Phylapp
Gouvernance du risque numérique et stratégie cyber

Pourquoi les décisions budgétaires déterminent le niveau de sécurité réel

Le niveau de sécurité réel est déterminé par les décisions budgétaires. Le ROI invisible des investissements en sécurité les pénalise dans les arbitrages. Fonder les budgets sur les risques réels plutôt que sur les benchmarks.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 14 lectures

Points clés

  • Le niveau de sécurité réel d'une organisation est, en dernière analyse, déterminé par les décisions budgétaires — les politiques et les discours ne compensent pas un financement insuffisant.
  • Les budgets de cybersécurité sont structurellement sous-évalués parce que leur ROI est la non-occurrence d'incidents — une valeur invisible.
  • Les décisions budgétaires doivent être fondées sur les risques réels identifiés, et non sur des benchmarks sectoriels ou des habitudes historiques d'allocation.
  • La direction qui contrôle les budgets de sécurité sans comprendre les risques associés prend des décisions qui peuvent exposer l'organisation plus qu'elle ne le réalise.
Cas US Colonial Pipeline (2021) — L'enquête post-incident a révélé que l'opérateur avait sous-investi dans la cybersécurité de ses systèmes industriels pendant plusieurs années, malgré les alertes sur la vulnérabilité des infrastructures critiques dans le secteur. Les décisions budgétaires qui avaient systématiquement favorisé les investissements opérationnels au détriment de la sécurité avaient directement contribué à l'état de vulnérabilité qui a permis l'attaque.

La valeur invisible des investissements en sécurité

Les investissements en cybersécurité souffrent d'un problème de visibilité fondamental : leur valeur s'exprime dans la non-occurrence d'incidents — une valeur négative difficile à quantifier et impossible à attribuer causalement. Quand un projet commercial génère du chiffre d'affaires, sa valeur est visible et mesurable. Quand un investissement en sécurité prévient un incident, personne ne peut prouver que l'incident se serait produit sans lui. Cette asymétrie de visibilité conduit, dans les arbitrages budgétaires, à favoriser systématiquement les investissements dont la valeur est visible — au détriment des investissements en sécurité qui protègent contre des risques qui ne se sont pas encore matérialisés.

Comment les budgets de sécurité sont historiquement sous-évalués

Les budgets de cybersécurité sont souvent construits par reconduction : le budget de l'année précédente, éventuellement ajusté à la marge, sans révision fondamentale fondée sur les risques réels. Ce mécanisme produit des budgets qui reflètent les priorités passées et les équilibres organisationnels historiques — pas les risques actuels ni les évolutions de l'environnement. Une organisation qui a multiplié par trois sa surface d'exposition numérique en déployant de nouveaux services cloud mais dont le budget de sécurité est resté stable alloue mécaniquement moins par unité d'exposition. La réduction du niveau de protection par unité d'exposition est une dégradation réelle, qui ne sera pas visible jusqu'à ce qu'un incident la révèle.

Fonder les budgets sur les risques, pas sur les benchmarks

Une pratique fréquente dans l'allocation des budgets de sécurité est de se référer à des benchmarks sectoriels : "les entreprises de notre secteur allouent X % de leur budget IT à la cybersécurité". Ces benchmarks ont une utilité pour la communication — ils permettent de démontrer que l'organisation n'est pas en deçà de la moyenne. Mais ils ne reflètent pas les risques spécifiques de l'organisation. Une organisation dont la surface d'exposition est plus étendue que la moyenne, ou dont les actifs à protéger sont plus sensibles, ou dont les menaces sont plus ciblées, devrait allouer plus que la moyenne — indépendamment de ce que font les pairs. L'allocation fondée sur les risques réels est la seule approche qui garantit une adéquation entre protection et exposition.

Cas EU EasyJet (2020) — L'amende et les coûts associés à la violation des données de 9 millions de clients ont dépassé de plusieurs fois les investissements de sécurité qui auraient pu prévenir l'incident. L'analyse économique post-incident a montré que des investissements modestes dans la surveillance des composants tiers et la détection des comportements anormaux auraient eu un ROI positif considérable par rapport au coût réel de l'incident. Les décisions budgétaires qui avaient sous-financé ces contrôles avaient produit une économie apparente et une exposition réelle.

La direction comme décideur budgétaire informé

La direction ne peut pas prendre de bonnes décisions budgétaires sur la cybersécurité si elle ne comprend pas les risques contre lesquels ces investissements la protègent. C'est pourquoi la qualité de l'information présentée à la direction sur les risques numériques a des conséquences directes sur les décisions budgétaires. Une direction qui reçoit une information honnête et calibrée sur son exposition réelle — avec une quantification des risques et une estimation des coûts d'incident évités — prend des décisions d'allocation plus défendables. Une direction qui reçoit une information rassurante ou une liste de projets techniques sans traduction en termes de risque réduit alloue ses budgets sans comprendre les conséquences réelles de ses arbitrages.

Mesurer l'efficacité des investissements de sécurité

Les investissements en cybersécurité doivent être suivis d'une évaluation de leur efficacité — pas seulement de leur déploiement. Un outil de surveillance déployé mais dont les alertes ne sont pas traitées n'a aucune valeur de protection. Un programme de formation réalisé mais qui n'a pas modifié les comportements à risque n'a pas produit les effets escomptés. Cette évaluation de l'efficacité — mesurée par l'évolution des indicateurs de risque résiduel et non par le déploiement des outils — est ce qui permet d'améliorer l'allocation budgétaire des exercices suivants, en concentrant les ressources sur les investissements qui produisent effectivement des réductions d'exposition.

Cas Asie Toyota (2022) — L'absence de budget alloué à une revue régulière des configurations de sécurité cloud — un investissement modeste en comparaison des coûts associés à cinq ans d'exposition de données clients — illustre comment une décision budgétaire implicite (ne pas financer un processus) peut avoir des conséquences disproportionnées. Le budget de sécurité, dans les environnements cloud, doit inclure explicitement les activités de vérification continue — pas seulement les outils de déploiement.

Articles similaires

Pourquoi la cybersécurité doit être portée par la direction générale

La cybersécurité portée uniquement par la DSI manque de légitimité stratégique. Quand la direction générale s'en empare, elle change les arbitrages, la culture et la capacité à imposer les contraintes nécessaires.

24 mai 2026 7 min

Le rôle réel du comité de gouvernance du risque numérique

Un comité de gouvernance du risque numérique n'est utile que s'il prend des décisions réelles sur quatre fonctions : information sur l'exposition, arbitrage des priorités, allocation des ressources, supervision des incidents.

24 mai 2026 7 min

Pourquoi les organisations confondent stratégie IT et stratégie cyber

Stratégie IT et stratégie cyber répondent à deux logiques différentes. Leur confusion génère des déséquilibres : on modernise les systèmes sans renforcer parallèlement la protection. Une stratégie cyber indépendante est nécessaire.

24 mai 2026 7 min
WhatsApp