Budgéter votre SSI, l’essentiel à savoir !

Au vu de l’actualité récente et des nombreuses cyberattaques, la sécurité n’est vraisemblablement plus une option. MMA, Equinix, SFR ou encore Bouygues Construction, toutes ces entreprises ont récemment subi des attaques informatiques.

Les entreprises se doivent d’investir dans leur cybersécurité à hauteur de leur activité à protéger. C’est pourquoi, il est important de prévoir et de budgéter les activités relatives à la Sécurité des Systèmes d’Information !

Suivant le secteur d’activité de votre entreprise, il est courant de chiffrer la part du budget à consacrer à la sécurité entre 5 et 20% du budget informatique.

Avant de débuter l’élaboration de votre budget, faites un état des lieux

Avant de débuter l’élaboration de votre budget SSI pour 2021, il est essentiel de s’appuyer sur les dépenses déjà réalisées les années précédentes. C’est le meilleur moyen pour identifier les solutions mises en place, les coûts étalés sur plusieurs années, repérer les coûts cachés et les dépenses imprévues qui sont survenues.

Définissez vos priorités stratégiques pour 2021 :

Afin de définir vos priorités pour l’année à suivre, tout va dépendre du degré de maturité de votre entreprise. Certaines sociétés sont déjà bien avancées en terme de sécurité informatique (certification ISO 27001, mise en place de bastion d’administration, de SOC, de solutions de sécurité, etc. ) alors que d’autres ont encore beaucoup à construire.

Vos priorités stratégiques vont s’appuyer sur plusieurs études réalisées en amont :

Le Schéma Directeur SSI : réalisé afin de définir votre stratégie SSI à long terme et les actions à mettre en place afin de sécuriser de la meilleure des manières votre Système d’Information ;
L’analyse de risque : des actions ont été identifiés dans votre Plan de Traitement des Risques, elles sont impérativement à intégrer dans votre budget SSI.

Il faut être honnête, certains projets de sécurité paraissent coûter cher, même très cher ! C’est pourquoi il est important de les justifier et certains nécessiteront même d’être budgétés sur quelques années. Il faudra aussi peut-être, même surement, faire des choix, privilégier la réalisation d’un projet au dépend d’un autre ou reporter certains projets.

Définissez vos priorités stratégiques pour 2021 :

Comme nous vous l’avons évoqué juste avant, les sujets SSI à budgéter dépendent grandement de votre niveau de maturité et de votre schéma directeur SSI. Nous pouvons néanmoins évoquer certains sujets SSI qu’il ne faut pas négliger :

Avant toute chose, pour mettre en place et piloter la sécurité, il faut du personnel. Le manque de ressources SSI est un problème récurrent pour de nombreuses structures. Il ne faut pas hésiter à intégrer dans son budget l’embauche de personnes qualifiées ou l’appel à des experts en cybersécurité.
Pour que les ressources SSI soient le plus efficaces possible, il ne faut pas hésiter à prévoir un budget pour la formation afin de les aider à atteindre leur potentiel maximum !
Attaques ciblées, défaillances humaines, mauvais réflexes, etc. les utilisateurs du SI sont souvent une source d’incidents malgré eux. Consacrer une partie de son budget à la sensibilisation des salariés est essentiel. Il faut sensibiliser vos collaborateurs aux risques et aux bonnes pratiques de sécurité à respecter. Cela peut prendre plusieurs forme : affiches, newsletter, faux mail de phishing, cours en e-learning ou en présentiel, mini série mettant en scène des scénarios… Les possibilités ne manquent pas.
Sécuriser les actifs de l’entreprise en amont constitue un bon réflexe, moins coûteux que de réparer les dommages liés à une attaque. C’est pourquoi, il convient de ne pas négliger le budget lié à l’intégration de la sécurité dans les projets (ISP).
Faire face à un sinistre ou un incident majeur est le cauchemar de tout dirigeant et RSSI. Afin de limiter l’impact d’un éventuel sinistre, il est essentiel de définir son plan de continuité et de reprise d’activité (PCA et PRA). Mais pas seulement ! Ils doivent être testés, à minima deux fois par an, afin de vérifier que les dispositifs techniques et les procédures correspondantes répondent aux objectifs de continuité défini. Les tests permettent également aux acteurs de s’approprier les gestes techniques dont ils auront la responsabilité en cas d’activation du plan de continuité.
“La meilleure défense, c’est l’attaque !”. Et oui, le meilleur moyen de vérifier la robustesse de son infrastructure est de réaliser des tests qui s’apparentent à de vraies attaques informatiques. N’oubliez pas d’intégrer des tests d’intrusion dans votre budget.
Les journaux d’événements constituent une brique technique indispensable à la gestion de la sécurité des systèmes d’information, quelles que soient la nature et la taille de ces derniers. Les journaux sont une source d’information riche qui peut être utilisée a priori pour détecter des incidents de sécurité. Certains attaquants ont pu s’introduire sur les SI de leurs victimes plus de six mois avant que celles-ci ne s’en aperçoivent. Avoir les journaux permet alors d’investiguer et de comprendre le chemin d’attaque. C’est pourquoi, mettre en place un système centralisé de la journalisation est nécessaire pour toute société. Autre avantage, ce système peut aussi aider les équipes de production lorsqu’elles rencontrent un problème. Les frais peuvent donc être partagés avec eux !
Détecter les signaux des attaques est l’un des meilleurs moyens de pouvoir la contrer à temps. C’est pourquoi il ne faut pas hésiter à prendre en compte dans le budget, la gestion du SIEM (Security Information and Event Management, « Gestion de l’information et des événements de sécurité »). Le SIEM analysera en temps réel les journaux pour obtenir les alertes vous permettant d’agir au plus vite vite avant qu’une attaque ne devienne irrémédiable.
Il également important d’avoir une partie du budget consacré au système de gestion des actifs, permettant de s’assurer que l’entièreté de votre parc informatique est à jour. Beaucoup de sociétés oublient de mettre en place un tel système et finissent par oublier une machine ou une partie de leur cloud… qui devient alors une porte d’entrée pour les attaquants !
En outres, d’autres sujets doivent également faire partie de votre budget : audit de sécurité, analyse de risque, solutions de sécurité, licences Antivirus, réponse aux incidents, … la liste peut être très longue.

Pour certaines solutions de sécurité, le coût de l’investissement est à budgéter, mais pas seulement. Il ne faut surtout pas omettre les coûts liés à l’exploitation de ces outils !

Si vous avez des difficultés à définir votre budget SSI, n’hésitez pas à faire appel à Allistic, nous serons ravis de vous aider !

Webinaire à destination des Dirigeants

Retrouvez également notre prochain webinaire dédié à l'intégration de la sécurité par les PME, TPE et Start Up qui aura lieu le 15 octobre 2020 à 11h15 :

Inscrivez-vous

Jours

Heures

Minutes

Secondes

Ce webinaire est terminé

Cookie	Durée	Description
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durée	Description
__hstc	5 months 27 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	5 months 27 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durée	Description
uuid	6 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.

Cybersécurité et budgets 2021

Budgéter votre SSI, l’essentiel à savoir !

Avant de débuter l’élaboration de votre budget, faites un état des lieux

Définissez vos priorités stratégiques pour 2021 :

Définissez vos priorités stratégiques pour 2021 :

Webinaire à destination des Dirigeants

Allistic - Paris

Allistic - Lille

Newsletter.

Ne ratez pas les dernières infos de la cybersécurité