{"id":20928,"date":"2026-07-02T11:00:00","date_gmt":"2026-07-02T11:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=20928"},"modified":"2026-07-09T16:22:39","modified_gmt":"2026-07-09T16:22:39","slug":"cinq-postes-qui-ont-besoin-dun-budget-avant-le-siem","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/07\/02\/cinq-postes-qui-ont-besoin-dun-budget-avant-le-siem\/","title":{"rendered":"Cinq postes qui n\u00e9cessitent un budget avant le SIEM"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">6 min de lecture<\/p>\n<p><strong>La r\u00e9union budg\u00e9taire d\u00e9raille rarement sur le montant global. Elle d\u00e9raille sur une seule position d\u00e8s que le CISO ne peut pas r\u00e9pondre \u00e0 la question du CFO : Pourquoi ce poste et pourquoi en premier ? Celui qui positionne le budget s\u00e9curit\u00e9 comme un financement du risque a la r\u00e9ponse pr\u00eate avant la r\u00e9union.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"color:#69d8ed;text-transform:uppercase;letter-spacing:0.08em;font-size:0.82em;font-weight:700;margin:0 0 16px;\">L&rsquo;essentiel en bref<\/p>\n<ul style=\"margin:0;padding-left:20px;line-height:1.7;\">\n<li style=\"margin-bottom:10px;\"><strong style=\"color:#69d8ed;\">Le risque pilote le budget, pas une liste d&rsquo;outils.<\/strong> Le paragraphe 30 du BSIG fait de la proportionnalit\u00e9 l&rsquo;\u00e9talon et cite explicitement les co\u00fbts de mise en \u0153uvre et l&rsquo;exposition aux risques comme crit\u00e8res d&rsquo;arbitrage.<\/li>\n<li style=\"margin-bottom:10px;\"><strong style=\"color:#69d8ed;\">Il n&rsquo;existe pas de montant obligatoire.<\/strong> Bitkom mesure en 2025 en moyenne 18 % de part s\u00e9curit\u00e9 IT dans le budget IT, Bitkom et la pr\u00e9sidente du BSI citent 20 % comme valeur de r\u00e9f\u00e9rence. Un montant minimum l\u00e9gal fixe n&rsquo;existe pas.<\/li>\n<li style=\"margin-bottom:10px;\"><strong style=\"color:#69d8ed;\">L&rsquo;ordre d\u00e9cide.<\/strong> Analyse des risques, protection des identit\u00e9s, sauvegarde et hygi\u00e8ne de base passent avant un SIEM complet.<\/li>\n<li style=\"margin-bottom:0;\"><strong style=\"color:#69d8ed;\">La phrase qui porte aupr\u00e8s du CFO :<\/strong> Quelle r\u00e9duction de risque achetons-nous avec quel euro ?<\/li>\n<\/ul>\n<\/div>\n<p style=\"border-top:1px solid rgba(230,227,218,0.14);border-bottom:1px solid rgba(230,227,218,0.14);padding:14px 0;margin:28px 0;font-size:0.92em;color:#b8c5ce;\"><strong style=\"color:#69d8ed;\">En lien :<\/strong> Cinq indicateurs que le conseil de surveillance comprend vraiment &nbsp;\u00b7&nbsp; Quels contr\u00f4les ne doivent pas dispara\u00eetre lors de la r\u00e9duction des outils<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Qu&rsquo;est-ce que la budg\u00e9tisation de la s\u00e9curit\u00e9 bas\u00e9e sur les risques ?<\/h2>\n<p><strong>Qu&rsquo;est-ce que la budg\u00e9tisation de la s\u00e9curit\u00e9 bas\u00e9e sur les risques ?<\/strong> La budg\u00e9tisation de la s\u00e9curit\u00e9 bas\u00e9e sur les risques affecte chaque d\u00e9pense \u00e0 un risque document\u00e9 et finance en priorit\u00e9 les mesures qui, par euro investi, r\u00e9duisent le plus le dommage attendu. L&rsquo;\u00e9talon est la proportionnalit\u00e9 selon le paragraphe 30 du BSIG. Une liste compl\u00e8te d&rsquo;outils ne remplace pas cet \u00e9talon.<\/p>\n<p>La diff\u00e9rence devient visible dans l&rsquo;\u00e9change avec le CFO. Une liste d&rsquo;outils r\u00e9pond \u00e0 la question \u00ab Que rachetons-nous ? \u00bb. Un financement du risque r\u00e9pond \u00e0 la question \u00ab Quel risque r\u00e9duisons-nous et dans quelle mesure ? \u00bb. La seconde question r\u00e9siste \u00e0 une question critique de retour, la premi\u00e8re rarement.<\/p>\n<div style=\"display:flex;flex-wrap:wrap;gap:16px;margin:32px 0;\">\n<div style=\"flex:1 1 200px;min-width:0;background:#003340;border:1px solid rgba(105,216,237,0.28);border-radius:10px;padding:22px 20px;box-sizing:border-box;\">\n<div style=\"font-size:2.1em;font-weight:800;color:#69d8ed;line-height:1.1;\">18 %<\/div>\n<p style=\"margin:10px 0 0;font-size:0.88em;color:#e6e3da;line-height:1.5;\">Part moyenne de la s\u00e9curit\u00e9 IT dans le budget IT, enqu\u00eate Bitkom 2025 (n=1.002)<\/p>\n<\/div>\n<div style=\"flex:1 1 200px;min-width:0;background:#003340;border:1px solid rgba(105,216,237,0.28);border-radius:10px;padding:22px 20px;box-sizing:border-box;\">\n<div style=\"font-size:2.1em;font-weight:800;color:#69d8ed;line-height:1.1;\">20 %<\/div>\n<p style=\"margin:10px 0 0;font-size:0.88em;color:#e6e3da;line-height:1.5;\">Valeur de r\u00e9f\u00e9rence de Bitkom et de la pr\u00e9sidente du BSI Plattner<\/p>\n<\/div>\n<div style=\"flex:1 1 200px;min-width:0;background:#003340;border:1px solid rgba(105,216,237,0.28);border-radius:10px;padding:22px 20px;box-sizing:border-box;\">\n<div style=\"font-size:2.1em;font-weight:800;color:#69d8ed;line-height:1.1;\">\u00a7 30<\/div>\n<p style=\"margin:10px 0 0;font-size:0.88em;color:#e6e3da;line-height:1.5;\">exige des mesures proportionn\u00e9es, pas un montant minimum fixe<\/p>\n<\/div>\n<\/div>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">La logique derri\u00e8re l&rsquo;ordre de priorit\u00e9<\/h2>\n<p>Trois grandeurs d\u00e9terminent quel poste re\u00e7oit de l&rsquo;argent en premier. La premi\u00e8re est le dommage attendu, grossi\u00e8rement le produit de la probabilit\u00e9 d&rsquo;occurrence et de l&rsquo;ampleur du dommage. La seconde est l&rsquo;app\u00e9tit au risque, donc le seuil en dessous duquel la direction assume consciemment un risque r\u00e9siduel. Il pilote les mesures au-del\u00e0 de l&rsquo;\u00e9quipement de base l\u00e9gal. Les dix mesures minimales du paragraphe 30 alin\u00e9a 2 BSIG restent obligatoires et sont mises en \u0153uvre de mani\u00e8re proportionn\u00e9e. La troisi\u00e8me est l&rsquo;efficacit\u00e9 \u00e9conomique, la r\u00e9duction du dommage par euro investi.<\/p>\n<p>Il en r\u00e9sulte une r\u00e8gle de priorisation simple : viennent en premier les mesures \u00e0 haute probabilit\u00e9 d&rsquo;occurrence, \u00e0 fort levier de dommage et \u00e0 faibles co\u00fbts. Cet ordre co\u00efncide avec le cadre l\u00e9gal. Le paragraphe 30 alin\u00e9a 1 BSIG exige des mesures \u00ab appropri\u00e9es, proportionn\u00e9es et efficaces \u00bb et mentionne pour la proportionnalit\u00e9 entre autres l&rsquo;ampleur de l&rsquo;exposition au risque, la taille de l&rsquo;\u00e9tablissement, les co\u00fbts de mise en \u0153uvre ainsi que la probabilit\u00e9 d&rsquo;occurrence et la gravit\u00e9 des incidents. Le l\u00e9gislateur n&rsquo;exige donc pas une liste compl\u00e8te d&rsquo;outils. Il exige une pond\u00e9ration justifi\u00e9e qui ne descend pas sous l&rsquo;\u00e9quipement de base l\u00e9gal.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Cinq postes qui n\u00e9cessitent un budget avant le SIEM<\/h2>\n<h3>1. Analyse des risques et besoin de protection document\u00e9s<\/h3>\n<p>Est financ\u00e9 l&rsquo;analyse des risques elle-m\u00eame : un inventaire des actifs et des processus, un app\u00e9tit au risque consign\u00e9 et une feuille de route des mesures qui en d\u00e9coule. Sans cette base, il manque le terrain de donn\u00e9es commun sur lequel se d\u00e9cide tout d\u00e9bat budg\u00e9taire ult\u00e9rieur. Ce poste co\u00fbte avant tout du temps de personnel, mais pilote l&rsquo;allocation dans son ensemble. Le paragraphe 30 alin\u00e9a 1 phrase 3 BSIG exige en outre de documenter le respect des mesures. Sans une situation de risque document\u00e9e, la proportionnalit\u00e9 ne peut ni \u00eatre justifi\u00e9e ni prouv\u00e9e.<\/p>\n<h3>2. Protection des identit\u00e9s et des acc\u00e8s<\/h3>\n<p>Font partie de ce poste l&rsquo;authentification multifacteur, une gestion des identit\u00e9s durcie, une protection s\u00e9par\u00e9e des comptes privil\u00e9gi\u00e9s et des v\u00e9rifications d&rsquo;acc\u00e8s r\u00e9guli\u00e8res. Le risque adress\u00e9 est l&rsquo;un des points d&rsquo;entr\u00e9e les plus fr\u00e9quents : la prise de contr\u00f4le d&rsquo;un compte via des identifiants vol\u00e9s et le mouvement lat\u00e9ral qui s&rsquo;ensuit dans le r\u00e9seau. Selon Bitkom 2025, le ransomware, le phishing et les attaques par mots de passe comptent parmi les types d&rsquo;attaques les plus fr\u00e9quemment responsables de dommages. La protection co\u00fbte peu par utilisateur, mais agit directement sur les comptes les plus critiques. L&rsquo;authentification multifacteur est explicitement nomm\u00e9e comme mesure au paragraphe 30 alin\u00e9a 2 num\u00e9ro 10 BSIG.<\/p>\n<h3>3. Sauvegarde et restauration test\u00e9e<\/h3>\n<p>Sont financ\u00e9es les sauvegardes multiples selon le principe 3-2-1, les copies immuables ou maintenues hors ligne et une restauration qui est r\u00e9guli\u00e8rement test\u00e9e. Une sauvegarde qui n&rsquo;a jamais \u00e9t\u00e9 restaur\u00e9e est une hypoth\u00e8se, pas une preuve. Le risque est l&rsquo;interruption d&rsquo;activit\u00e9, selon l&rsquo;Allianz Risk Barometer 2025 le deuxi\u00e8me risque d&rsquo;entreprise le plus important au monde, juste apr\u00e8s les incidents cyber. Une sauvegarde fiable r\u00e9duit la pression de ran\u00e7on en cas de ransomware et limite les dommages d&rsquo;interruption lorsque la pr\u00e9vention \u00e9choue. La base se trouve au paragraphe 30 alin\u00e9a 2 num\u00e9ro 3 BSIG.<\/p>\n<h3>4. Gestion des vuln\u00e9rabilit\u00e9s et de l&rsquo;exposition<\/h3>\n<p>Ce poste finance la gestion prioris\u00e9e des correctifs, le durcissement des syst\u00e8mes connect\u00e9s \u00e0 Internet et une surface d&rsquo;attaque volontairement r\u00e9duite. Le risque est l&rsquo;exploitation de failles connues depuis longtemps et de services ouverts que personne n&rsquo;avait \u00e0 l&rsquo;\u0153il. L&rsquo;impact par euro est \u00e9lev\u00e9, car des vecteurs d&rsquo;attaque peu co\u00fbteux sont ferm\u00e9s avant que quelqu&rsquo;un ne les utilise. L&rsquo;ordre est choisi consciemment : d&rsquo;abord r\u00e9duire la surface d&rsquo;attaque, puis investir dans la surveillance. Un outil de d\u00e9tection sur un paysage non durci signale surtout beaucoup de choses.<\/p>\n<h3>5. R\u00e9ponse aux incidents et base de logging<\/h3>\n<p>Font partie de l&rsquo;\u00e9quipement de base un playbook d&rsquo;urgence, une cha\u00eene de notification exerc\u00e9e incluant la pr\u00e9paration \u00e0 l&rsquo;obligation de d\u00e9claration dans les 24 heures selon le paragraphe 32 BSIG, une collecte centrale des logs des syst\u00e8mes critiques et une sensibilisation cibl\u00e9e des groupes \u00e0 haut risque. Le risque est la longue persistance d&rsquo;un attaquant, des co\u00fbts de forensique \u00e9lev\u00e9s et un d\u00e9lai de d\u00e9claration manqu\u00e9. Ce poste se place \u00e0 la fin du top cinq, car son d\u00e9veloppement s&rsquo;appuie sur les pr\u00e9c\u00e9dents. La cha\u00eene de notification et un logging minimal des syst\u00e8mes critiques devraient toutefois \u00eatre mis en place t\u00f4t ; le centre d&rsquo;op\u00e9rations externalis\u00e9 et un SIEM complet peuvent suivre ensuite.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Impact par euro en comparaison<\/h2>\n<p>La m\u00eame logique peut se lire comme une carte simple. Elle montre pourquoi l&rsquo;hygi\u00e8ne passe avant les plateformes co\u00fbteuses.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:24px 0;\">\n<table style=\"width:100%;min-width:640px;border-collapse:collapse;font-size:0.92em;\">\n<thead>\n<tr style=\"border-bottom:2px solid #69d8ed;\">\n<th style=\"text-align:left;padding:12px 14px;\">Investissement<\/th>\n<th style=\"text-align:left;padding:12px 14px;\">Profil de co\u00fbts<\/th>\n<th style=\"text-align:left;padding:12px 14px;\">Impact par euro<\/th>\n<th style=\"text-align:left;padding:12px 14px;\">Moment<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"padding:11px 14px;\">Analyse des risques document\u00e9e<\/td>\n<td style=\"padding:11px 14px;\">faible (temps de personnel)<\/td>\n<td style=\"padding:11px 14px;\">\u00e9lev\u00e9<\/td>\n<td style=\"padding:11px 14px;\">avant tout le reste<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"padding:11px 14px;\">Authentification multifacteur et comptes privil\u00e9gi\u00e9s<\/td>\n<td style=\"padding:11px 14px;\">faible \u00e0 moyen<\/td>\n<td style=\"padding:11px 14px;\">\u00e9lev\u00e9<\/td>\n<td style=\"padding:11px 14px;\">imm\u00e9diatement<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"padding:11px 14px;\">Sauvegardes test\u00e9es<\/td>\n<td style=\"padding:11px 14px;\">moyen (stockage)<\/td>\n<td style=\"padding:11px 14px;\">\u00e9lev\u00e9<\/td>\n<td style=\"padding:11px 14px;\">imm\u00e9diatement<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"padding:11px 14px;\">Correctifs et durcissement des syst\u00e8mes expos\u00e9s<\/td>\n<td style=\"padding:11px 14px;\">faible \u00e0 moyen<\/td>\n<td style=\"padding:11px 14px;\">\u00e9lev\u00e9<\/td>\n<td style=\"padding:11px 14px;\">t\u00f4t<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"padding:11px 14px;\">Logging de base et playbook d&rsquo;incident<\/td>\n<td style=\"padding:11px 14px;\">moyen<\/td>\n<td style=\"padding:11px 14px;\">moyen \u00e0 \u00e9lev\u00e9<\/td>\n<td style=\"padding:11px 14px;\">apr\u00e8s le durcissement de base<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"padding:11px 14px;\">SIEM complet<\/td>\n<td style=\"padding:11px 14px;\">\u00e9lev\u00e9<\/td>\n<td style=\"padding:11px 14px;\">faible, si avant l&rsquo;hygi\u00e8ne<\/td>\n<td style=\"padding:11px 14px;\">seulement apr\u00e8s l&rsquo;hygi\u00e8ne de base<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:11px 14px;\">Autres outils isol\u00e9s sans base d&rsquo;actifs<\/td>\n<td style=\"padding:11px 14px;\">\u00e9lev\u00e9<\/td>\n<td style=\"padding:11px 14px;\">faible<\/td>\n<td style=\"padding:11px 14px;\">secondaire<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Ce que cet ordre de priorit\u00e9 apporte au CFO<\/h2>\n<p>Un budget plus \u00e9lev\u00e9 seul n&rsquo;ach\u00e8te pas une s\u00e9curit\u00e9 plus \u00e9lev\u00e9e. Une enqu\u00eate globale men\u00e9e aupr\u00e8s de plus de 300 responsables de la s\u00e9curit\u00e9 (Wiz 2026) montre que de nombreuses entreprises augmentent leurs d\u00e9penses et consid\u00e8rent pourtant leur protection comme insuffisante. La raison se trouve rarement dans le montant, souvent dans la r\u00e9partition. C&rsquo;est pr\u00e9cis\u00e9ment l\u00e0 qu&rsquo;intervient l&rsquo;approche bas\u00e9e sur les risques.<\/p>\n<p>Pour le CFO, la discussion devient ainsi v\u00e9rifiable. Chaque position porte un risque, une r\u00e9duction de dommage attendue et un montant de co\u00fbt. Ce qui d\u00e9passe l&rsquo;\u00e9quipement de base l\u00e9gal et se situe en dessous de l&rsquo;app\u00e9tit au risque est consciemment report\u00e9 et document\u00e9, au lieu d&rsquo;\u00eatre achet\u00e9 tacitement en suppl\u00e9ment. Cela transforme le d\u00e9bat budg\u00e9taire annuel d&rsquo;une n\u00e9gociation sur les montants en une d\u00e9cision sur les risques r\u00e9siduels. La question directrice reste \u00e0 chaque tour la m\u00eame : Quelle r\u00e9duction de risque achetons-nous avec quel euro ?<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Questions fr\u00e9quentes<\/h2>\n<p class=\"st-faq-hint\">Chaque question est verrouill\u00e9e. Un tap ouvre la r\u00e9ponse.<\/p>\n<details>\n<summary><strong>De quel budget la s\u00e9curit\u00e9 a-t-elle besoin dans le Mittelstand ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Il n&rsquo;existe pas de chiffre obligatoire l\u00e9gal. L&rsquo;enqu\u00eate Bitkom 2025 (n=1.002) mesure en Allemagne en moyenne 18 % de part s\u00e9curit\u00e9 IT dans le budget IT, le BSI et Bitkom recommandent 20 % comme valeur de r\u00e9f\u00e9rence. Ce qui reste d\u00e9terminant est l&rsquo;exposition aux risques document\u00e9e selon le paragraphe 30 alin\u00e9a 1 BSIG, pas une moyenne sectorielle.<\/p>\n<\/details>\n<details>\n<summary><strong>Quelle mesure de s\u00e9curit\u00e9 devrait \u00eatre financ\u00e9e en premier ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Apr\u00e8s l&rsquo;analyse des risques document\u00e9e, typiquement la protection des identit\u00e9s et des acc\u00e8s avec l&rsquo;authentification multifacteur ainsi qu&rsquo;une restauration test\u00e9e. Les deux adressent des risques d&rsquo;entr\u00e9e et d&rsquo;interruption fr\u00e9quents \u00e0 faibles co\u00fbts par utilisateur. Le paragraphe 30 alin\u00e9a 2 num\u00e9ros 3 et 10 BSIG \u00e9tayent cette priorit\u00e9.<\/p>\n<\/details>\n<details>\n<summary><strong>NIS2 exige-t-il un budget d\u00e9termin\u00e9 ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Non. Le paragraphe 30 BSIG exige des mesures appropri\u00e9es, proportionn\u00e9es et efficaces. La proportionnalit\u00e9 inclut les co\u00fbts de mise en \u0153uvre et l&rsquo;exposition aux risques. Un budget minimum ne figure ni dans le BSIG ni dans la directive NIS 2.<\/p>\n<\/details>\n<details>\n<summary><strong>Comment justifier le budget s\u00e9curit\u00e9 aupr\u00e8s du CFO ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Comme un financement du risque : r\u00e9duction de dommage attendue par euro, rapport\u00e9e \u00e0 un app\u00e9tit au risque document\u00e9. Les preuves sont la liste de mesures prioris\u00e9e issue de l&rsquo;analyse des risques, les cat\u00e9gories de dommages de l&rsquo;\u00e9tude Bitkom ainsi que la proportionnalit\u00e9 selon le paragraphe 30 BSIG comme cadre de conformit\u00e9. La question porteuse est : Quelle r\u00e9duction de risque achetons-nous avec quel euro ?<\/p>\n<\/details>\n<p>\n<!--ST-LOWER-CARDS lang=fr--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Les choix de la r\u00e9daction<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/23\/quels-droits-de-decision-du-ciso-doivent-etre-reglementes-par-ecrit\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/ciso-mandat-entscheidungsrechte-eskalation-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Quels droits de d\u00e9cision du CISO doivent \u00eatre r\u00e9gis par \u00e9crit<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/21\/le-risque-de-la-chaine-dapprovisionnement-est-un-programme-et-non-une-liste\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/tprm-lieferkettenrisiko-nis2-dora-programm-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Le risque de la cha\u00eene d\u2019approvisionnement est un programme, pas une liste d\u2019audit<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Plus du r\u00e9seau MBF Media<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/fr\/geopolitique-datacenters-dsi-securisent\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-geopolitik-datacenter-roadmap-lieferkett-8054517-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">G?opolitique et datacenters : ce que les DSI s?curisent<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/fr\/loi-eu-sur-lia-act-a-partir-daout-2026-ce-que-la-classe-moyenne-doit-etiqueter\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-eu-ai-act-2026-kennzeichnungspflichten-m-35346140-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">AI Act de l\u2019UE \u00e0 partir d\u2019ao\u00fbt 2026 : ce que les PME doivent \u00e9tiqueter maintenant<\/span><\/span><\/a><a href=\"https:\/\/www.cloudmagazin.com\/fr\/2026\/06\/16\/xfs4iot-rencontre-le-cloud-le-distributeur-automatique-de-billets-devient-une\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-xfs4iot-cloud-geldautomat-plattform-syna-61345494.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">XFS4IoT rencontre le Cloud : le distributeur automatique de billets devient une plateforme<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n<p>Source de l&rsquo;image : g\u00e9n\u00e9r\u00e9 par IA (juillet 2026)<\/p>\n","protected":false},"excerpt":{"rendered":"Budget de s\u00e9curit\u00e9 comme financement des risques : les cinq postes qu&rsquo;un CISO finance avant le premier outil co\u00fbteux et comment l&rsquo;article 30 du BSIG le\u2026","protected":false},"author":50,"featured_media":18217,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"keeping it to 1-4 words. Let me start by breaking down the original phrase. \"Security-Budget\" is straightforward. In French, \"security\" is \"s\u00e9curit\u00e9","_yoast_wpseo_title":"Cinq postes qui ont besoin d'un budget avant le SIEM","_yoast_wpseo_metadesc":"Budget s\u00e9curit\u00e9 comme financement des risques : les cinq postes qu'un CISO finance avant le premier outil co\u00fbteux et comment l'article 30 du BSIG le\u2026","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/security-budget-priorisierung-nis2-paragraf-30-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/security-budget-priorisierung-nis2-paragraf-30-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[258],"tags":[],"class_list":["post-20928","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance"],"evm_reading_time_minutes":10,"wpml_language":"fr","wpml_translation_of":18215,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20928","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=20928"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20928\/revisions"}],"predecessor-version":[{"id":21116,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20928\/revisions\/21116"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/18217"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=20928"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=20928"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=20928"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}