La sécurité des SI n’existe pas

Si l’on demande à une personne croisée au hasard ce qui a déclenché la Première Guerre mondiale, nul doute que si ses souvenirs scolaires ne datent pas trop, elle vous répondra : l’assassinat de l’archiduc François-Ferdinand par un nationaliste Serbe à Sarajevo. Si vous posez la même question à des spécialistes du sujet, ils risquent de vous dire que la Grande Guerre n’est que le résultat de la véritable pétaudière qu’était le xix^e siècle, elle-même due à des conflits napoléoniens mal réglés. Récemment, je suis tombé sur une thèse alternative qui prétendait que le conflit résultait au moins en partie du fait que les dirigeants européens de l’époque, à l’exception notable de la France, étaient tous des monarques cousins entre eux, qui avaient abandonné la direction et les affaires de leur propre pays pour se livrer à la bagatelle (si vous pensez que notre temps est dépravé, jetez un coup d’œil à la biographie de la jet set titrée et couronnée de la Belle Époque, vous n’allez pas être déçus).

Dans Ada, Antoine Bello fait dire à l’un de ses personnages que l’Histoire n’existe pas, et qu’il n’y a que des histoires au sens des récits qui tentent de relier entre eux des faits réels, de la façon la plus agréable possible, et que c’est le récit qui remporte l’adhésion à un instant T qui est vu comme l’Histoire… jusqu’au moment ou un autre récit, plus sympathique ou plus dans l’air du temps, viendra remplacer le premier. Karl Popper, le père de l’épistémologie évolutionniste (la discipline qui examine la valeur d’une « science »), tenait d’ailleurs l’Histoire en tant que discipline en piètre estime du fait qu’elle n’est ni reproductible ni falsifiable (quoique sur ce dernier critère il y ait débat).

La sécurité des systèmes d’information n’existe pas.

Celui qui ne connaît pas le sujet et qui l’aborderait, par exemple, en écoutant l’excellent dernier numéro de No Limit Secu sur le concept de Zero Trust[1] penserait qu’il s’agit d’une affaire de développement logiciel, de contrôle d’identité au plus près de la donnée et absolument pas – ou plus – de protection périmétrique réseau. Celui qui l’aborderait par le biais de la seconde édition de La Sécurité du système d’information des établissements de santé[2] verrait en revanche le côté managérial et projet, alors que celui qui l’attaquerait par les questions techniques de cryptographie le verrait comme des mathématiques de haute voltige.

La question de savoir ce qu’est la SSI renseigne autant sur celui qui la pose que sur celui qui y répond : que le demandeur soit étudiant dans une école d’ingénieur, patron d’une PME, DSI d’une grande entreprise, commissaire aux comptes, qualiticien, DAF, la réponse ne sera pas la même. Essayez pour voir d’expliquer la SSI à votre DG en commençant par la cryptographie asymétrique, clés publiques et privées, Bob et Alice, vous allez gentiment mais sûrement vous faire dégager de la pièce. Abordez avec le DAF le sujet par la question de la facture, ça risque de ne pas le faire, pas plus d’ailleurs qui si vous faites une conférence de 3 heures sur la norme ISO 27001 à un parterre d’élèves ingénieurs qui ont le nez dans l’assembleur depuis trois ans.

La SSI n’existe pas, ou plutôt elle n’est que ce que votre interlocuteur voudra ou pourra entendre. Ce n’est d’ailleurs pas péjoratif : nous sommes tous alternativement d’un côté ou de l’autre de la connaissance. Pensez à la dernière fois que votre banquier vous a fait souscrire des SCPI diversifiées, heureusement qu’il ne vous a pas expliqué l’intégralité des mécanismes de fonctionnement de ce type de produit complexe.

Les informaticiens ne sont pas spécialement réputés pour leur capacité à expliquer – encore moins à rédiger –, et c’est bien dommage : cela dessert la discipline aux yeux de ceux qui ont le stylo dans une main et le carnet de chèques dans l’autre, aux yeux des utilisateurs, et accessoirement du grand public. Les concours d’éloquence existent dans certaines formations, il serait intéressant de les introduire dans les disciplines techniques pointues : ceux qui pensent que l’excellence technique est l’alpha et l’oméga dans les critères de jugement des experts techniques se fourrent l’octet dans l’œil jusqu’à la prise RJ45.

Si vous savez expliquer votre spécialité à quelqu’un qui n’y connaît rien, c’est que vous connaissez votre job. Si vous savez l’expliquer de trois ou quatre façons différentes, c’est que vous excellez.

[1]    https://www.nolimitsecu.fr/zero-trust/ 

[2]    https://www.presses.ehesp.fr/?s=La+s%C3%A9curit%C3%A9+du+syst%C3%A8me+d%E2%80%99Information+des+%C3%A9tablissements+de+sant%C3%A9&x=0&y=0