Budgéter votre SSI, l’essentiel à savoir !
Au vu de l’actualité récente et des nombreuses cyberattaques, la sécurité n’est vraisemblablement plus une option. MMA, Equinix, SFR ou encore Bouygues Construction, toutes ces entreprises ont récemment subi des attaques informatiques.
Les entreprises se doivent d’investir dans leur cybersécurité à hauteur de leur activité à protéger. C’est pourquoi, il est important de prévoir et de budgéter les activités relatives à la Sécurité des Systèmes d’Information !
Suivant le secteur d’activité de votre entreprise, il est courant de chiffrer la part du budget à consacrer à la sécurité entre 5 et 20% du budget informatique.
Avant de débuter l’élaboration de votre budget, faites un état des lieux
Avant de débuter l’élaboration de votre budget SSI pour 2021, il est essentiel de s’appuyer sur les dépenses déjà réalisées les années précédentes. C’est le meilleur moyen pour identifier les solutions mises en place, les coûts étalés sur plusieurs années, repérer les coûts cachés et les dépenses imprévues qui sont survenues.
Définissez vos priorités stratégiques pour 2021 :
Afin de définir vos priorités pour l’année à suivre, tout va dépendre du degré de maturité de votre entreprise. Certaines sociétés sont déjà bien avancées en terme de sécurité informatique (certification ISO 27001, mise en place de bastion d’administration, de SOC, de solutions de sécurité, etc. ) alors que d’autres ont encore beaucoup à construire.
Vos priorités stratégiques vont s’appuyer sur plusieurs études réalisées en amont :
- Le Schéma Directeur SSI : réalisé afin de définir votre stratégie SSI à long terme et les actions à mettre en place afin de sécuriser de la meilleure des manières votre Système d’Information ;
- L’analyse de risque : des actions ont été identifiés dans votre Plan de Traitement des Risques, elles sont impérativement à intégrer dans votre budget SSI.
Il faut être honnête, certains projets de sécurité paraissent coûter cher, même très cher ! C’est pourquoi il est important de les justifier et certains nécessiteront même d’être budgétés sur quelques années. Il faudra aussi peut-être, même surement, faire des choix, privilégier la réalisation d’un projet au dépend d’un autre ou reporter certains projets.
Définissez vos priorités stratégiques pour 2021 :
Comme nous vous l’avons évoqué juste avant, les sujets SSI à budgéter dépendent grandement de votre niveau de maturité et de votre schéma directeur SSI. Nous pouvons néanmoins évoquer certains sujets SSI qu’il ne faut pas négliger :
- Avant toute chose, pour mettre en place et piloter la sécurité, il faut du personnel. Le manque de ressources SSI est un problème récurrent pour de nombreuses structures. Il ne faut pas hésiter à intégrer dans son budget l’embauche de personnes qualifiées ou l’appel à des experts en cybersécurité.
- Pour que les ressources SSI soient le plus efficaces possible, il ne faut pas hésiter à prévoir un budget pour la formation afin de les aider à atteindre leur potentiel maximum !
- Attaques ciblées, défaillances humaines, mauvais réflexes, etc. les utilisateurs du SI sont souvent une source d’incidents malgré eux. Consacrer une partie de son budget à la sensibilisation des salariés est essentiel. Il faut sensibiliser vos collaborateurs aux risques et aux bonnes pratiques de sécurité à respecter. Cela peut prendre plusieurs forme : affiches, newsletter, faux mail de phishing, cours en e-learning ou en présentiel, mini série mettant en scène des scénarios… Les possibilités ne manquent pas.
- Sécuriser les actifs de l’entreprise en amont constitue un bon réflexe, moins coûteux que de réparer les dommages liés à une attaque. C’est pourquoi, il convient de ne pas négliger le budget lié à l’intégration de la sécurité dans les projets (ISP).
- Faire face à un sinistre ou un incident majeur est le cauchemar de tout dirigeant et RSSI. Afin de limiter l’impact d’un éventuel sinistre, il est essentiel de définir son plan de continuité et de reprise d’activité (PCA et PRA). Mais pas seulement ! Ils doivent être testés, à minima deux fois par an, afin de vérifier que les dispositifs techniques et les procédures correspondantes répondent aux objectifs de continuité défini. Les tests permettent également aux acteurs de s’approprier les gestes techniques dont ils auront la responsabilité en cas d’activation du plan de continuité.
- “La meilleure défense, c’est l’attaque !”. Et oui, le meilleur moyen de vérifier la robustesse de son infrastructure est de réaliser des tests qui s’apparentent à de vraies attaques informatiques. N’oubliez pas d’intégrer des tests d’intrusion dans votre budget.
- Les journaux d’événements constituent une brique technique indispensable à la gestion de la sécurité des systèmes d’information, quelles que soient la nature et la taille de ces derniers. Les journaux sont une source d’information riche qui peut être utilisée a priori pour détecter des incidents de sécurité. Certains attaquants ont pu s’introduire sur les SI de leurs victimes plus de six mois avant que celles-ci ne s’en aperçoivent. Avoir les journaux permet alors d’investiguer et de comprendre le chemin d’attaque. C’est pourquoi, mettre en place un système centralisé de la journalisation est nécessaire pour toute société. Autre avantage, ce système peut aussi aider les équipes de production lorsqu’elles rencontrent un problème. Les frais peuvent donc être partagés avec eux !
- Détecter les signaux des attaques est l’un des meilleurs moyens de pouvoir la contrer à temps. C’est pourquoi il ne faut pas hésiter à prendre en compte dans le budget, la gestion du SIEM (Security Information and Event Management, « Gestion de l’information et des événements de sécurité »). Le SIEM analysera en temps réel les journaux pour obtenir les alertes vous permettant d’agir au plus vite vite avant qu’une attaque ne devienne irrémédiable.
- Il également important d’avoir une partie du budget consacré au système de gestion des actifs, permettant de s’assurer que l’entièreté de votre parc informatique est à jour. Beaucoup de sociétés oublient de mettre en place un tel système et finissent par oublier une machine ou une partie de leur cloud… qui devient alors une porte d’entrée pour les attaquants !
- En outres, d’autres sujets doivent également faire partie de votre budget : audit de sécurité, analyse de risque, solutions de sécurité, licences Antivirus, réponse aux incidents, … la liste peut être très longue.
Pour certaines solutions de sécurité, le coût de l’investissement est à budgéter, mais pas seulement. Il ne faut surtout pas omettre les coûts liés à l’exploitation de ces outils !
Si vous avez des difficultés à définir votre budget SSI, n’hésitez pas à faire appel à Allistic, nous serons ravis de vous aider !
Webinaire à destination des Dirigeants
Retrouvez également notre prochain webinaire dédié à l'intégration de la sécurité par les PME, TPE et Start Up qui aura lieu le 15 octobre 2020 à 11h15 :