VMware sous Broadcom : le plan de sortie comme levier
Bernhard Liebl
7 min. de lecture Une facture VMware de 500.000 Euro par an passe à deux millions sous Broadcom. De ...
L’essentiel en bref
Le RSSI d’une entreprise industrielle réclamait depuis deux ans un budget pour la création d’un SOC (Security Operations Center). Puis vint l’attaque par ransomware : trois semaines d’arrêt total, 12 millions d’euros de pertes. Le budget a été approuvé dès le lendemain de la reprise des activités.
Trop peu d’influence pour la prévention, trop de responsabilité en cas d’échec – tel est le dilemme du RSSI. La directive NIS2 rebat les cartes.
Un RSSI (Responsable de la Sécurité des Systèmes d’Information) rend compte au DSI (Directeur des Systèmes d’Information), qui lui-même rend compte au DAF (Directeur Administratif et Financier), qui enfin rend compte au PDG. Trois niveaux séparent ainsi la sécurité de la direction générale. Les budgets dédiés à la cybersécurité entrent en concurrence avec les projets d’infrastructure IT. Pis encore : les risques cyber sont présentés comme des risques informatiques, et non comme des risques métiers.
La solution ? Une ligne de reporting directe vers le PDG ou le conseil d’administration. La cybersécurité doit figurer au même niveau que les risques marché, les risques financiers ou les risques opérationnels.
La directive NIS2 rend les dirigeants personnellement responsables de la mise en place de mesures de cybersécurité adaptées. En Allemagne, environ 30 000 entreprises sont concernées – un chiffre qui reflète l’ampleur des obligations imposées par cette réglementation européenne, entrée en vigueur en janvier 2023 et devant être transposée dans les droits nationaux d’ici octobre 2024.
Pour le RSSI (responsable de la sécurité des systèmes d’information), le changement est radical : il n’est plus un simple demandeur. Désormais, c’est lui qui détient la clé pour protéger les membres du directoire d’une responsabilité personnelle en cas de faille de sécurité. Un renversement de pouvoir qui place la cybersécurité au cœur des priorités stratégiques des entreprises du DACH (Allemagne, Autriche, Suisse).
Sens des affaires : Il comprend comment l’entreprise génère des revenus et où la sécurité crée de la valeur ajoutée.
Communication : Au lieu de parler de pare-feu et de correctifs, il évoque l’exposition aux risques, l’impact sur l’activité et le retour sur investissement de la sécurité.
Pensée stratégique : Il hiérarchise les priorités en fonction des risques métiers, et non de l’élégance technique.
Exposition au risque en euros : Probabilité d’occurrence multipliée par le préjudice attendu. La méthodologie FAIR (Factor Analysis of Information Risk) permet une approche systématique.
Maturité en matière de conformité : Échelle de 1 à 5 par rapport aux exigences de la directive NIS2 (Network and Information Security 2, une réglementation européenne renforçant la cybersécurité des opérateurs critiques), de la norme ISO 27001 (référence internationale en matière de gestion de la sécurité de l’information) et du BSI-Grundschutz (cadre allemand de protection des systèmes d’information). Benchmarking par rapport aux concurrents.
Retour sur investissement (ROI) de la sécurité : Valeur générée par chaque euro investi dans la sécurité – incidents évités, primes d’assurance réduites, conformité assurée.
Directement au PDG ou à un membre du directoire n’occupant pas la fonction de DSI (Directeur des Systèmes d’Information). Une ligne de reporting vers le DSI crée un conflit d’intérêts.
Entre 10 et 15 % du budget informatique, jusqu’à 20 % pour les secteurs réglementés. L’orientation doit se baser sur une évaluation quantifiée de l’exposition aux risques.
À partir de 500 collaborateurs : oui. Pour les structures plus petites, un RSSI externalisé (vRSSI) représente une solution, avec un coût mensuel compris entre 3 000 et 8 000 euros.
Source de l’image d’en-tête : Unsplash / Hunters Race