lundi 16 septembre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


Voilà une question bien ardue à laquelle Mag-Securs a tenté d’apporter des éléments de réponse. Mais la démarche, très innovante, qui consisterait à chiffrer la création de valeur par le biais des budgets alloués à la sécurité du système d’information n’est pas encore mature dans les entreprises. En témoigne la réticence des « grands » RSSI, rattachés à la Direction Générale ou à une direction des risques et de la gouvernance pour témoigner sur leur budget et leur positionnement dans l’organigramme de l’entreprise. Rendez-vous annulés, refusés, blocage de la communication interne… Le budget de la sécurité des systèmes d’information reste un sujet tabou, sur lequel peu de personnes souhaitent s’exprimer. Les enjeux sont pourtant vitaux pour la survie de l’entreprise.

Les budgets sécurité sont en stagnation

Il convient tout d’abord de se demander, si, conformément à ce qu’annoncent triomphalement les éditeurs de logiciel et fournisseurs de service, le budget sécurité des entreprises, dopé par le cloud computing ou des budgets liés à la mobilité et à la protection des utilisateurs est à la hausse. Le « marketing de la peur » fait toujours fureur et le discours des éditeurs ne change pas. Selon eux, on assiste à une explosion et à une croissance à deux chiffres du marché, mais rien n’est prouvé dans les faits.

Eric Domage, observateur avisé du secteur de la sécurité et European Research Manager chez IDC, ne mâche pas ses mots : « Il y a une croissance de l’ordre de 0 dans les budgets sécurité des entreprises. Les directions générales sont dans une logique de production canalisée, et font pression sur les fournisseurs pour qu’ils baissent leurs prix. Ceux qui produisent des budgets sécurité appartiennent aux directions financières et aux directions métiers. Je pense que le métier de RSSI va disparaître un jour », fait remarquer, un peu provocateur, Eric Domage.

Mise à jour du 04/05/2011

IDC nous précise qu’Eric DOMAGE n'a pas tenu de tels propos devant la Journaliste de Mag-Securs et que l’on ne peut pas lui attribuer la phrase « Je pense que le métier de RSSI va disparaître un jour ».

Aucune étude d'IDC en France ou en Europe ne permet d'étayer cette affirmation qui est attribuée par erreur à IDC par Mag-Securs.

IDC présente sur son site web l’intervention d’Eric Domage à la conférence du 09/02/2011 dans laquelle auraient été tenus ces propos de la manière suivante :

Le marché de la Sécurité n'échappe pas aux grandes tendances économiques et souffre du contexte général. Pour la première fois de leur existence, les budgets de sécurité ont dû apporter leur contribution au resserrement généralisé des dépenses informatiques. « Oui, on peut sécuriser aussi bien et pour moins cher » a-t-on entendu dans les forums fin 2009-début 2010. Ceux qui n'y ont pas cru font face à une nouvelle doctrine de management, version 2010 et suivantes « Oui, on DOIT sécuriser pour moins cher » .La Sécurité s'est banalisée. Elle n'est plus une exception gérée par une élite technologique. Son budget est influencé par des facteurs indigènes et non plus intrinsèques..


Les responsables informatiques dont dépend le budget sécurité ne sont pas forcément optimistes. Marc Dovero, RSSI du Conseil Général des Bouches du Rhône, fait remarquer  : « le budget de la sécurité des systèmes d’information est un budget constant... Il sert à payer les équipements de sécurité, les maintenances informatiques, les logiciels de sécurité et les études, c’est une partie infime d’un budget global », précise-t-il. Un RSSI d’une collectivité locale qui tient à son anonymat précise que son budget est de l’ordre de deux millions d’euros. Pour Stéphane Joguet, Responsable de la sécurité des systèmes d’information chez Daher, un intégrateur équipementier européen de solutions Industrie & Services dans l'Aéronautique, le Nucléaire, la Défense et l'Industrie (5 000 personnes), le budget de la sécurité des systèmes d’information, qui représente 3% du budget de la DSI, est en stagnation. Il est de l’ordre de 500 000 à 600 000 euros, ce qui est ridiculement bas pour un groupe de cette ampleur. Précisons que Stéphane Joguet dépend de la DSI

De gauche à droite : Stéphane joguet, responsable de la sécurité des systèmes d'information chez Daher, et thierry Jardin, associé chez Logica Business Consulting.
 

Enfin, Jean-François Norget, responsable informatique du Musée de la Marine à Paris, qui gère les budgets sécurité du Musée, ne cache pas son amertume : « Je gère tous les budgets informatiques pour le Musée de la Marine, qui englobe les logiciels métiers (conservation, bibliothèque, site Web de vente en ligne, les logiciels de caisse, les logiciels de comptabilité, la gestion des cartes bleues, les bornes multimédias et la facturation). Sur les budgets de sécurité, nous avons une croissance de zéro. Le budget informatique est de l’ordre de 350 000 euros. Les investissements se font en général tous les cinq ans, mais cette année nous n’avons pas investi. Nous ne sommes pas préparés au risque s’il y a un clash, mais les risques sont énormes ». Ce qui le conduit à des acrobaties parfois extrêmes : « j’essaie de tout dépenser en début d’année, pour reconduire le budget l’année suivante ».
 

Thierry Jardin, associé chez Logica Business Consulting qui intervient pour les grands comptes, explique de son côté que  : « tout dépend des secteurs d’activité de l’entreprise. Plus il y a de notions de réglementation, plus les budgets sont importants. Bâle II dans le secteur bancaire, Sox et Solvency II dans le secteur des assurances obligent à assurer un haut niveau de sécurité, avec un budget correspondant aux attentes. Par contre, dans le monde de la santé, les niveaux d’investissement partent de très bas, et ne sont pas à la hauteur ».
 

Enfin, Hervé Schauer, de HSC, professionnel hautement reconnu de la sécurité en entreprise conclut que « savoir si les budgets  sont en hausse ou en baisse est très difficile, car les budgets sécurité sont généralement très éparpillés. Personnellement, je pense que dans la majorité des entreprises, où il existait un budget sécurité des systèmes d’information propre au RSSI, celui-ci a plutôt stagné ou légèrement baissé ». Nous voilà loin des considérations de cabinets de conseil et autres éditeurs qui nous annoncent à son de trompe que le marché connaît une croissance à deux chiffres, et que la menace ne cesse de croître.

Qui gère le budget SSI ?

Pour plusieurs professionnels, la question de savoir qui gère en fait le budget sécurité se pose : là aussi, les réponses divergent. Dans de grandes entreprises, le budget de la sécurité du système d’information sera élevé et le RSSI sera le plus souvent indépendant de la direction informatique, pour être dépendant d’une direction des risques ou de la conformité, elle-même rattachée à la direction générale, et participant à des comités de direction. C’est ce que mentionne Stéphane Joguet, de Daher : « Tout dépend de la maturité de l’entreprise. Plus l’entreprise est mûre, plus la RSSI est rattachée à la direction de l’audit, ou aux Directions Générales. Son responsable est alors en capacité de prendre des décisions ».


Eric Wiatrowki, Chief Security Officer chez Orange Business Services.
 

Mais peu d’entre eux peuvent ou souhaitent s’exprimer, ce que nous regrettons. Pierre-Luc Réfalo, associé chez Hapsis et auteur du Livre Bleu des Assises de la Sécurité, est en charge d’un groupe de travail ad’hoc sur la dimension économique de la SSI, au sein du Cercle Européen de la Sécurité. Il réunit quelques RSSI expérimentés et qui ont droit de parole auprès de leur direction générale. Il donne ici quelques axes de réflexion : « Travailler sur les dépenses (plutôt que les budgets) sécurité est un sujet majeur car on ne sait pas réellement en quoi elles consistent réellement. Il n’y a pas encore, ou très peu, en entreprise, de consolidation budgétaire. Pourtant, on commence à demander des comptes aux RSSI. Mais la vraie sécurité est souvent prise en charge par la DSI ou les directions métiers indépendamment d’un « budget » dédié à la sécurité du système d’information de l’entreprise. ».
 

Pourtant, on commence à demander des comptes au RSSI de l’entreprise. Pour Stéphane Joguet, « le budget n’est pas consolidé. Il est géré parfois directement par les entités opérationnelles. Les grosses dépenses sont liées aux infrastructures ».
 

Eric Wiatrowski, Chief Security Officer chez Orange Business Services, rattaché au DSI, livre ici quelques pistes de réflexion : « les budgets RSSI constituent un sujet complexe, et, pour moi, largement virtuel. Typiquement, la formation et la sensibilisation des personnes est prise en charge par les budgets RH et Communication Interne. Si un contrôle biométrique doit être installé à l’entrée d’une salle sensible, alors les Services Généraux s’en charge. L’antivirus et le filtrage des accès Internet sont eux imputés sur le budget SI. In fine, mon budget propre, une centaine de Keuros, représente peu de chose en regard de nos investissements SI et réseau, et de notre chiffre d’affaires (7Mds d’euros). Et il n’est pas représentatif du budget global de la sécurité, dont la consolidation serait un exercice difficile, et sans intérêt. C’est au cas par cas que les dépenses se décident en fonction du risque associé. Mon rôle est donc de poser les grands principes, d’analyser les risques, et d’alerter sur les points critiques qui demandent une action. Et pour être mieux entendu, ma lettre de mission a été signée par le Directeur Général. »

Pages: 1 de 3 Page suivante
Autres Dossiers Gouvernance