Le financement de la sécurité informatique de plus en plus diffus
Alors que vient de s’ouvrir, à Monaco, la dixième édition des Assises de la Sécurité, une question semble de plus en plus prégnante dans le petit monde de la sécurité des systèmes d’information : celle du financement. Une question d’autant plus pertinente que, selon différentes sources, près d’un tiers des entreprises - tous secteurs et toutes régions confondus - seraient dans l’incapacité d’évaluer précisément leur budget sécurité IT. Un problème pour certains. Presqu’un symptôme de maturité pour d’autres.
Selon Deloitte, 29 % des entreprises du secteur des technologies, médias et télécoms (TMT), peineraient à estimer les évolutions de leur budget sécurité IT. Et 28 %, toujours dans le monde entier, à l’échelle de l’ensemble des industries. Pour François Vergez, directeur senior et expert sécurité chez Deloitte, c’est un fait : «un certain nombre d’entreprises n’identifie pas de budget sécurité pour le SI.» Et d’avancer un début d’explication : «le budget sécurité du SI peut être difficile à calculer. Par exemple, sur le poste de travail, la sécurité est souvent intégrée au TCO du poste de travail.» Globalement, selon lui, «par construction, beaucoup de sécurité est dilué dans le budget SI global.» Mais, comme un Clusif qui obtenait au printemps des chiffres comparables sur la question de l’identification de la sécurité dans les budgets SI, François Vergez estime que cette absence de mesure peut être «liée à une problématique de maturité.» Et d’ajouter ne pas être «forcément surpris par rapport à notre métier d’audit et de conseil.»
Sébastien Bombal, responsable de la sécurité des opérations IT d’Areva, intervenant lors d’un atelier de la dixième édition des Assises de la Sécurité, qui se déroule actuellement à Monaco, ne partage pas exactement ce point de vue. Surtout, pour lui, la notion de budget de la sécurité du SI apparaît comme bien plus importante que la notion, plus globale, du financement de la sécurité du SI. Jusqu’à parler «d’ingénierie financière» : la question se pose dès lors que le besoin en sécurité est exprimé dans le cadre d’un projet. A savoir : est-ce un budget sécurité ou une demande du métier ? C’est d’autant plus difficile à catégoriser que, même lorsque la demande se limite à «je veux faire mon métier», la surcouche sécurité est-elle identifiée ou pas ? Non... elle participe simplement de la réponse à un besoin. Il y a donc bien sûr des coûts de sécurité qui sont très visibles - consulting, sensibilisation, gestion d’incidents, etc. Tout cela fait partie d’un budget classique de RSSI - mais, au-delà, sur les portefeuilles projets d’une entreprise, il faut une allocation pour la partie sécurité, qu’elle soit lisible ou pas.» La sécurité apparaît donc comme une composante naturelle et fondamentale des projets. La seule question qui se pose dès lors est : «qui paye in fine ? le métier ou même son client final ?». Bref, pour Sébastien Bombal, la clé de l’augmentation du pouvoir d’achat, ou plutôt la «capacité de dépense sur les projets» des RSSI tient en deux composantes : la refacturation, et l’optimisation du retour sur investissement en misant sur des dépenses récurrentes - infogérance, leasing, etc. - plutôt que sur des investissements simples. Mais dans tous les cas, le résultat est le même : «le budget de la sécurité IT dans l’entreprise devient extrêmement diffus.»