Quand le budget de la cybersécurité s'envole mais reste ridicule
Parfois, quand la dette cybersécurité est gigantesque, malgré l'injection importantes de fonds, il est parfois compliqué de justifier d'un risque cybersécurité encore maximal.
Suite à mon expérience dans la Silicon Valley et plus largement dans le contexte culturel américain, je m'efforce d'assister les organisations dans la résolution de leurs défis en cybersécurité. Je suis particulièrement attiré par les situations complexes et les défis de grande envergure.
Ces dernières années, j'ai eu l'opportunité de soutenir des organisations dans le déploiement de leur stratégie de cybersécurité, en partant de zéro. Ce type de défi, nécessitant une mise en place rapide tant sur le plan technique que culturel, me passionne.
Ces organisations partagent souvent une expérience commune : un événement déclencheur les amène à réaliser l'importance cruciale de la cybersécurité. Elles passent d'un état d'indifférence à la reconnaissance de la cybersécurité comme risque majeur à adresser d'urgence. Cela concerne notamment les organisations victimes de ransomware affectant tout ou partie de leurs opérations, celles confrontées à des actions collectives en justice, ou celles risquant la rupture de contrats avec de grands donneurs d'ordres internationaux.
Une explosion du budget cybersécurité
Les organisations avec lesquelles j'ai collaboré ont opté pour allouer spécifiquement un budget à la cybersécurité, une pratique qui n'était pas courante auparavant. Ces organisations ont également choisi de renforcer leurs équipes en nommant un RSSI et en constituant une petite équipe dédiée à la cybersécurité, en plus d'investir dans des moyens techniques et des services spécialisés.
Sur le plan technique, l'un des premiers investissements significatifs que j'ai observés est souvent le déploiement à grande échelle d'un EDR, couvrant des milliers, voire des dizaines de milliers d'actifs, incluant l'ensemble des serveurs et la majorité des postes de travail. Le coût de ces déploiements peut atteindre plusieurs centaines de milliers d'euros, voire dépasser le million d'euros assez rapidement.
Du point de vue des ressources humaines, le budget consacré à la cybersécurité connaît une croissance rapide, passant de zéro à plusieurs centaines de milliers d'euros annuellement, puis atteignant le seuil du premier million d'euros dédiés à la cybersécurité en peu de temps. En proportion du budget global de la DSI, cela représente une évolution de zéro à entre 3 et 8 spécialistes cybersécurité pour une centaine de collaborateurs au total.
Un budget cybersécurité compensé par des économies
D’un point de vue RSSI, je suis enthousiaste à l'idée que les budgets soient en hausse, permettant ainsi le déploiement de ressources dédiées à la cybersécurité. Toutefois, je suis pleinement conscient que ces augmentations budgétaires ne se produisent pas sans sacrifices. Elles proviennent souvent de réallocations au sein du budget global de l'IT ou d'autres départements, tels que la production.
Un des défis majeurs réside dans le fait que les budgets, surtout dans le contexte économique actuel, n’augmentent pas tout seul. On observe plutôt une tendance à la maîtrise, voire à la réduction des coûts, une situation rendue d'autant plus difficile par l'inflation qui complique la gestion budgétaire.
Là où ça pique, c’est quand le budget cybersécurité amène par exemple à diminuer des budgets liés à des outils marketing ou amène à repousser des investissements sur les chaines de production. Ce qui amène au report de modernisation d’une partie des machines outils.
Une dette cybersécurité abyssale
Dans le domaine de la cybersécurité, une difficulté majeure réside dans le fait que les lacunes en matière de sécurité sont souvent ancrées dans le passé, remontant parfois à plusieurs années, voire décennies. Les initiatives de cybersécurité actuelles visent à corriger des défauts de conception qui, dans certains cas, datent de l'introduction même des systèmes informatiques.
Quand, nous commençons à regarder les problèmes de cybersécurité, nous allons souvent vers l’infrastructure, celle-ci est complexe mais se gère souvent en bonne intelligence avec les équipes infra & réseaux. Le challenge s’alourdit de manière abyssale quand on s’attaque aux applications métiers type SIRH, SI Finance, où les vulnérabilités se comptent en dizaine de milliers voir parfois en millions de vulnérabilité.
Une analyse plus approfondie révèle que de nombreuses organisations ont externalisé une partie de leur informatique et de leurs applications à des sous-traitants. Cette externalisation, particulièrement dans les cas problématiques, s'inscrit souvent dans un modèle d'infogérance, une tendance qui s'est accentuée avec l'émergence du modèle SaaS. Dans cette configuration, les coûts associés à la résolution des problèmes d'obsolescence en cybersécurité retombent fréquemment sur l'organisation cliente.
De la nécessité de prioriser le déploiement de la cybersécurité
En bon père de famille, il convient donc de prioriser le déploiement de la cybersécurité. Au lieu de frontalement vouloir déployer la cybersécurité partout avec un niveau minimal, il convient de faire cette mise en sécurité de manière progressif. Cela permet de rendre le processus financièrement viable pour l'entreprise.
Le premier axe de priorisation classique d’un expert cybersécurité va être de faire la priorisation en se basant sur les risques. Cela implique la réalisation d'une analyse ou, à défaut, d'une cartographie des risques liés à la cybersécurité. Pour cela, il est indispensable de disposer d'une vue d'ensemble de l'architecture des systèmes d'information de l'organisation.
Le deuxième axe de priorisation que j’ai pour ma part utilisé est la dimension activité. Je donne souvent l’exemple du Titanic et la célèbre maxime « femmes et enfants d'abord ». Dans notre contexte, je dis qu’il faut déjà sauver à minima les bébés.
Je propose de prioriser les activités et applications associées les plus critiques. Un préalable à cette démarche est l'établissement d'un inventaire précis des applications jugées critiques.
Conclusion
Face à une dette considérable en matière de cybersécurité, souvent héritée des premières étapes d'informatisation de l'organisation, il devient essentiel, voire vital, de prioriser les budgets dédiés à la cybersécurité. Cette priorisation doit se baser sur l'évaluation des risques et sur le degré de criticité des différentes activités de l'entreprise. Il s'agit d'un processus de longue haleine qui nécessite une planification et une hiérarchisation méticuleuses.
CEO de CyberLead, nous accompagnons les organisations à déployer la cybersécurité dans toutes les dimensions physiques et numériques.
Au plaisir d’échanger avec vous sur vos challenges cybersécurité.