Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

La SSI chiffrée entre 5 % et 10 % du budget DSI. Vraiment ?

02 mars 2021 - 09:44,
Tribune - Cédric Cartau
Dans la suite des attaques cyber qu’ont connues les hôpitaux de Dax et de Villefranche en février, les pouvoirs publics semblent avoir pris réellement la mesure de ce que signifie un blocage par un cryptolocker – un des très rares risques en mesure, au demeurant, de paralyser totalement le fonctionnement d’une entreprise privée pendant plusieurs semaines.

Parmi les annonces faites, il a été déclaré dans une conférence de presse que « les établissements de santé devront consacrer entre 5 % et 10 % du budget informatique à la cybersécurité pour bénéficier du soutien de l’État ». On ne peut que se féliciter de l’arrivée de moyens dans un domaine qui en manque cruellement mais, en termes de processus de décision, il s’agit de ce que Christian Morel appelle une « souricière cognitive ».

D’une part, et le non-initié pourra s’en étonner, il est très difficile de calculer le budget SSI, tout simplement parce qu’il est très difficile d’arrêter un périmètre (logiciels, matériel, temps agents) qui relève de la SSI. OK, on voit bien que l’antivirus et la sauvegarde en font partie, que le pare-feu aussi : ce sont des éléments qui participent directement à la SSI. Mais le dispositif IAM (Identity and Access Management, avec son serveur de PKI, son imprimante pour carte à puce) ? L’outil de collecte des traces techniques ? La console de supervision (Nagios ou autre) ? Sans parler de mon préféré : le système d’archivage des données (qui accessoirement coûte une blinde). Je pourrais tout aussi bien vous démontrer que ces dispositifs font partie de la SSI que l’inverse, avec la plus pure mauvaise foi qui me caractérise habituellement. Et encore, on ne parle que d’équipements matériels ou logiciels : quid des agents pour installer et maintenir en fonctionnement tout ce bazar ? Dit autrement, n’importe qui peut vous démontrer sans difficulté que l’établissement affecte déjà largement plus que le seuil minimal de 5 % à la SSI. Quand il est aussi facile de tordre une question et sa réponse, c’est que la sémantique d’origine est très discutable.

Vouloir entrer dans ce genre de comptes d’apothicaire n’aboutit qu’à une seule finalité, toujours la même : les équipes cyber vont s’entendre dire que les moyens exigés par les pouvoirs publics existent déjà. Nulle raison donc d’en affecter plus, de recruter plus, d’installer plus, sujet clos, fermez le ban. C’est ça, une souricière cognitive.

Mais, d’autre part, la souricière en question recèle une autre facette, nettement plus savonneuse. Le raisonnement n’est pas « Question : combien de budget devons-nous affecter à la SSI ? Réponse : entre 5 % et 10 % », mais « Question : contre quel risque cyber devons-nous nous protéger ? Réponse : contre les attaques cyber par cryptolocker – Conclusion : alors, il nous faut x % du budget en plus ». On ne met pas un paquet de billets de banque sur la table pour se demander ensuite quoi en faire, on exprime un besoin métier (ici, la sécurité cyber face à une nouvelle classe de risque) et on chiffre ensuite le coût de la réponse à ce nouveau besoin – libre au demandeur initial de financer ou pas, en toute connaissance de cause si la réponse est négative. Je suis fichtre incapable de dire combien une DSI doit dépenser en SSI, par contre je peux lister les contre-mesures à prendre face à un nouveau risque et les chiffrer. Un ingénieur (un expert au sens large) sait chiffrer la réponse à un besoin, un ingénieur ou un expert ne doit surtout pas se demander ce qu’il peut bien faire avec le budget qu’on vient de lui allouer : se laisser entraîner dans cette souricière cognitive, c’est prendre le risque de se voir reprocher un incident IT – ben oui cher monsieur, on vous avait donné des budgets, et vous n’avez pas su bien les utiliser. Accepter les moyens, c’est reconnaître de facto qu’ils suffisent à satisfaire le besoin.

Si la fourchette de 5 % à 10 % précédemment évoquée a des impacts positifs évidents (prise de conscience évoquée plus haut), elle ne sert pas à grand-chose puisqu’il faut partir du besoin pour calculer les moyens, et non l’inverse. À titre personnel, une première estimation – à la louche, mais vraiment à la louche – semble démontrer que, pour prendre en compte a minima ce nouveau risque en plus de la cartographie existante supposée déjà traitée, il faudrait affecter entre 2 % et 3 % des ETP d’une DSI. Et encore, sans parler des acquisitions matérielles ou logicielles additionnelles, des dispositifs de type SOC ou EDR qui font consensus sur les forums de spécialistes, etc. On parle bien de moyens en plus.

Il serait intéressant de pouvoir faire un comparatif avec le coût de sécurisation d’un véhicule, sur une durée de quatre ans par exemple, en incluant l’assurance, l’entretien, le coût des dispositifs de protection tels que les airbags, l’antidémarrage, etc. On dépasse allègrement les 5 % du coût d’acquisition dudit véhicule, et il est clair que le chiffre réel est nettement plus élevé. Et, curieusement, quand on parle de bagnole, personne n’est surpris.

La question des attaques de ransomware ne laisse de toute manière que deux certitudes : c’est une véritable cochonnerie, et la facture va être salée.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Mais non, la 27001 n’est pas lourdingue !

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,

Tribune

-
Cédric Cartau

Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.