Reprise du message précédent :
Si c'est facile à priorisé... et tu viens de le dire...  
Le plus grosse faille dans l'entreprise, c'est l'humain.
La deuxieme c'est le poste de travail.
Donc la priorité elle est ici. (petite nuance aussi pour la sauvegarde, je suis bien d'accord)...
 
Une fois et une fois qu'on trouve un réseau stable.  
On réfléchis au VLAN, à changer le firewall, à upgrader un windows etc...
 
Je ne suis pas d'accord quand tu dis, on n'a pas la bonne réponse... mais si on l'a. Ca s'appelle le Management par la gestion des risques.
 
Tu fais ce tableau que tout RSI, DSI connaisse et ça te donne les priorités.

inifiniteproject n'a plus participé au sujet depuis le 2/12/2017.
J’espère que je ne lui ai pas fait peur en lui indiquant que je connaissais son entreprise.
 
 
 

 
Bah, je joue juste sur les mots Si on a pas les réactions de la direction en live, les budgets, les ressources dispo (homme / matos / licence / version de logiciel / etc) l'étendue exacte des soucis, on peut rester dans le théorique, donner des pistes ou process, échanger des idées, mais pas lui rédiger un "how to" tout fait (ou alors on est consultant, on va sur place, et on facture)
 
Skoizer, je pense pas que tu lui ais fait peur ^^ quoique.....
 
 
 
 

en même temps, des grosses PME/ETI avec les mêmes problématiques, j'en connais quelques-unes.
On parle de budget, mais ce sont les mêmes boites qui emploient - aller au hasard - des community managers pour 35/50k€ pour twitter et poster des vidéos YT...
 
 

 
 
Là où je suis c'est plutôt nommé "marketing" et ça dépasse nettement les 50k€

La question :  
Comment faire pour que les chefs d'entreprise comprennent les impacts d'une mauvaise sécurisation ?
 
Dans notre cas, seul 20% du budget 2018 que nous demandions a été accepté.
On note ce que l'on fait,  ce que l'on demande et on explique.
Notre rôle s’arrête là. L'argent c'est pas au service informatique de l'inventer. Mais c'est notre rôle de faire remonter les risques.
 

Le marketing rapporte de l'argent, nous autres, les graisseux de l'IT, on rapporte des emmerdes

ca aide pas quand on négocie le salaire

Sinon, pour reprendre le sujet d'une manière plus fonctionnelle que technico-technique, peu importe les notions de serveurs, postes, appliances, machins, trucs, chouettes...

En prenant de la hauteur (et en manageant un peu par les risques... mais juste un peu hein ), c'est avant toute chose la donnée qu'il faut sécuriser.
Selon moi (mais ca n'engage vraiment que moi, et moi seul !), il faut dresser une carto des données puis lancer un chantier de sécu de la donnée selon l'emplacement, la valeur et la criticité (avec les AV sur les éléments d'infras critiques en priorité? puis les backups? etc etc...).
Pendant le déroulé de ce projet, on attaque la carto - grosse maille, toujours, pas encore besoin de rentrer dans le micro détail - de l'infra et on priorise les items à sécuriser (serveurs? postes? réseaux?)
Ensuite, on attaque les autres chantiers, etc etc...

... avant de recommencer en mode PDCA une fois qu'on a fait un premier tour en mode grosse maille

Un des avantages de cette méthode est que dans la plupart des cas (pas tout le temps, je sais...), elle permet d'avoir des résultats visibles et/ou analysables et démontrables assez rapidement, pour un coût souvent maitrisé et maitrisable.
Ca rassure la direction sur le budget cadré, ca mitige les risques principaux, et ca crédibilise l'action IT, avant d'attaquer la deuxieme passe du PDCA.

Mais le propos de fond, selon moi, c'est pas de se dire "je prends le sujet des serveurs" ou quoi que ce soit de tranché de ce style. C'est vraiment d'attaquer le problème d'un point de vue fonctionnel avant tout (au risque de surprendre, il arrive encore fréquemment en PME que certains applicatifs "A" ne soient installés que sur un seul poste de travail, tandis que l'applicatif B est sur serveur... sécuriser les postes OU les serveurs me semble un peu trop dichotomique et peu efficient comme raisonnement)

 
 
C'est compliqué. Chez nous, le budget du SI est "confortable" aujourd'hui, même si il n'en a pas toujours été ainsi. Un travail de fond depuis 2007 (mise en place de SAP) et les premières études d'impacts éco d'un arrêt de salle, amené avec un vrai dialogue entre les différents métiers (style la logistique qui rappelle qu'un jour sans SAP = 40 camions qui restent à quai = des sommes folles de péna, de négo à reprendre, d'OP ratée, etc) Les dossiers ont été ardues à défendre, face à des purs financiers / management stratégique....mais quand on parle de pertes possibles en cas de crash, on se rapproche du fonctionnement d'une assurance qu'on paie, en espérant ne pas en avoir besoin..."mais si jamais......" ben on est content de l'avoir. Ici, 7 jours sans info = quasi fermeture. Ou au moins de très grosses difficultés à rattraper.  
Mais, au delà de ça, il est parfois difficile au dirigeant de comprendre que la technique, c'est pas parce qu'elle marche aujourd'hui, qu'elle va pas se carafer demain. Les 2 crypto qu'on s'est pris, et le battage média qu'il y a eu les a encore plus sensibilisé. Là, ils ont vu l'intéret des investissements qu'ils avaient (à contre coeurs) signés.  
En résumé, pour avoir du budget, c'est passé par des études de risques, du temps, et des couilles qui prouvent aux décideurs que ça n'arrive pas qu'aux autres Mais ça passe aussi, en premier lieu, par des décideurs capables de réflexion sur ce point, et pas trop mal embouchés....

exactement, d'où ma première réponse