BRIEFING SÉCURITÉ · 15.07.2026 DEENFRES

Stratégie & Gouvernance

Cinq postes qui nécessitent un budget avant le SIEM

Par Benedikt Langer · 2 juillet 2026 · 10 min de lecture

La réunion budgétaire déraille rarement sur le montant global. Elle déraille sur une seule position dès que le CISO ne peut pas répondre à la question du CFO : Pourquoi ce poste et pourquoi en premier ? Celui qui positionne le budget sécurité comme un financement du risque a la réponse prête avant la réunion.

L’essentiel en bref

  • Le risque pilote le budget, pas une liste d’outils. Le paragraphe 30 du BSIG fait de la proportionnalité l’étalon et cite explicitement les coûts de mise en œuvre et l’exposition aux risques comme critères d’arbitrage.
  • Il n’existe pas de montant obligatoire. Bitkom mesure en 2025 en moyenne 18 % de part sécurité IT dans le budget IT, Bitkom et la présidente du BSI citent 20 % comme valeur de référence. Un montant minimum légal fixe n’existe pas.
  • L’ordre décide. Analyse des risques, protection des identités, sauvegarde et hygiène de base passent avant un SIEM complet.
  • La phrase qui porte auprès du CFO : Quelle réduction de risque achetons-nous avec quel euro ?

En lien : Cinq indicateurs que le conseil de surveillance comprend vraiment  ·  Quels contrôles ne doivent pas disparaître lors de la réduction des outils

Qu’est-ce que la budgétisation de la sécurité basée sur les risques ?

Qu’est-ce que la budgétisation de la sécurité basée sur les risques ? La budgétisation de la sécurité basée sur les risques affecte chaque dépense à un risque documenté et finance en priorité les mesures qui, par euro investi, réduisent le plus le dommage attendu. L’étalon est la proportionnalité selon le paragraphe 30 du BSIG. Une liste complète d’outils ne remplace pas cet étalon.

La différence devient visible dans l’échange avec le CFO. Une liste d’outils répond à la question « Que rachetons-nous ? ». Un financement du risque répond à la question « Quel risque réduisons-nous et dans quelle mesure ? ». La seconde question résiste à une question critique de retour, la première rarement.

18 %

Part moyenne de la sécurité IT dans le budget IT, enquête Bitkom 2025 (n=1.002)

20 %

Valeur de référence de Bitkom et de la présidente du BSI Plattner

§ 30

exige des mesures proportionnées, pas un montant minimum fixe

La logique derrière l’ordre de priorité

Trois grandeurs déterminent quel poste reçoit de l’argent en premier. La première est le dommage attendu, grossièrement le produit de la probabilité d’occurrence et de l’ampleur du dommage. La seconde est l’appétit au risque, donc le seuil en dessous duquel la direction assume consciemment un risque résiduel. Il pilote les mesures au-delà de l’équipement de base légal. Les dix mesures minimales du paragraphe 30 alinéa 2 BSIG restent obligatoires et sont mises en œuvre de manière proportionnée. La troisième est l’efficacité économique, la réduction du dommage par euro investi.

Il en résulte une règle de priorisation simple : viennent en premier les mesures à haute probabilité d’occurrence, à fort levier de dommage et à faibles coûts. Cet ordre coïncide avec le cadre légal. Le paragraphe 30 alinéa 1 BSIG exige des mesures « appropriées, proportionnées et efficaces » et mentionne pour la proportionnalité entre autres l’ampleur de l’exposition au risque, la taille de l’établissement, les coûts de mise en œuvre ainsi que la probabilité d’occurrence et la gravité des incidents. Le législateur n’exige donc pas une liste complète d’outils. Il exige une pondération justifiée qui ne descend pas sous l’équipement de base légal.

Cinq postes qui nécessitent un budget avant le SIEM

1. Analyse des risques et besoin de protection documentés

Est financé l’analyse des risques elle-même : un inventaire des actifs et des processus, un appétit au risque consigné et une feuille de route des mesures qui en découle. Sans cette base, il manque le terrain de données commun sur lequel se décide tout débat budgétaire ultérieur. Ce poste coûte avant tout du temps de personnel, mais pilote l’allocation dans son ensemble. Le paragraphe 30 alinéa 1 phrase 3 BSIG exige en outre de documenter le respect des mesures. Sans une situation de risque documentée, la proportionnalité ne peut ni être justifiée ni prouvée.

2. Protection des identités et des accès

Font partie de ce poste l’authentification multifacteur, une gestion des identités durcie, une protection séparée des comptes privilégiés et des vérifications d’accès régulières. Le risque adressé est l’un des points d’entrée les plus fréquents : la prise de contrôle d’un compte via des identifiants volés et le mouvement latéral qui s’ensuit dans le réseau. Selon Bitkom 2025, le ransomware, le phishing et les attaques par mots de passe comptent parmi les types d’attaques les plus fréquemment responsables de dommages. La protection coûte peu par utilisateur, mais agit directement sur les comptes les plus critiques. L’authentification multifacteur est explicitement nommée comme mesure au paragraphe 30 alinéa 2 numéro 10 BSIG.

3. Sauvegarde et restauration testée

Sont financées les sauvegardes multiples selon le principe 3-2-1, les copies immuables ou maintenues hors ligne et une restauration qui est régulièrement testée. Une sauvegarde qui n’a jamais été restaurée est une hypothèse, pas une preuve. Le risque est l’interruption d’activité, selon l’Allianz Risk Barometer 2025 le deuxième risque d’entreprise le plus important au monde, juste après les incidents cyber. Une sauvegarde fiable réduit la pression de rançon en cas de ransomware et limite les dommages d’interruption lorsque la prévention échoue. La base se trouve au paragraphe 30 alinéa 2 numéro 3 BSIG.

4. Gestion des vulnérabilités et de l’exposition

Ce poste finance la gestion priorisée des correctifs, le durcissement des systèmes connectés à Internet et une surface d’attaque volontairement réduite. Le risque est l’exploitation de failles connues depuis longtemps et de services ouverts que personne n’avait à l’œil. L’impact par euro est élevé, car des vecteurs d’attaque peu coûteux sont fermés avant que quelqu’un ne les utilise. L’ordre est choisi consciemment : d’abord réduire la surface d’attaque, puis investir dans la surveillance. Un outil de détection sur un paysage non durci signale surtout beaucoup de choses.

5. Réponse aux incidents et base de logging

Font partie de l’équipement de base un playbook d’urgence, une chaîne de notification exercée incluant la préparation à l’obligation de déclaration dans les 24 heures selon le paragraphe 32 BSIG, une collecte centrale des logs des systèmes critiques et une sensibilisation ciblée des groupes à haut risque. Le risque est la longue persistance d’un attaquant, des coûts de forensique élevés et un délai de déclaration manqué. Ce poste se place à la fin du top cinq, car son développement s’appuie sur les précédents. La chaîne de notification et un logging minimal des systèmes critiques devraient toutefois être mis en place tôt ; le centre d’opérations externalisé et un SIEM complet peuvent suivre ensuite.

Impact par euro en comparaison

La même logique peut se lire comme une carte simple. Elle montre pourquoi l’hygiène passe avant les plateformes coûteuses.

Investissement Profil de coûts Impact par euro Moment
Analyse des risques documentée faible (temps de personnel) élevé avant tout le reste
Authentification multifacteur et comptes privilégiés faible à moyen élevé immédiatement
Sauvegardes testées moyen (stockage) élevé immédiatement
Correctifs et durcissement des systèmes exposés faible à moyen élevé tôt
Logging de base et playbook d’incident moyen moyen à élevé après le durcissement de base
SIEM complet élevé faible, si avant l’hygiène seulement après l’hygiène de base
Autres outils isolés sans base d’actifs élevé faible secondaire

Ce que cet ordre de priorité apporte au CFO

Un budget plus élevé seul n’achète pas une sécurité plus élevée. Une enquête globale menée auprès de plus de 300 responsables de la sécurité (Wiz 2026) montre que de nombreuses entreprises augmentent leurs dépenses et considèrent pourtant leur protection comme insuffisante. La raison se trouve rarement dans le montant, souvent dans la répartition. C’est précisément là qu’intervient l’approche basée sur les risques.

Pour le CFO, la discussion devient ainsi vérifiable. Chaque position porte un risque, une réduction de dommage attendue et un montant de coût. Ce qui dépasse l’équipement de base légal et se situe en dessous de l’appétit au risque est consciemment reporté et documenté, au lieu d’être acheté tacitement en supplément. Cela transforme le débat budgétaire annuel d’une négociation sur les montants en une décision sur les risques résiduels. La question directrice reste à chaque tour la même : Quelle réduction de risque achetons-nous avec quel euro ?

Questions fréquentes

Chaque question est verrouillée. Un tap ouvre la réponse.

De quel budget la sécurité a-t-elle besoin dans le Mittelstand ?

Il n’existe pas de chiffre obligatoire légal. L’enquête Bitkom 2025 (n=1.002) mesure en Allemagne en moyenne 18 % de part sécurité IT dans le budget IT, le BSI et Bitkom recommandent 20 % comme valeur de référence. Ce qui reste déterminant est l’exposition aux risques documentée selon le paragraphe 30 alinéa 1 BSIG, pas une moyenne sectorielle.

Quelle mesure de sécurité devrait être financée en premier ?

Après l’analyse des risques documentée, typiquement la protection des identités et des accès avec l’authentification multifacteur ainsi qu’une restauration testée. Les deux adressent des risques d’entrée et d’interruption fréquents à faibles coûts par utilisateur. Le paragraphe 30 alinéa 2 numéros 3 et 10 BSIG étayent cette priorité.

NIS2 exige-t-il un budget déterminé ?

Non. Le paragraphe 30 BSIG exige des mesures appropriées, proportionnées et efficaces. La proportionnalité inclut les coûts de mise en œuvre et l’exposition aux risques. Un budget minimum ne figure ni dans le BSIG ni dans la directive NIS 2.

Comment justifier le budget sécurité auprès du CFO ?

Comme un financement du risque : réduction de dommage attendue par euro, rapportée à un appétit au risque documenté. Les preuves sont la liste de mesures priorisée issue de l’analyse des risques, les catégories de dommages de l’étude Bitkom ainsi que la proportionnalité selon le paragraphe 30 BSIG comme cadre de conformité. La question porteuse est : Quelle réduction de risque achetons-nous avec quel euro ?

Les choix de la rédaction

À lireQuels droits de décision du CISO doivent être régis par écritÀ lireLe risque de la chaîne d’approvisionnement est un programme, pas une liste d’audit

Plus du réseau MBF Media

Digital ChiefsG?opolitique et datacenters : ce que les DSI s?curisentMyBusinessFutureAI Act de l’UE à partir d’août 2026 : ce que les PME doivent étiqueter maintenantcloudmagazinXFS4IoT rencontre le Cloud : le distributeur automatique de billets devient une plateforme

Source de l’image : généré par IA (juillet 2026)

Pour aller plus loin

Un magazine d'Evernine Media GmbH