Checkliste : Planifier correctement le budget de sécurité 2025

La saison budgétaire est en cours. Cette checkliste aide les CISOs et les responsables IT à planifier leur budget de sécurité 2025 de manière structurée – de l’inventaire des ressources à la conformité en passant par la priorisation.

L’essentiel

Phase 1 : Inventaire des ressources (Semaines 1-2)

Enregistrer les dépenses actuelles :

Licences et contrats de maintenance en cours avec dates d’expiration
Coûts de personnel et de formation
Prestataires externes (MSSP, tests de pénétration, IR-Retainer)
Dépenses en sécurité cloud (souvent cachées dans les budgets cloud)

Évaluer l’utilisation :

Quels outils sont activement utilisés, lesquels sont délaissés ?
Où y a-t-il des chevauchements entre les produits ?
Quels contrats expirent en 2025 et offrent des opportunités de consolidation ?

Phase 2 : Définir les exigences (Semaines 3-4)

Obligations réglementaires 2025 :

Mise en œuvre de NIS2 : obligations de déclaration, gestion des risques, sécurité de la chaîne d’approvisionnement
DORA (secteur financier) : tests de résilience, gestion des risques ICT
Règlement de l’UE sur l’IA : conformité pour les systèmes d’IA à haut risque
Loi-cadre KRITIS : sécurité physique et cybernétique pour les infrastructures critiques

Lacunes techniques :

Résultats des tests de pénétration et des audits
Risques connus du registre des risques
Constats des incidents des 12 derniers mois

Phase 3 : Priorisation (Semaines 5-6)

Classez chaque investissement prévu dans l’une des trois catégories suivantes :

Obligatoire : obligations de conformité, lacunes critiques, contrats expirants
Souhaitable : gains d’efficacité, automatisation, consolidation
Optionnel : technologies émergentes, projets d’innovation

Références pour 2025

Moyenne sectorielle du budget de sécurité IT : 6-14 % du budget IT total (Gartner)
Plateforme EDR/XDR : 15-40 EUR par point de terminaison/an
SIEM/SOC (géré) : 5 000-25 000 EUR/mois (selon le volume de données)
Test de pénétration : 8 000-25 000 EUR par engagement
Formation à la sensibilisation à la sécurité : 20-50 EUR par employé/an
IR-Retainer : 3 000-10 000 EUR/mois

Faits clés

6-14 % du budget IT est la moyenne sectorielle pour la sécurité (Gartner 2024)

NIS2, DORA et le règlement sur l’IA génèrent de nouvelles dépenses obligatoires en 2025

La consolidation des outils permet d’économiser en moyenne 15-25 % avec la même couverture

La détection et la réponse gérées (MDR) croissent comme alternative au SOC interne

Un budget de sécurité sans business case perd le soutien du conseil d’administration

Fait : 95 % de tous les incidents de cybersécurité sont dus à des erreurs humaines, selon IBM.

Fait : Les coûts moyens d’une perte de données étaient de 4,88 millions de dollars en 2025, selon IBM.

Questions fréquentes

Comment argumenter auprès de la direction ?

Avec trois arguments : obligations de conformité (NIS2 menace de responsabilité personnelle), prévention des dommages (coûts moyens des ransomwares dans les pays DACH : 1,2 million d’EUR selon Sophos), et assurabilité (les assureurs cybernétiques exigent de plus en plus des normes minimales).

Dois-je investir dans un SOC interne ou dans un MDR ?

Pour les entreprises de moins de 1 000 employés, le MDR est presque toujours plus rentable. Un SOC interne nécessite au moins 5-7 analystes pour un fonctionnement 24/7 – des coûts de personnel de 500 000+ EUR par an.

Articles complémentaires

NIS2-Richtlinie: Was Unternehmen wissen müssen

Cyber-Versicherung 2026

Zero Trust: Die 7 häufigsten Fehler

Chaque entreprise a-t-elle besoin d’un CISO ?

Toutes les entreprises n’ont pas besoin d’un CISO à temps plein, mais toutes ont besoin d’une responsabilité claire en matière de sécurité informatique au niveau de la direction. Les PME peuvent faire appel à un CISO externe (Virtual CISO). Avec NIS2, la responsabilité de gestion sera ancrée par la loi.

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow

Aussi disponible en

Español English Deutsch