Numérique et résilience des organisations

La fragilité du numérique

On ne le dira jamais assez, le numérique est fragile. Cela tient à sa complexité, mais aussi au caractère éphémère du logiciel. Malgré les progrès des méthodes et des outils de test, les efforts nécessaires à l’élimination des bugs demandent des moyens économiquement incompatibles avec les contraintes d’agilité imposées par les métiers. À peine sorti de l’atelier de développement, le logiciel doit être modifié pour intégrer les dernières corrections de bugs et les évolutions fonctionnelles demandées.

Errare humanum est

Quand bien même la qualité des développements ne serait pas en cause, le numérique resterait fragile. Qu’il s’agisse d’un progiciel ou d’un développement spécifique, aucun ne fonctionne de manière isolée. Ses interfaces sont multiples : avec d’autres logiciels, avec le système d’exploitation, ou avec les middlewares nécessaires à son intégration au SIH. Chacun de ces systèmes a son propre cycle d’évolution et subit des changements qui sont sources d’erreurs pour les équipes de développement ou d’exploitation. Chaque changement met en péril le fonctionnement de la chaîne numérique et celui du processus métier qui l’utilise.

Les limites de la résilience technique

Face aux pannes matérielles ou aux sinistres, des solutions techniques existent. Basées sur la redondance des ressources et la protection des données, elles permettent de remettre rapidement en état un système partiellement ou totalement détruit. Mais quand il s’agit de faire face à des bugs en production ou à un problème de performance qui rend le système inutilisable, ces solutions sont inadaptées. De plus, dans ces situations, le temps de rétablissement peut excéder la durée admissible d’un mode dégradé classique de type papier. Une solution serait de disposer, comme parfois en aéronautique, d’un deuxième système parallèle basé sur des composants entièrement différents afin de garantir que le même bug ou le même malware n’affecte pas simultanément les deux systèmes. Malheureusement, ce qui peut se concevoir pour le système de commande d’un avion ne peut être mis en œuvre à l’échelle de tout un SIH.

La résilience des organisations

Dans ces conditions, comment assurer la résilience des organisations de soins face à la fragilité du numérique et aux limites de la technologie ? Il faut identifier très tôt les activités du processus à haut risque numérique, celles qui ne peuvent se contenter d’un mode dégradé trop limité dans le temps. La solution la plus extrême consiste alors à exclure ces activités du champ du numérique. Une analyse plus fine permet cependant de définir des solutions numériques alternatives limitées à quelques parties des processus. Ces modes alternatifs et non plus dégradés n’étant pas vulnérables en même temps aux mêmes incidents que le système nominal, ils pourront prendre le relais le temps nécessaire à la résolution des incidents longs. Mais il faut pour cela consentir à investir beaucoup de temps humain et de budget, et mobiliser à la fois les compétences métiers, les informaticiens et les éditeurs de solutions numériques.

L'auteur : 

Thierry Dumoulin est responsable du département Infrastructures numériques et services de proximité au CHU de Nantes. Ingénieur diplômé de l’École centrale de Nantes, où il intervient dans le cursus informatique, il a débuté sa carrière chez un grand constructeur avant de rejoindre les hôpitaux en 1997. Ses différentes missions (direction de projets, démarche qualité…) l’ont conduit à aborder un très large éventail de problématiques dans le domaine du numérique : aspects applicatifs, technologiques, méthodologiques et organisationnels, sécurité des SI.