Aux Assises de la Sécurité, l’économie de la sécurité des SI continue de poser question
Essayer d’apporter un peu de transparence ou, à tout le mois, de visibilité sur l’économie réelle de la sécurité informatique. C’est l’objectif s’une démarche engagée par le Cercle européen des RSSI il y a un an et demi et donc les premiers résultats viennent d’être présentés. Un travail qui n’a pas vocation à être définitif mais qui montre déjà d’importantes disparités.
«Impossible,» disaient certains, lors du lancement de l’initiative, il y a un an et demi, indique Eric Dommage, d’IDC, qui a assisté à l’élaboration de la méthodologie pour conduire l’étude. Ce qui n’a pas empêché la mise en place d’un groupe de travail avec les RSSI de AG2R, BNP Paris, Daher, Generali, LVMH, PMU et SNCF. Même l’ANSSI, HSC, et la Gendarmerie Nationale se sont associés à la démarche, sous le pilotage de Pierre-Luc Réfalo, associé du cabinet Hapsis. Il faut dire que la question ne manque pas de pertinence : l’an passé, Deloitte indiquait que près de 30 % des entreprises peinaient à évaluer les évolutions de leur budget sécurité du SI. Et Sébastien Bombal, RSSI d’Areva, déclarait alors que «le budget IT dans l’entreprise devient extrêmement diffus.» L’idée du Cercle était donc de produire des indicateurs quantifiés qui soient à la fois utiles aux offreurs et aux acheteurs, bref, «au publique des Assises.»
Un questionnaire a donc été lancé, entre fin juin et fin août 2011, pour évaluer le nombre de personnes impliquées dans le pilotage de la sécurité du SI, les dépenses de communication et de sensibilisation des utilisateurs, celles de contrôle et d’audit de la sécurité, les dépenses concernant la gestion des accès logiques et enfin celles relatives à la protection du poste de travail. Cent quarante personnes ont participé à l’enquête, représentant les secteurs de la banque et de l’assurance, de l’administration et du service public, et plus généralement des industries, services, transports et médias.
Des disparités conséquentes sont rapidement apparues dans les approches avec, par exemple, un secteur de la santé marqué par une approche de type «ligne Maginot,» illustrée par des coûts de sécurisation du poste de travail sensiblement supérieurs à ceux des autres secteurs étudiée, mais des dépenses pour le contrôle d’accès et pour l’audit et la formation inférieures à celles constatées dans les secteurs de la banque et des assurances.
Surtout, il apparaît que le marché de la sécurité des SI s’apparente à un marché «traditionnel, avec les mêmes codes de négociation que ceux que l’on peut trouver ailleurs.» En clair, «plus l’entreprise est grande, mieux elle peut négocier» car elle bénéficie à la fois «d’effets de volume» et «d’une chaîne de valeur raccourcie.» Par exemple, pour la gestion des accès logiques, le coût moyen par utilisateur ressort à plus de 40 € pour une entreprise de moins de 5000 employés, à un peu plus de 30 € de 5000 à 20000 collaborateurs et... à un peu plus de 9 € au-delà. Les mêmes écarts se retrouvent sur la sécurité du poste de travail avec des coûts évoluant de 28 € par poste pour les plus petites organisations à moins de 5 € pour les plus grandes.
Les auteurs s’interrogent sur les disparités liées au pilotage de la sécurité du système d’information, avec «des ratios équivalents temps plein qui semblent assez faibles.» : 1,6 ETP (pour 1000 personnes) pour les industries et services, 2,2 ETP pour le secteur public et la santé, et 1,7 ETP pour la banque et l’assurance. Mais pour les différences, l’explication tiendrait à la fois à l’organisation des entreprises «et son côté distribué» ainsi qu’au poids de la réglementation. Dans la salle, certains regrettent l’absence de lien entre ETP et dépenses de formation/sensibilisation.
Mais le travail du Cercle a vocation à évoluer à travers, notamment, «un doublement du volume des répondants et des réponses exploitables», mais aussi un affinage de la segmentation et l’ajout de quelques thèmes supplémentaires.