quand on parle de bagnole, personne n’est surpris.

La question des attaques de ransomware ne laisse de toute manière que deux certitudes : c’est une véritable cochonnerie, et la facture va être salée.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Interopérabilité en santé : FHIR on fire

Interopérabilité en santé : FHIR on fire

23 juin 2025 - 21:47,

Actualité

- DSIH, Guilhem De Clerck

HLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

Illustration Harmonisation des grilles de redevances pour l’accès aux données

Harmonisation des grilles de redevances pour l’accès aux données

23 juin 2025 - 18:07,

Actualité

- Damien Dubois, DSIH

Le 19 juin, le Health Data Hub a annoncé la disponibilité des grilles de redevances pour l’accès aux données de santé afin de faciliter la contractualisation entre établissements hospitaliers et acteurs privés.

Illustration Marc Bertrand-Mapataud nommé directeur des ressources humaines de l’AP-HP

Marc Bertrand-Mapataud nommé directeur des ressources humaines de l’AP-HP

17 juin 2025 - 11:59,

Communiqué

- l’AP-HP

Nicolas Revel, directeur général de l’AP-HP, a nommé Marc Bertrand-Mapataud, directeur des ressources humaines de l’AP-HP, à compter du 16 juin 2025. Il succède ainsi à Vannessa Fage-Moreel, actuellement adjointe au directeur du groupe hospitalo-universitaire (GHU) AP-HP. Nord - Université Paris Cit...

Illustration Changer de solution SIH : méthode, engagement et vision d’usage pour réussir le déploiement

Changer de solution SIH : méthode, engagement et vision d’usage pour réussir le déploiement

16 juin 2025 - 22:32,

Tribune

-
Amélie BOURCIER

Changer de DPI, de SIRH ou d’outil logistique n’est plus un simple projet technique. Dans un contexte hospitalier sous tension, réussir le changement et le déploiement d’une solution SIH impose une approche rigoureuse, coconstruite et profondément orientée utilisateurs. Objectiver les choix, sécuris...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.