Sécurité des SI : calcul des budgets à l’envers

Pour le rattachement hiérarchique, le débat est clos (dans la DSI quand il est opérationnel, surtout en dehors quand il est MOA, n’essayez même pas de débattre), mais pour les budgets, c’est une autre histoire : comment calcule-t-on les budgets SSI ? La question est moins simple qu’il n’y paraît. Affirmer, comme le font les pouvoirs publics, qu’il faut y consacrer entre 5 % et 10 % de ses budgets SI est tout simplement inexploitable tant que l’on n’a pas défini le mode de calcul du numérateur. Dans plusieurs réunions auxquelles j’ai assisté et où les participants échangeaient tant leurs résultats que le mode de calcul qui leur a permis de les produire, le consensus a été impossible à trouver dans la mesure où les méthodes divergeaient du tout au tout. On en trouve globalement trois.

La première se base sur le strict budget dont dispose le RSSI pour ses propres projets. Dans certaines organisations, le RSSI (quel que soit son positionnement) dispose en effet d’une enveloppe qui lui sert souvent à payer des prestations, des audits, voire acquérir des outils pointus de contrôle (l’AD, les règles de son firewall, etc.). Il ne s’agit donc pas, à proprement parler, des budgets SSI de la structure, mais juste du budget du RSSI. La nuance est de taille.

La deuxième repose sur une tentative de comptabilisation de tout ce qui est fait en matière de SSI dans la DSI : la sauvegarde, les antivirus, le firewall, etc. On pourra certes faire une distinction Capex/Opex, on pourra certes y intégrer les charges RH… Souvent, les débats portent sur ce que l’on met dans la corbeille de la mariée. Cette méthode a deux inconvénients : obtenir le consensus sur la liste en question, d’une part, mais surtout le fait qu’à l’arrivée on se rend compte qu’à peu près tout le monde consacre déjà entre 5 % et 10 % de ses budgets à la SSI – voire plus. Je serais donc curieux d’examiner l’algorithme qui a permis aux pouvoirs publics de pondre cette fourchette de 5 % à 10 %.

La troisième est carrément radicale, mais en même temps je ne vois pas où est la faille. L’idée consiste à considérer un monde de Bisounours dans lequel il n’y a non seulement aucun méchant, mais en plus aucun sinistre, aucune panne, aucun incident d’aucune sorte : exit les pannes électriques, les inondations, les pannes matérielles de serveur, les virus, les DDoS, etc. Après tout, l’ensemble des mesures adoptées pour pallier des incidents de D (disponibilité), I (Intégrité) et C (confidentialité) relève bien de la sécurité du SI. Dans ce monde de Bisounours précédemment décrit, que faisons-nous aujourd’hui que nous ne ferions plus dans les SI ?

Et la facture est salée : que l’on pense à nos dédoublements de datacenters et de serveurs, à la facture de notre protection antivirale ou de notre firewall (et l’armada des équipements dans nos DMZ), à notre VPN, à nos outils de supervision, à notre sauvegarde (très très chère, surtout si l’on inclut le renouvellement), les charges humaines de patch, de gestion des pannes, de réparation, etc. Sans parler des mots de passe (youpi plus d’AD !), des VLAN, de la segmentation réseau. Ce calcul n’a jamais été fait à ma connaissance, mais on excède largement les 10 % : je ne serais pas surpris que l’on flirte avec les 30 % ou les 35 %, si ce n’est davantage.

Un tel écart dans les résultats en fonction du mode de calcul n’est pas surprenant, mais révèle surtout que parler de niveau budgétaire n’a aucun sens : les budgets ne sont pas une fin, mais un moyen de répondre à un besoin. D’où une série de questions évidentes : quel est le besoin ? Quel niveau de protection veut-on mettre en place sur les SI ? Quels critères sont retenus dans l’appréciation des risques ? Quels risques résiduels sont acceptables ? Bref, la base.