Le consensus est assez large, les risques pour les DSI sont en augmentation. Pas de chance, pour beaucoup d’entreprises la période est aux restrictions budgétaires.

On peut adopter plusieurs postures : répartir la pénurie, faire l’impasse, préserver les moyens sur les points stratégiques. On peut aussi tenter la quadrature du cercle, un paradoxe se résume à la fameuse phrase « Faire mieux avec moins de moyens ».

Enfin, et ceci n’est pas incompatible avec la précédente maxime, on peut appliquer quelques bonnes pratiques, encore faut-il s’en rappeler ! Dans le même ordre d’idées, on peut 'mélanger' les postures évoquées plus haut.

 

Avant d’entrer dans le vif du sujet, rappelons quelques points et posons le cadre :

Il ne s’agit pas de débattre du bien fondé (ou non) d’une restriction budgétaire, la restriction est ici une hypothèse de départ ! Ceci étant posé, réduire le budget sécurité n’est pas indispensable, mais il n’est pas tabou non plus ! De plus, cette réduction s’opère différemment selon que l’on soit en mode projet ou en 'RUN'.

Une piste évoquée consiste à identifier spécifiquement le budget sécurité, cela facilite grandement l’analyse des coûts, permet de 'factualiser' les services de sécurité et de les justifier. Mais l’envers de la médaille est là : une fois identifiés, il peut être tentant de les réduire fortement, voire de les supprimer, c’est la vision « la sécurité est un centre de coûts ».

Et si la période de restriction était une opportunité ? Faut-il se poser les questions de l’utilité d’un composant, d’un process, d’une architecture ? Et en profiter pour simplifier, optimiser… Nous n’avons pas besoin de période de restriction pour entamer une telle démarche direz-vous. Soit, mais c’est sûrement sous la contrainte que des réflexes sont mis en jeu.

Jouer la priorité est une autre piste, mais comment classer nos services/activités/processus de sécurité ? Le fait est que peu d’entreprises pratiquent l’analyse de la valeur (et non pas analyse des coûts comme évoqué plus haut) sur la thématique de la sécurité, le choix de prioriser une activité plutôt qu’une autre introduit alors une part de subjectivité.

Enfin, inventorier des bonnes pratiques, issues de retour d’expérience revêt un caractère opérationnel présentant un intérêt.

Avec le CLUSIR-EST, nous vous proposons une analyse structurée en cinq « pistes d’économies », étayées par des exemples.

1 - L’humain et l’organisationnel

- Implication de la MOA

Elle est obligatoire pour cerner les besoins de sécurité. En cas de réduction du budget, les exigences de sécurité à 'conserver' doivent être validées par la MOA. A contrario, les exigences de sécurité qui ne sont plus retenues doivent également être identifiées, et une procédure formelle d’acceptation du risque doit être rédigée. L’éventuelle dégradation de service apportée par une réduction des exigences de sécurité doit suivre le même processus.

- Recours à des stagiaires et à l’alternance

Cette proposition peut faire débat concernant les stagiaires. Mais le mode gagnant/gagnant est un modèle possible dont il ne faut pas se priver. Gagnant pour la stagiaire si le sujet de stage est d’envergure, gagnant pour l’entreprise par l’apport d'une 'vision neuve' et sur le plan financier.

- Partenariat / Entraide / Réseautage

Cet exemple peut revêtir différentes formes, via les associations (comme le CLUSIR-EST), au sein de différentes directions (cas d’entreprises importantes), sur des FORUMS, etc.

- Sensibiliser

Un employé qui adhère aux principes de sécurité de son entreprise permettra de réduire les incidents de sécurité et donc de réduire les coûts liés au traitement de ces incidents.

- Responsabiliser

En complément de la sensibilisation, la responsabilisation peut prendre la forme d’objectifs liés à la sécurité dans le cadre des évaluations individuelles. Les objectifs peuvent être adaptés à chaque niveau de responsabilité.

- Former

Un personnel formé à la SSI, avec des messages dédiés selon les fonctions, permet d’adopter une attitude et des réflexes au quotidien générateurs de valeur (meilleure couverture des risques). Pour se former à moindre coûts différentes pistes sont évoquées : l'utilisation du DIF/CIF selon les souhaits des collaborateurs, la formation en ligne, le tutoriels, etc.

- Organiser

Selon la taille des entreprises, une organisation identifiée comme 'SSI' avec du personnel à temps plein ou ayant reçue formellement cette mission (notion de « correspondants sécurité ») est préconisée.

- Communiquer

Obtenir des budgets passe par une communication, en temps de restriction budgétaire, il faut être en capacité de chiffrer le ROI des investissements consentis pour la SSI.

- Faire du lobbying

Pour faire en sorte que le budget sécurité ne chute pas d’année en année.

2 - Finances

- Réduire le budget

Cet exemple pose question sur la façon d’opérer la réduction du budget. Les pistes évoquées sont :

- Ne pas faire certains projets. Sélectionner des projets à faire selon une approche 'couverture des risques' ou bien 'approche métier', autrement dit conserver les projets porteurs des risques les plus importants, ou conserver le volet sécurité des projets métiers les plus importants (approche stratégique/tactique/opérationnel) ;

- Appliquer les principes de cost killing à la SSI. Nous attirons toutefois l’attention des lecteurs sur les obligations légales et réglementaires qui restent obligatoires, et de manière générale il est nécessaire de bien mesurer les impacts ;

- Déporter les coûts. Ce point est soumis à débat car il ne constitue pas au global à une réduction des coûts mais à un transfert de coûts. Ce transfert peut se faire en amont ou en aval. Il peut aussi consister à transférer des coûts vers un partenaire/prestataire. Dans ce cas, l’importance des clauses des contrats revêt une importance particulière ;

- Open Source. Le débat pour ou contre l’Open Source est dépassé. Son utilisation s’apprécie au cas par cas. Il nous a été fait état d’utilisation probante et économiquement viable de produits Open Source. D’un point de vue financier, il est possible de contracter auprès de sociétés spécialisées notamment pour garantir un support sur ces produits.

- Politique d’achat. Il nous a été cité les cas où la location de services en lieu et place de l’investissement peut être plus économique. Pour des sociétés de taille importante, la rationalisation des achats permettant de jouer sur des volumes plus importants est également employée. Enfin la mutualisation de ressources ou de services est également facteur d’économies.

- Contrats, avec l'introduction de clauses types garantissant la prise en compte de la sécurité.

- Dégrader le service. Le service de sécurité est il en adéquation avec le besoin ? N’y a t il pas de sur-qualité ? Ne peut on pas dégrader légèrement le service (économie) sans réduire significativement le niveau de sécurité ?

3 - Techniques

- Cloud et SaaS

Faut-il avoir peur du grand méchant Cloud ? Telle est un peu la question. A minima il faut se méfier. Si les conditions de sécurité souhaitées sont au rendez-vous, les modes Cloud et SaaS peuvent être générateur d’économies.

- Politique d’utilisation des ressources techniques

En parallèle de ce qui a été évoqué pour la politique d’achat dans la rubrique Finance, rationaliser ces infrastructures ou composants techniques diminue les coûts. Mutualiser des infrastructures ou services techniques de sécurité également. La masterisation par exemple de poste de travail est également évoquée.

- Open Source

Certains sont utilisateurs (satisfaits !) de produits Open Source, comme PGP, SNORT, etc.

- Trains de maintenance

Un constat largement partagé a été établi : la mise à jour des systèmes est coûteuse, le fonctionnement selon un mode basé sur les trains de maintenance permet de diminuer les coûts

- Etre béta testeur

Une convention entre un éditeur/constructeur et une entreprise utilisatrice d’un produit afin de réaliser des Béta Tests peut permettre de bénéficier d’une réduction des coûts, ou d’accès à des services supplémentaires sans re-facturation.

- Le catalogue d’outils

Le catalogue d’outils permet de guider les prescripteurs vers des choix connus et maîtrisés et limite la 'dispersion' technologique (cf. la politique d’utilisation des ressources techniques).

4 - Réglementation

- Encadrer

Les lois ou les règlements spécifiques à votre secteur d’activité sont des leviers budgétaires. L’actualité également, il s’agit d’être pragmatique, la démonstration par l’exemple réel (faire peur) étant souvent plus porteur qu’une analyse de risques

- Se faire accompagner

Le domaine public, para public, les OIV peuvent dans certains cas recourir à des instance (ANSSI, DCRI, OZSSI, etc.) pouvant les accompagner, que ce soit dans le domaine du conseil, de la formation ou d’audits.

5 - Méthodes

- La loi de Paretto

Aussi appelée loi des 20/80, elle est toujours d’actualité, même dans sa version purement empirique. Elle permet de se concentrer sur les 20% d’actions permettant de sécuriser 80% du périmètre.

- Gérer la sécurité dans les projets

Utiliser une méthode de conduite de projet pour laquelle la sécurité fait entièrement partie de la méthode (expression des besoins de sécurité, analyse de risques, chiffrage, sélection des mesures, etc.).

- Analyse de risques

Adopter une méthode gratuite (EBIOS). Ou un dérivé, car EBIOS est souvent considéré comme trop lourde pour les petits projets.

- Check List sécurité

Créer des check Lists selon les différents besoins (pour les chefs de projets, pour les administrateurs par exemple)

- Catalogue de service

En complément du catalogue technique cité plus haut, le catalogue de service décrit le SLA sans parler d’outils, très utile pour les MOA.