Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’incident de sécurité est-il un passage obligé pour obtenir des budgets sécurité ?

avril 2015 par Marc Jacob

Pour ce nouveau Dîner du Cercle de la Sécurité, le thème choisi est "Comment construire son budget faces aux nouveaux enjeux économiques ?" Pour animer cette conférence Florence Puybareau avait réuni Brigitte Declerck, RSSI des groupements AGIRC/ARRCO, Alain Bouillé, Président du CESIN, Mahmoud Denfer, Group Information Security Officer Vallourec et Raphaël Marichez, FSSI, Ministère de l’Intérieur qui ont expliqué leur stratégie au sein de leur société respective.

De gauche à droite Brigitte Declerck, Raphaël Marichez, Florence Puybareau, Alain Bouillé et Mahmoud Denfer

En préambule Florence Puybareau a présenté deux statistiques du Gartner : les budgets de sécurité ont augmenté d’environ 2% en deux ans, la croissance en personnel va de pair. Puis elle a lancé le débat.

Chez Vallourec le DSI est directement en relation avec le DAF explique Mahmoud Denfer. A la Caisse des Dépôts, reprend Alain Bouillé, le directeur des Risk est rattaché à la direction générale. Au Ministère de l’intérieur, il n’y a pas de budget en propre mais il est suffisant pour réaliser les objectifs fixés. A l’AGIRC/ARRCO, la SSI est rattaché à la DSI, et au sein de la fédération les RSSI sont soit rattachés à la direction Générale soit à la direction des risques.

Selon Alain Bouillé, les budgets sont de l’ordre de 2 à 5% du CA en France, il est largement inférieur à ceux des RSSI dans les pays anglo-saxons. Dans un budget sécurité, on n’inclut pas tout ce qui est continuité. Ainsi, les sites de backup ne sont pas comptés par contre si il y a un pare-feu il est compris. En revanche, on y met le budget de fonctionnement, les outils de sécurité pare-feu, les sondes, les anti-malwares... Par ailleurs, le budget IAM, PKI... est comptabilisé différemment du fait de la transversalité de ces projets. Enfin, on doit aussi comptabiliser les coûts de personnel. Aujourd’hui du fait des attaques et de leurs médiatisations les dirigeants sont plus sensibilisés à la sécurité d’autant plus lorsque l’entreprise a été touchée par une attaques !

Si la sécurité a été correctement intégrée dans un projet métier on a du mal à déterminer les coûts de la sécurité car ils sont fondus. Ainsi, il rapporte que dans un projet au sein de son entreprise, des audits de codes étaient réalisés à chaque étape et donc qu’au final il était impossible de déterminer le coût de la sécurité.

La sécurité a-t-elle besoin d’un budget ?

Pour Raphaël Marichez, lorsqu’il a pris ces fonctions en 2011, les RSSI se plaignaient de ne pas avoir de budget. Toutefois pour lui, le RSSI n’a pas réellement besoin d’un budget énorme. En effet, il doit exposer les risques à sa direction, il propose des plans de correction suite à des audits… Enfin suite à des incidents, il va avoir de budget pour investir dans des outils de sécurité complémentaires. Il faut qu’il y ait un dialogue pour couvrir les risques, les cerner... Il n’y a donc pas réellement besoin d’enveloppe budgétaire car c’est le responsable métier qui doit endosser les risques.

RSSI/DAF dialogue de sourd en perspective ?

Mahmoud Denfer estime qu’entre les financiers et les DSI/RSSI il y a parfois un dialogue de sourd qui peut s’engager. Il faut qu’un DAF puisse comprendre les enjeux, que les DSI/RSSI comprendre le langage du DAF et qu’en fin de compte les métiers tranchent. Aujourd’hui la DSI est passée d’un centre de coûts à un centre de profit. Les RSSI doivent comprendre comment sont faits les budget afin de pouvoir proposer un catalogue de services dans lequel la DSI et les métiers peuvent choisir en fonction de leurs objectifs.

La méthode ABC une aide pour se faire comprendre des DAF ?

Brigitte Declerck explique qu’à l’AGIRC/ARRCO on identifie des ressources, un projet et on monte des catalogues de services. On utilise en fait la méthode ABC (L’Activity Based Costing, est une méthode de gestion de la performance qui permet de comprendre la formation des coûts et les causes de leurs variations). Cela permet d’avoir une compréhension du vocabulaire utilisé par les DAF et de se faire comprendre d’eux. A l’AGIRC/ARRCO ce travail a été fait collectivement au niveau de toutes les entités des fédérations. Elle permet d’expliquer aux directions métiers les enjeux et les coûts associés, et de comprendre comment on peut gagner du temps, de l’énergie... pour y arriver. Il faut une volonté politique puis après on est vraiment dans le partage !

Selon Raphaël Marichez, lorsqu’une entreprise a un niveau de maturité suffisante, la difficulté n’est pas tant sur les projets métiers, ce qui pose le problème ce sont les projets transversaux où l’on ne sait pas réattribuer les budgets Pour Mahmoud Denfer, il est aussi difficile de pratiquer des refacturations lors de projets transverses. Il est compliqué d’évaluer tous les coûts indirects. Il est toutefois possible de travailler sur des refacturations en fonction des coûts en fonction des pays. Lorsque l’on travaille sur un projet groupe, chaque région les définit avec leurs moyens et leurs contraintes. Par exemple, au Brésil lorsqu’un produit n’est pas créé ou distribué localement une taxe de 43% est appliquée. Il est donc difficile d’utiliser une méthode ABC… Pourtant, chez Vallourec elle est aussi utilisée et a été mise en place en trois ans. Elle a été conçue avec l’aide de prestataires. A l’AGIRCARRCO, cette méthode a été mise en place en quatre ans rapporte Brigitte Declerck.

Pour Brigitte Decleck la clé pour faire passer les messages, est tout d’abord que les RSSI doivent se faire connaître afin. Ils doivent aider les métiers à construire de façon industrielle la sécurité. Ils doivent aussi travailler avec la production et bâtir des liens de confiance. Ils ont aussi besoin de tisser des liens avec les auditeurs qui sont des prescripteurs en matière de sécurité. Au sein des RSSI du groupe il est important de partager, d’échanger... Au sein de la fédération AGIRC/ARRCO on trouve différents niveaux de maturité, il y a donc des locomotives et d’autres entités plus petites élèvent leurs niveaux à leurs rythmes.

Pour Alain Bouillé, le RSSI doit intervenir pour fédérer les besoins au grand bénéfice de l’entreprise. Mahmoud rebondi sur l’intervention de Raphaël Marichez, pour il est difficile d’avoir un consensus lors de l’état de la facturation.... Il faut avoir une facturation équitable, transparente, avec des clés de répartitions qui ne changent pas. A l’AGIRC ARRCO, Brigitte Declerck explique qu’il a été pris des modèles simples avec une option "injustice" et donc un modèle tarif unique pour la licence, les prestations.. Ce qui est favorable aux grands groupes plutôt qu’au petit...

Au final, si les RSSI utilisent des méthodes différentes pour obtenir des budgets, ils étaient tous d’accord pour conclure que les incidents de sécurité qui touchent directement leur entreprise sont la meilleure des aides… Toutefois, ils ne souhaitent bien entendu pas que des attaques en règles ne les atteignent…. Il est vraiment temps que les dirigeants se motivent et prennent très au sérieux la sécurité informatique.




Voir les articles précédents

    

Voir les articles suivants