La méthodologie ABC pour piloter les coûts de la SSI

co-écrit par Olivier.

La Sécurité SI et la Finance se sont longtemps soigneusement évitées, ce ne peut plus être le cas aujourd’hui :

• Les coûts Change et Run de la fonction sécurité deviennent significatifs (représentant en France environ 6 % du budget IT, en augmentation régulière)
• La Sécurité s’industrialise (automatisation, benchmarking, externalisation, consolidation) et bascule sur un mode de refacturation à base de services

De fait la sécurité doit s’outiller pour mieux contrôler et rendre compte de ses coûts, mieux refacturer ses investissements et prestations, mieux investir son budget.

Mais comment étudier, communiquer, contrôler et refacturer des coûts Sécurité qui sont majoritairement transverses à l’entreprise (i.e. coûts dits indirects) ? Comment refacturer à ses utilisateurs des coûts d’infrastructure sécurité type PKI, des ressources travaillant sur l’IAM… ?

La notion d’activité au cœur de la méthode ABC

C’est là qu’intervient ABC – Activity Based Costing, un standard issu de l’industrie au milieu des années 80. L’industrie commençait  alors à subir une concurrence féroce car devenue mondiale. Elle avait un besoin vital de mieux comprendre la formation de ses coûts pour les optimiser et tarifer correctement ses produits.

Dans les méthodes traditionnelles, les coûts sont ventilés sur les services ou produits (objets de coûts) en fonction d’une clef de répartition. Cette clef de répartition est fonction d’un sous-jacent aussi pertinent que possible (par exemple ventiler le coût du top management au prorata des tailles d’équipes dédiées aux services ou, plus arbitraire, simplement « à dire d’expert »). Mettre en place une clef de répartition est facile, rustique, mais peu fiable, ce qui devient gênant lorsque les coûts indirects deviennent prépondérants.

ABC permet d’établir un lien de causalité plus fiable entre les dépenses indirectes et les objets de coût en mettant la notion d’activité (i.e. le quotidien opérationnel des équipes) au centre de la méthode. ABC modélise la structure de coût en s’appuyant sur les principes suivants :

• Les activités consomment des ressources (i.e. ce qui est dépensé pour faire)
• Les objets de coût (i.e. ce qui est produit ou fourni au métier) consomment des activités

La valorisation respective des activités puis des objets de coût donne une bonne connaissance de la formation des coûts.

Voici un exemple très simplifié de valorisation du service Web Access Management d’un portefeuille de services IAM d’authentification.

Quand utiliser ABC ?

ABC est peu souvent justifié lorsque le contexte sécurité évolue peu et que la compréhension des coûts est perçue comme suffisante. Le Business Case ABC n’est en effet pas automatique:

• les coûts de création et de maintenance du modèle ABC restent élevés,
• attention au syndrome « Garbage In, Garbage Out », les efforts (gouvernance, outillage) à consacrer à la collecte (automatique ou manuelle) et à la fiabilisation des données alimentant le modèle sont importants et pour beaucoup récurrents,
• la conduite du changement est nécessaire car ABC implique de coordonner de nombreuses équipes et aboutit souvent à une nouvelle vision de la structure des coûts.

ABC est une méthodologie standard et puissante aujourd’hui largement utilisée par les entreprises du CAC 40. Il existe désormais des outillages progiciels matures.

Des équipes Sécurité commencent donc pour autant à utiliser ABC pour mieux analyser, optimiser et refacturer leurs coûts, notamment autour de leurs offres de services. Pour les plus avancés, disposer d’un modèle ABC permet de se benchmarker,  en partageant notamment  le référentiel des ressources et d’activités. Le Cigref a d’ailleurs établi l’un des référentiels les plus utilisés en France.

Il ne faut donc pas s’interdire de faire de l’ABC. Une approche de mise en œuvre itérative permettra de limiter les risques projets et de ne pas surinvestir.

ABC est là et va prendre plus d’importance sur les prochaines années. Même si l’actualité aide bien, ABC permettra aux équipes Sécurité de quitter la communication trop souvent FUD (i.e. « Fear, Uncertainty and Doubt » factor) pour basculer vers des échanges plus factuels. La transformation de la filière sécurité passe par un alignement avec les bonnes pratiques budgétaire actuelles.

Cette adaptation permettra aux RSSI de gagner la confiance des comités de direction et de garantir le financement des activités par la définition d’offres de service.

Source image : colcanopa.com