Qui est responsable financièrement des risques liés à l’informatique ?

bonjour
un employeur demande à son salarié de mettre en place une solution google cloud ou aws (amazon webservices) pour deployer la nouvelle version du site internet, mais avec ces services l’entreprise est facturée à l’utilisation de ressources, et pas avec une somme fixe par mois. c’est a dire que si il y a 1000 connectés à la minute qui visitent le site et pompent des ressources, cela va couter plus cher à la societé que si personne ne consulte le site.
bref, est-ce que si le salarié n’a pas mis en place une protection anti-Ddos , et qu’un internaute externe a la boite , mal intentionné, s’amuse a faire inutilement plein de requetes a ce site et qu’apres l’entreprise est facturée d’un gros montant a cause d’un Ddos, qui doit payer ? le salarié car il n’a pas prevenu le patron des risques ? et du coup on lui retire de sa fiche de paye ? ou le patron car c’est à lui à payer le service et que l’attaque n’est pas de la faute du salarié ?
merci par avance