Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Sécurité des SI : calcul des budgets à l’envers

09 nov. 2021 - 09:39,
Tribune - Cédric Cartau
Quand un RSSI rencontre un autre RSSI, ils se racontent des histoires de RSSI. Deux sujets au moins viennent immanquablement sur la table pour peu qu’on les laisse assez longtemps ensemble : le rattachement hiérarchique, et les budgets SSI dans leur entreprise.

Pour le rattachement hiérarchique, le débat est clos (dans la DSI quand il est opérationnel, surtout en dehors quand il est MOA, n’essayez même pas de débattre), mais pour les budgets, c’est une autre histoire : comment calcule-t-on les budgets SSI ? La question est moins simple qu’il n’y paraît. Affirmer, comme le font les pouvoirs publics, qu’il faut y consacrer entre 5 % et 10 % de ses budgets SI est tout simplement inexploitable tant que l’on n’a pas défini le mode de calcul du numérateur. Dans plusieurs réunions auxquelles j’ai assisté et où les participants échangeaient tant leurs résultats que le mode de calcul qui leur a permis de les produire, le consensus a été impossible à trouver dans la mesure où les méthodes divergeaient du tout au tout. On en trouve globalement trois.

La première se base sur le strict budget dont dispose le RSSI pour ses propres projets. Dans certaines organisations, le RSSI (quel que soit son positionnement) dispose en effet d’une enveloppe qui lui sert souvent à payer des prestations, des audits, voire acquérir des outils pointus de contrôle (l’AD, les règles de son firewall, etc.). Il ne s’agit donc pas, à proprement parler, des budgets SSI de la structure, mais juste du budget du RSSI. La nuance est de taille.

La deuxième repose sur une tentative de comptabilisation de tout ce qui est fait en matière de SSI dans la DSI : la sauvegarde, les antivirus, le firewall, etc. On pourra certes faire une distinction Capex/Opex, on pourra certes y intégrer les charges RH… Souvent, les débats portent sur ce que l’on met dans la corbeille de la mariée. Cette méthode a deux inconvénients : obtenir le consensus sur la liste en question, d’une part, mais surtout le fait qu’à l’arrivée on se rend compte qu’à peu près tout le monde consacre déjà entre 5 % et 10 % de ses budgets à la SSI – voire plus. Je serais donc curieux d’examiner l’algorithme qui a permis aux pouvoirs publics de pondre cette fourchette de 5 % à 10 %.

La troisième est carrément radicale, mais en même temps je ne vois pas où est la faille. L’idée consiste à considérer un monde de Bisounours dans lequel il n’y a non seulement aucun méchant, mais en plus aucun sinistre, aucune panne, aucun incident d’aucune sorte : exit les pannes électriques, les inondations, les pannes matérielles de serveur, les virus, les DDoS, etc. Après tout, l’ensemble des mesures adoptées pour pallier des incidents de D (disponibilité), I (Intégrité) et C (confidentialité) relève bien de la sécurité du SI. Dans ce monde de Bisounours précédemment décrit, que faisons-nous aujourd’hui que nous ne ferions plus dans les SI ?

Et la facture est salée : que l’on pense à nos dédoublements de datacenters et de serveurs, à la facture de notre protection antivirale ou de notre firewall (et l’armada des équipements dans nos DMZ), à notre VPN, à nos outils de supervision, à notre sauvegarde (très très chère, surtout si l’on inclut le renouvellement), les charges humaines de patch, de gestion des pannes, de réparation, etc. Sans parler des mots de passe (youpi plus d’AD !), des VLAN, de la segmentation réseau. Ce calcul n’a jamais été fait à ma connaissance, mais on excède largement les 10 % : je ne serais pas surpris que l’on flirte avec les 30 % ou les 35 %, si ce n’est davantage.

Un tel écart dans les résultats en fonction du mode de calcul n’est pas surprenant, mais révèle surtout que parler de niveau budgétaire n’a aucun sens : les budgets ne sont pas une fin, mais un moyen de répondre à un besoin. D’où une série de questions évidentes : quel est le besoin ? Quel niveau de protection veut-on mettre en place sur les SI ? Quels critères sont retenus dans l’appréciation des risques ? Quels risques résiduels sont acceptables ? Bref, la base.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Mais non, la 27001 n’est pas lourdingue !

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,

Tribune

-
Cédric Cartau

Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.