Budgets sécurité informatique en entreprise : attention sujet sensible !

Voilà une question bien ardue à laquelle Mag-Securs a tenté d’apporter des éléments de réponse. Mais la démarche, très innovante, qui consisterait à chiffrer la création de valeur par le biais des budgets alloués à la sécurité du système d’information n’est pas encore mature dans les entreprises. En témoigne la réticence des « grands » RSSI, rattachés à la Direction Générale ou à une direction des risques et de la gouvernance pour témoigner sur leur budget et leur positionnement dans l’organigramme de l’entreprise. Rendez-vous annulés, refusés, blocage de la communication interne… Le budget de la sécurité des systèmes d’information reste un sujet tabou, sur lequel peu de personnes souhaitent s’exprimer. Les enjeux sont pourtant vitaux pour la survie de l’entreprise.

Les budgets sécurité sont en stagnation

Il convient tout d’abord de se demander, si, conformément à ce qu’annoncent triomphalement les éditeurs de logiciel et fournisseurs de service, le budget sécurité des entreprises, dopé par le cloud computing ou des budgets liés à la mobilité et à la protection des utilisateurs est à la hausse. Le « marketing de la peur » fait toujours fureur et le discours des éditeurs ne change pas. Selon eux, on assiste à une explosion et à une croissance à deux chiffres du marché, mais rien n’est prouvé dans les faits.

Eric Domage, observateur avisé du secteur de la sécurité et European Research Manager chez IDC, ne mâche pas ses mots : « Il y a une croissance de l’ordre de 0 dans les budgets sécurité des entreprises. Les directions générales sont dans une logique de production canalisée, et font pression sur les fournisseurs pour qu’ils baissent leurs prix. Ceux qui produisent des budgets sécurité appartiennent aux directions financières et aux directions métiers. Je pense que le métier de RSSI va disparaître un jour », fait remarquer, un peu provocateur, Eric Domage.

Les responsables informatiques dont dépend le budget sécurité ne sont pas forcément optimistes. Marc Dovero, RSSI du Conseil Général des Bouches du Rhône, fait remarquer  : « le budget de la sécurité des systèmes d’information est un budget constant... Il sert à payer les équipements de sécurité, les maintenances informatiques, les logiciels de sécurité et les études, c’est une partie infime d’un budget global », précise-t-il. Un RSSI d’une collectivité locale qui tient à son anonymat précise que son budget est de l’ordre de deux millions d’euros. Pour Stéphane Joguet, Responsable de la sécurité des systèmes d’information chez Daher, un intégrateur équipementier européen de solutions Industrie & Services dans l'Aéronautique, le Nucléaire, la Défense et l'Industrie (5 000 personnes), le budget de la sécurité des systèmes d’information, qui représente 3% du budget de la DSI, est en stagnation. Il est de l’ordre de 500 000 à 600 000 euros, ce qui est ridiculement bas pour un groupe de cette ampleur. Précisons que Stéphane Joguet dépend de la DSI  

Enfin, Jean-François Norget, responsable informatique du Musée de la Marine à Paris, qui gère les budgets sécurité du Musée, ne cache pas son amertume : « Je gère tous les budgets informatiques pour le Musée de la Marine, qui englobe les logiciels métiers (conservation, bibliothèque, site Web de vente en ligne, les logiciels de caisse, les logiciels de comptabilité, la gestion des cartes bleues, les bornes multimédias et la facturation). Sur les budgets de sécurité, nous avons une croissance de zéro. Le budget informatique est de l’ordre de 350 000 euros. Les investissements se font en général tous les cinq ans, mais cette année nous n’avons pas investi. Nous ne sommes pas préparés au risque s’il y a un clash, mais les risques sont énormes ». Ce qui le conduit à des acrobaties parfois extrêmes : « j’essaie de tout dépenser en début d’année, pour reconduire le budget l’année suivante ».
 

Thierry Jardin, associé chez Logica Business Consulting qui intervient pour les grands comptes, explique de son côté que  : « tout dépend des secteurs d’activité de l’entreprise. Plus il y a de notions de réglementation, plus les budgets sont importants. Bâle II dans le secteur bancaire, Sox et Solvency II dans le secteur des assurances obligent à assurer un haut niveau de sécurité, avec un budget correspondant aux attentes. Par contre, dans le monde de la santé, les niveaux d’investissement partent de très bas, et ne sont pas à la hauteur ».
 

Enfin, Hervé Schauer, de HSC, professionnel hautement reconnu de la sécurité en entreprise conclut que « savoir si les budgets  sont en hausse ou en baisse est très difficile, car les budgets sécurité sont généralement très éparpillés. Personnellement, je pense que dans la majorité des entreprises, où il existait un budget sécurité des systèmes d’information propre au RSSI, celui-ci a plutôt stagné ou légèrement baissé ». Nous voilà loin des considérations de cabinets de conseil et autres éditeurs qui nous annoncent à son de trompe que le marché connaît une croissance à deux chiffres, et que la menace ne cesse de croître.

Qui gère le budget SSI ?

Pour plusieurs professionnels, la question de savoir qui gère en fait le budget sécurité se pose : là aussi, les réponses divergent. Dans de grandes entreprises, le budget de la sécurité du système d’information sera élevé et le RSSI sera le plus souvent indépendant de la direction informatique, pour être dépendant d’une direction des risques ou de la conformité, elle-même rattachée à la direction générale, et participant à des comités de direction. C’est ce que mentionne Stéphane Joguet, de Daher : « Tout dépend de la maturité de l’entreprise. Plus l’entreprise est mûre, plus la RSSI est rattachée à la direction de l’audit, ou aux Directions Générales. Son responsable est alors en capacité de prendre des décisions ».

 

Mais peu d’entre eux peuvent ou souhaitent s’exprimer, ce que nous regrettons. Pierre-Luc Réfalo, associé chez Hapsis et auteur du Livre Bleu des Assises de la Sécurité, est en charge d’un groupe de travail ad’hoc sur la dimension économique de la SSI, au sein du Cercle Européen de la Sécurité. Il réunit quelques RSSI expérimentés et qui ont droit de parole auprès de leur direction générale. Il donne ici quelques axes de réflexion : « Travailler sur les dépenses (plutôt que les budgets) sécurité est un sujet majeur car on ne sait pas réellement en quoi elles consistent réellement. Il n’y a pas encore, ou très peu, en entreprise, de consolidation budgétaire. Pourtant, on commence à demander des comptes aux RSSI. Mais la vraie sécurité est souvent prise en charge par la DSI ou les directions métiers indépendamment d’un « budget » dédié à la sécurité du système d’information de l’entreprise. ».
 

Pourtant, on commence à demander des comptes au RSSI de l’entreprise. Pour Stéphane Joguet, « le budget n’est pas consolidé. Il est géré parfois directement par les entités opérationnelles. Les grosses dépenses sont liées aux infrastructures ».
 

Eric Wiatrowski, Chief Security Officer chez Orange Business Services, rattaché au DSI, livre ici quelques pistes de réflexion : « les budgets RSSI constituent un sujet complexe, et, pour moi, largement virtuel. Typiquement, la formation et la sensibilisation des personnes est prise en charge par les budgets RH et Communication Interne. Si un contrôle biométrique doit être installé à l’entrée d’une salle sensible, alors les Services Généraux s’en charge. L’antivirus et le filtrage des accès Internet sont eux imputés sur le budget SI. In fine, mon budget propre, une centaine de Keuros, représente peu de chose en regard de nos investissements SI et réseau, et de notre chiffre d’affaires (7Mds d’euros). Et il n’est pas représentatif du budget global de la sécurité, dont la consolidation serait un exercice difficile, et sans intérêt. C’est au cas par cas que les dépenses se décident en fonction du risque associé. Mon rôle est donc de poser les grands principes, d’analyser les risques, et d’alerter sur les points critiques qui demandent une action. Et pour être mieux entendu, ma lettre de mission a été signée par le Directeur Général. »