Il est courant de chiffrer la part du budget à consacrer à la sécurité entre 5 à 20% du budget SI, suivant le secteur d’activité.
- Les grandes entreprises consacrent plus de budget à la sécurité que les PME. Ce sont les grandes entreprises qui connaissent le plus d’attaques d’importance.
- Les entreprises de plus de 1 milliard de dollars de Chiffre d’affaires consacrent 10,8 millions de dollars en 2014 pour la sécurité. Les entreprises de taille moyenne (entre 100 millions et 1 milliard de dollars de Chiffre d’affaires) y consacrent 3 millions de dollars en 2014. Les petites entreprises (moins de 1 million de dollars de Chiffre d’affaires) y consacrent 0,73 millionde dollars en 2014
- Il convient de souligner le manque de maturité et de procédures de sécurité dans les petites entreprises, qui fait qu’elles ne détectent pas toutes les attaques
- Les petites entreprises se considèrent souvent comme mois attractives pour les attaques que les grandes entreprises. C’est une erreur car elles sont souvent imbriquées avec d’autres entreprises par des mécanismes de sous-traitances ou de fourniture de produits et services
- Quel que soit la taille d’une entreprise, un budget et une stratégie de cybersécurité doivent être pensés et mis en œuvre
- Consacrer une partie du budget à la sensibilisation des salariés :
- Le budget est d’autant mieux utilisé qu’il permet des sensibilisations ou des stages liés à la cybersécurité.
En toute hypothèse, il est indispensable de répartir le budget sécurité de manière efficiente: la majorité du budget sera consacré aux risques déjà identifiés et 25% du budget sera consacré aux réactions permettant de faire face à des menaces imprévues.
