![[Forum INCYBER] RSSI: Faites plus avec moins](https://incyber.org//wp-content/uploads/2025/07/incyber-news-abstract-data-8-2160x735.jpg)
Forum INCYBER RSSI: Faites plus avec moins
![Image [INCYBER Voices] Assurance cyber : tout comprendre avant de souscrire !](https://incyber.org//wp-content/uploads/2024/09/incyber-news-cybersecurite-cybersecurity-data-donnees-5-2024-885x690.jpg)
Entre 2018 et 2023, le budget médian consacré à la cybersécurité est passé de 1,4 à 5,3 millions de dollars, soit une progression de 280% selon une étude Hiscox. Mais cette dynamique est aujourd’hui en perte de vitesse. D’après Forrester, si 90% des RSSI ont encore vu leur budget progresser en 2025, pour 46% d’entre eux, la hausse était comprise entre 1 et 4% seulement.
« Même si nous n’avons pas forcément de réduction, nous n’avons plus la croissance que nous avons connue ces dernières années« , témoigne Estelle Tchigique-Boyer, RSSI du groupe CNP Assurances et administratrice du CESIN.
« Notre environnement est complexe : le risque apparaît sans limite mais nos budgets, eux, sont limités » résume-t-elle. Un paradoxe d’autant plus aigu que 47% des entreprises françaises ont subi au moins une cyberattaque majeure en 2024, d’après le baromètre CESIN, et que la directive NIS2 s’apprête à réguler 10 à 15 fois plus d’entités.
Identifier, accepter et prioriser les risques
Cette nouvelle réalité budgétaire impose un changement de paradigme radical. « Quand on dit qu’on priorise, ça veut dire qu’on dé-priorise, voire qu’on abandonne« , assène Estelle Boyer. « C’est important de vraiment l’avoir en tête. On accepte un risque, et même en faisant tout ce qu’on peut, on acceptera toujours un risque.«
Mais comment décider ce qu’on protège et ce qu’on abandonne ? L’approche rationnelle par la quantification financière semble logique. Pourtant, l’expérience de Proton montre ses limites. « Nous avons tenté de mettre une valeur financière derrière chaque risque« , raconte Patricia Hager, directrice de la sécurité. « Mais nous avons rapidement abandonné. Des éléments comme la réputation prenaient le dessus et nous n’arrivions pas à les chiffrer correctement.«
Si la quantification pure échoue, quelle alternative ? Estelle Tchigique-Boyer propose une approche plus pragmatique : « Il faut adopter une approche financière du risque, mettre les moyens là où on réduit le plus efficacement le risque. C’est ce que j’appelle l’optimisation financière, une logique de ROI (Return On Investment). » En clair : protéger d’abord ce qui a le plus d’impact pour l’entreprise.
Cette démarche suppose toutefois de connaître son périmètre. Un prérequis loin d’être acquis, notamment pour les PME. « La majorité de mes clients ne savent même pas ce qu’ils ont dans leur parc informatique« , constate Luc Cottin, CEO de RSecure et RSSI chez Rcube. « Comment identifier des risques si on ne sait pas ce qu’il y a dans l’entreprise ? » Pour lui, tout commence par un inventaire exhaustif des actifs.
Responsabiliser les collaborateurs
Une fois les risques identifiés et priorisés, qui doit les porter ? La réponse des RSSI est unanime : ceux qui les génèrent. Cette responsabilisation des métiers constitue le deuxième pilier de l’adaptation à la contrainte budgétaire.
Chez Proton, le transfert de responsabilité a été systématisé. « Plutôt que d’être la fonction sécurité centralisée qui dit non à tout, nous établissons le cadre de gestion des risques« , explique Patricia Hager. « Ensuite, chaque chef de département décide d’accepter ou non le risque. » Cette approche transforme radicalement la dynamique : le RSSI n’est plus le gendarme mais l’architecte du système. ++ actionanriat
CNP Assurances applique une philosophie similaire mais avec une approche différente : la transparence totale. « Nous leur présentons leurs risques spécifiques : applications, vulnérabilités, taux de formation, sensibilité au phishing, obsolescence des serveurs« , détaille Estelle Tchigique-Boyer. Ces tableaux de bord de maturité par business unit créent un électrochoc : « Souvent, les métiers découvrent des applications dans leur périmètre qu’ils ne connaissaient même pas.«
Pour que cette responsabilisation fonctionne, encore faut-il que les décideurs comprennent les enjeux. C’est là qu’intervient la sensibilisation par la preuve. « Quand on montre qu’environ 50% des mots de passe des collaborateurs sont déjà compromis sur le dark web, on arrive à débloquer des budgets« , témoigne Romuald Lainé, Ingénieur avant-vente chez Mailinblack.
Luc Cottin insiste également sur l’importance de la gouvernance : « Le CISO doit avoir un point d’entrée au COMEX pour remonter les risques directement. » Sans ce lien direct avec les instances de décision, la responsabilisation reste lettre morte.
Estelle Tchigique-Boyer tempère toutefois l’enthousiasme : « Le coût reste dans l’entreprise, il n’est simplement pas dans le budget du CISO. » L’objectif n’est pas de faire des économies globales mais de créer une dynamique vertueuse où chaque métier intègre la sécurité dans ses projets et ses budgets.
Centraliser ou décentraliser
Comment optimiser un parc souvent pléthorique face à des augmentations tarifaires parfois brutales ? « J’ai des renouvellements de licences où je prends des fois deux sur le prix annuel« , témoigne un participant.
Deux écoles s’affrontent. Les partisans de la consolidation voient dans les plateformes unifiées la solution. « C’est épuisant pour un collaborateur de jongler entre différents outils« , argumente Romuald Lainé. « Nous proposons de multiplier les solutions mais au sein d’une même plateforme. » L’argument de la simplicité d’usage et de gestion séduit, d’autant qu’Estelle Tchigique-Boyer reconnaît gérer « un empilement d’outils » chez CNP.
Plus on a d’outils, plus on augmente la surface de risque« , expose Luc Cottin, qui défend paradoxalement une approche minimaliste : « En PME, on essaie justement d’avoir le moins d’outils possible. » Il pointe aussi le risque opérationnel : « Si on met tout dans un outil et qu’il tombe en panne ?«
Estelle Tchigique-Boyer ajoute une dimension stratégique : « S’orienter vers un éditeur unique crée un problème de dépendance. Les tarifs futurs nous seront imposés. » Le risque fournisseur devient alors critique.
Face à ce dilemme, des voies alternatives émergent. La mutualisation d’abord. CNP a créé « un catalogue de services pour ses filiales avec des éléments obligatoires et d’autres facultatifs« . Cette approche permet de négocier en position de force tout en laissant de la flexibilité aux entités.
Plus radical, Proton a opté pour l’indépendance technologique. « Nous n’achetons presque rien. Tout est construit en interne avec de l’open source« , révèle Patricia Hager. Cette stratégie permet d’échapper à ce qu’elle appelle la « taxe SSO » – ces licences premium imposées pour des fonctionnalités basiques. Mais Luc Cottin prévient : « Il y a des coûts cachés dans le libre. Il faut des personnes capables de débugger.«
Dans ce débat complexe, la réglementation pourrait-elle apporter une simplification ? « L’ambition de NIS2 est de créer un socle commun« , explique Aurélie Cotton, cheffe d’état-major à la sous-direction de la stratégie de l’ANSSI. Cette harmonisation permettrait de réduire la complexité et donc les coûts de mise en conformité. Le Cyber Resilience Act va dans le même sens en imposant des standards minimaux aux éditeurs : « Fini les mots de passe par défaut 0000.«
« Il faut sortir de notre environnement naturel« , conclut Estelle Tchigique-Boyer. Cette formule résume parfaitement la mutation en cours. La contrainte budgétaire agit comme un révélateur : elle force les RSSI à abandonner leur posture historique de gardiens techniques pour devenir des gestionnaires du risque intégrés au business.