Les RSSI ont-ils réussi à dompter leur budget ?

A force d’expérience dans la négociation, de dialogue avec les métiers et aussi par les cyberattaques, les RSSI ont réussi à apprivoiser les arbitrages budgétaires en matière de sécurité informatique.

A l’occasion d’un débat organisé la semaine dernière, le Cercle Européen de la Sécurité et des Systèmes d’Information a pris le parti de traiter d’un sujet audacieux : « Comment construire son budget face aux nouveaux enjeux économiques ? » En préambule, il a été rappelé que le budget relatif à la sécurité informatique dans les entreprises représentait environ 6% des dépenses IT en 2014, selon Gartner. Un pourcentage relativisé par Alain Bouillé, président du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) et RSSI du groupe Caisse des Dépôts. « En France, ce pourcentage est plus proche des 2 à 3% du budget IT, nous sommes toujours en dessous de nos homologues anglo-saxons. » Il ajoute que « la méthode du Gartner n’intègre pas certaines données qui peuvent être classées dans la sécurité comme la notion de disponibilité avec par exemple du backup de résilience. Par contre, s’il y a un parefeu sur ce backup, il est comptabilisé ».

Pour lui, le budget d’un RSSI se décompose en 3 éléments. D’abord, les dépenses de fonctionnement de la direction sécurité qui comprend des études pour se former et actualiser l’état de l’art, des expertises et des tests de pénétrations. En second lieu, le poste le plus dispendieux est celui de l’infrastructure avec l’achat de matériel ou de logiciel, parefeu, SOC, SIEM. « En sachant que certains éléments comme l’IAM (Identity Access Management) sont des outils communs à d’autres métiers, mais ils ont un budget à part », rappelle le responsable. Troisième et dernier poste, les ressources humaines c’est-à-dire combien de personnes, d’ETP (equivalent temps plein), etc., sont consacrés à la sécurité.

Installer un langage commun métiers et RSSI

Une fois posé ces règles de base, les RSSI constatent que la négociation d’un budget n’est jamais une partie de plaisir, mais elle s’est améliorée. Il y a plusieurs raisons à cela. La première est l’apprentissage par les RSSI d’adopter un langage commun avec les métiers et notamment les directions financières. « C’est nécessaire, car sinon nous avons toutes les conditions pour avoir un dialogue de sourd », observe Mahmoud Denfer, RSSI chez Vallourec. « Avec la direction financière, la notion de ROI est importante, avec les métiers il faut revenir au coût d’usage. En général, la première réunion personne ne se comprend, la second on y va plus aguerri et au final on se comprend mieux », précise-t-il.

Une méthode ABC de plus en plus utilisée

Pour mener à bien ce dialogue inter direction, Brigitte Declerck, DSI et RSSI des régimes de retraites complémentaires AGIRC et ARCCO, a adopté la méthode ABC (Activity Based Costing) qui « identifie les ressources, les activités et les projets pour proposer un catalogue de services ». Avec cette méthode, « cela permet de bénéficier d’une décomposition et d’une transparence des coûts », souligne la dirigeante. Autre atout de cette orientation : « On peut distinguer plus rapidement des leviers à actionner en cas de restrictions budgétaires par exemple. »

Pour aboutir à ce résultat, pas de miracles pour la responsable. « Cela passe par le partage et la discussion sur les bonnes pratiques et les visions sur différents thèmes, ainsi qu’avec les métiers pour connaître leur projet. »

Les incidents comme accélérateur de prise de décision

Mais derrière le discours de dialogue et de partage, les incidents sont souvent un accélérateur pour obtenir du budget. « Il y a les entreprises qui ont été attaquées et puis les autres, constate sans ambages Alain Bouillé. Dans les premières, le processus d’adoption des budgets sécurité est accéléré. »

Un mal nécessaire ? Pour, Raphael Marichez, fonctionnaire de sécurité des systèmes d’information au ministère de l’Intérieur, « les incidents permettent de capitaliser sur la gestion de risque et donc d’avancer dans les arbitrages budgétaires ». Il reste néanmoins pragmatique. « Le RSSI a vocation à exprimer les risques et à vérifier que les bonnes pratiques sont bien respectées. En matière de budget, il n’en faut ni trop, ni pas assez, pour assurer l’ensemble des missions. Il n’y a pas besoin de millions d’euros. » Un discours qui doit résonner agréablement aux oreilles des DAF, finalement les grands absents de cette discussion.