La première question à laquelle nous devrons répondre est la suivante : Quel pourcentage de son budget une organisation doit-elle allouer à l’IT ?
Cette information est essentielle pour comprendre l’investissement nécessaire en matière de cybersécurité.
En effet, le budget IT est un point crucial lorsqu'on parle de budget de cybersécurité, car le premier niveau de cybersécurité repose sur l'hygiène de l’IT. Cela signifie que le département IT doit disposer d'outils, mais aussi d'employés ayant suffisamment de compétences, d'expérience et de temps pour gérer, maintenir et améliorer correctement le système d'information de l'organisation.
Prenons l'exemple de la santé d'une personne : ce n'est pas parce que vous avez un budget médical conséquent que vous serez forcément en bonne forme, mais avant tout parce que vous avez un mode de vie sain (en ce qui concerne l'alimentation, le niveau de stress, d'exercice, etc.) Il en va de même pour la sécurité informatique : si vous avez une mauvaise hygiène IT, vous pouvez dépenser des millions d'euros dans les meilleurs produits de cybersécurité du marché, vous resterez très vulnérable.
En ce qui concerne le budget IT qui doit être alloué, il varie en fonction du type d’organisation : plus l'informatique est au cœur de l'activité, plus le budget doit être conséquent.
Nous pouvons prendre l'exemple de deux extrêmes en matière d’entreprises (à l’exclusion des prestataires de services informatiques, tels qu’Alter Solutions) : les banques et les hôpitaux.
- Les banques : De nos jours, les banques dépendent énormément des services informatiques en raison de la numérisation (quasiment) complète de leurs activités. Des milliers d'opérations critiques sont effectuées quotidiennement reposant sur les services informatiques. C'est pourquoi le budget alloué à l'IT a augmenté au fil des ans et peut atteindre jusqu'à 25 % du budget global d'une organisation. Par exemple, les coûts IT de BNP Paribas représentaient 22 % des coûts globaux du groupe en 2022, selon leur rapport de performance opérationnelle.
- Les hôpitaux, comme toutes les organisations, évoluent vers un monde numérique allant de la numérisation des dossiers des patients à la connexion entre les dispositifs médicaux. Bien que ces opérations soient liées à des vies humaines, le secteur informatique des hôpitaux est moins prioritaire que d'autres composantes, telles que les appareils médicaux et les employés.
Il en résulte un budget informatique généralement insuffisant.
Selon une interview du président de l'Association française pour la sécurité des systèmes d'information de santé (APSSIS), Vincent Trely, les hôpitaux français allouent 1,5 % de leur budget global à l'informatique. Ce montant n’est pas suffisant pour gérer correctement les hôpitaux et les rend extrêmement vulnérables aux menaces. Ce faible budget informatique est directement lié à de multiples violations de données survenues dans les hôpitaux français ces dernières années (10 hôpitaux ont été victimes de cyberattaques en 2022, en France). Les professionnels de l'informatique de santé affirment qu'un minimum de 4% du budget global devrait être alloué à l'informatique - avec moins que cela, il semble difficile de sécuriser le système d'information.
Conclusion
Le budget informatique d'une organisation devrait représenter entre 4 % et 25 % des coûts globaux (sauf si vous êtes un prestataire de services informatiques). Une fois le budget informatique correctement défini, il est possible d'allouer un budget de cybersécurité, qui peut varier entre 10 et 15 % du budget informatique global.