Mon passage aux États-Unis a été un électrochoc. Là-bas, j’ai bien compris : pas de bras, pas de chocolat. Et en cybersécurité, c’est pareil. Pas d’argent, pas de cyber. Tu peux avoir les meilleures idées du monde, sans budget, elles restent dans ta tête. J’ai dû revoir toute ma façon de parler sécurité, en commençant par parler business.

On est en juin, et pour beaucoup d’entre nous, c’est le début des discussions budgétaires. La cybersécurité entre souvent dans ces échanges, parfois tardivement, parfois avec prudence. C’est pourtant maintenant que se construisent les marges de manœuvre pour l’année suivante. Prendre le temps d’aligner les besoins concrets avec les priorités budgétaires fait toute la différence, en particulier sur les sujets de fond.

Je vous partage ici six raisons pour lesquelles les RSSI peinent à augmenter leur budget cybersécurité. Ce sont des situations que j’ai vues, vécues ou constatées chez d’autres. Rien de théorique, juste des réalités du terrain. Elles ne s’excluent pas les unes les autres, et souvent, plusieurs se cumulent sans même qu’on s’en rende compte.

Pour aller plus loin :

• téléchargez notre Template BUDGET CYBER, lien en bas de cette newsletter

• assistez à une simulation de négociation de budget Cyber avec son DSI, lien en bas de cette newsletter

1 / La Concurrence des autres personnes

Souvent, on oublie un point de départ simple : les budgets DSI augmentent peu. En moyenne, autour de 2 à 3 % par an. Et nous, côté cyber, on arrive avec des demandes à +20 % pour couvrir les enjeux. Forcément, ça crée un décalage. Pas parce que la demande est mauvaise, mais parce qu’elle est perçue comme hors rythme, voire hors sol.

Quand le budget DSI global est serré, chaque direction cherche à protéger son périmètre. Résultat : le budget cyber devient une cible facile en comité. Certains challengent sa valeur, d’autres sa priorité. Ce n’est pas forcément malveillant, mais si on n’a pas préparé le terrain en amont, on se retrouve à défendre nos lignes face à des collègues mieux armés politiquement.

L’arrivée massive de l’IA dans les feuilles de route IT change la donne. Là où il y a un an on parlait sécurité en priorité, aujourd’hui beaucoup de DSI doivent arbitrer entre cybersécurité et projets IA. L’IA promet du gain rapide, visible. La cyber, elle, reste perçue comme une assurance. Dans un budget stable, c’est un vrai concurrent.

2/ Ne pas prendre en compte les rounds budgétaires

Le premier budget cybersécurité qu’on présente n’est presque jamais celui qui sera validé. Il sert souvent de base de négociation, un peu comme un prix d’appel. Les décideurs s’attendent à rogner. Ce n’est pas propre à la cyber, mais on oublie parfois de l’anticiper. Résultat : on sous-estime ce qu’il faut demander pour arriver au minimum viable après arbitrage.

Lors du premier arbitrage budgétaire, une réduction est quasiment systématique. Le budget global présenté par la DSI dépasse presque toujours ce qui sera accordé. C’est structurel. Chaque ligne est passée en revue, et la cyber, comme les autres, doit “faire un effort”. Sans anticipation, on se retrouve à couper dans l’essentiel au lieu du superflu.

Quand le budget arrive en COMEX, une nouvelle vague d’arbitrage commence. Même après des validations en interne DSI, une pression supplémentaire s’exerce pour réduire encore. Et la cybersécurité, qui reste souvent peu comprise dans ses impacts métiers directs, se retrouve exposée. À ce stade, il est souvent trop tard pour réexpliquer. Ce qu’on n’a pas préparé avant, on ne le rattrape plus.

3/ Pas de crédibilité sur le besoin de cyber

Beaucoup de RSSI arrivent convaincus de la pertinence de leur demande. Et c’est déjà bien. Mais ce n’est pas suffisant. Face à des projets métiers ou IT porteurs de revenus, la cybersécurité reste perçue comme un poste défensif. Pour obtenir un vrai arbitrage en notre faveur, il faut passer de “convaincu” à “priorisé”. Et ça, ça demande un vrai travail d’alignement avec les enjeux business.

Souvent, la demande cyber repose sur une intuition, une tendance, un bon sens technique. Mais pour un décideur, ça ne suffit pas. Il attend des éléments concrets : chiffres, comparaisons, benchmarks, retours d’expérience. Sans ça, il ne peut pas justifier la dépense devant les autres. Ce n’est pas un refus par principe, c’est juste un manque de matière pour prendre une décision en conscience.

Sans analyse de risques formelle, la demande de budget cyber flotte. On parle de menaces, de vulnérabilités, d’urgences, mais rien n’est posé noir sur blanc. Pas de scénarios, pas de chiffrage d’impact, pas de priorisation claire. Du coup, côté direction, difficile de comprendre ce qui est critique et ce qui peut attendre. Et dans le doute, la réponse par défaut, c’est le report.

4/ Confiance humaine brisée avec le DSI

Quand des tensions ou des désaccords ont eu lieu dans l’année – entre la cyber et les équipes IT, métiers ou projets – cela laisse des traces. Même si c’est oublié sur le fond, ça pèse dans les arbitrages. Le budget cyber peut devenir un levier politique : on bloque ou on réduit non pas pour le fond, mais à cause du passif.

Quand un audit cybersécurité est mal présenté ou mal aligné avec la direction, ça se retourne souvent contre nous. Un rapport trop alarmiste, mal compris ou mal contextualisé peut créer une crispation. Derrière, au moment du budget, c’est une forme de retour de bâton : on nous reproche d’avoir mis en tension sans proposer de trajectoire réaliste. Et ça bloque les discussions.

Il arrive qu’un RSSI, à force de blocages, décide de remonter directement au COMEX, en court-circuitant le DSI. Parfois, ça marche sur le moment. Mais derrière, ça se paie. Le DSI, mis de côté, garde une rancune silencieuse. Et au prochain budget, le soutien s’effrite. Ce genre de bypass fragilise la relation, même s’il semblait nécessaire sur le coup.

5/ Une ventilation des coûts incompréhensible

Il arrive que le budget cyber soit monté dans l’urgence, sans scénario, sans plan structuré, juste pour “ne pas rater la fenêtre”. Sur le moment, on se dit qu’on complétera après. Mais ça se voit. Un budget mal préparé, sans vision claire, perd immédiatement en crédibilité. Et dans un environnement compétitif, c’est souvent celui-là qui saute en premier.

Certains se sont laissés tenter par une génération rapide du budget avec ChatGPT. Gagne-temps sur le moment, mais sans contrôle humain, ça donne parfois des chiffres incohérents, des priorités mal posées, ou des doublons absurdes. Résultat : incompréhension en face, voire discrédit. L’outil peut aider, mais sans expertise derrière, on perd plus qu’on ne gagne.

Conclusion

L’exercice budgétaire est un moment délicat. On est en concurrence avec d’autres priorités, sur un terrain où chaque euro compte. Dans ce contexte, la clarté devient indispensable. Clarté sur les besoins, sur les risques, sur les impacts. Ce n’est pas qu’une question de sécurité, c’est une question de positionnement. Et ça se prépare bien avant la réunion budgétaire.

Ressources Complémentaires

TEMPLATE BUDGET CYBERSECURITE

Ce mois-ci, on partage un template de budget cybersécurité. Il est conçu pour aider à structurer les demandes, poser les priorités, et donner des éléments concrets aux décideurs. Pas un document miracle, mais un point de départ solide pour mieux préparer les échanges budgétaires à venir.

https://www.cyberlead.fr/post/template-budget-cyber

WEBINAIRE - MISSION DECROCHER SON BUDGET CYBER

Rejoignez pour une session webinar où l’on simulera des négociations cybersécurité avec son DSI.

Le Jeudi 27 juin à 17h

inscription : https://www.cyberlead.fr/post/cyberlead-webinaire

KIT DOCUMENTAIRE RSSI

Un ensemble de templates gratuits prêts à l’emploi pour structurer et piloter efficacement la cybersécurité de votre organisation : PSSI, gestion des dérogations, questionnaires fournisseurs, inventaire des applications critiques, analyses de risques flash, dashboards, PCA/PCI, et plans d’action incidents.

https://www.cyberlead.fr/post/kit-documentaire-rssi