Le sourire de mon jardinier

Un RSSI qui se respecte passe peu ou prou un tiers de son temps à réparer les âneries des autres (âneries plus ou moins volontaires du reste), et un autre tiers de son temps à tenter d’éviter de nouvelles âneries à ces mêmes « autres » (je n’ai pas encore résolu l’équation récursive qui consiste à savoir qui peut bien réparer les âneries du RSSI lui-même, un peu comme le paradoxe du barbier qui rase tous ceux qui ne se rasent pas eux-mêmes).

Le cas typique, ce sont les habilitations d’accès à un progiciel métier, par exemple le DPI. Dans un organisme d’une taille certaine (genre un GHT), il est illusoire de vouloir créer, modifier, supprimer les ID/Passwords à la main : on atteint vite des chiffres qui dépassent le millier, sans parler du turnover. Autant dire que sans automatisation, c’est cuit. Alors on automatise, évidemment à partir de l’annuaire RH. Sauf que 100 % des besoins ne sont pas couverts : il y a les stagiaires, les personnels sous convention, les organismes partenaires, etc. Il faut bien trouver une solution et à ce stade il existe deux méthodes, la MC (Méthode Clean) et la MTP (Méthode Toute Pourrie). Il faudrait utiliser la MC bien entendu, mais on est pressé, c’est pour avant-hier, on n’a pas le temps de tout tirer au cordeau, on a des vies à sauver môôôôôsieur, et j’en passe. Alors on s’en tient à la MTP.

L’expérience montre que la MTP possède plusieurs inconvénients, en plus de mettre du foutoir dans les octets. Elle est difficilement compréhensible par certains personnels de terrain (à la fois côté RH et côté DSI dans l’exemple) qui y voient la preuve qu’encore une fois « on ne nous écoute pas », elle génère des non-conformités réglementaires (bon courage pour faire de la revue de compte, le DPO ne va pas aimer du tout), et pire : elle ne règle pas tout. Il restera des cas qui échapperont à la MTP retenue, et pour les régler il faudra une deuxième MTP, puis une troisième, etc. C’est sans fin, comme Achille et la tortue.

L’expérience montre aussi que si, souvent, les organisations et leurs décideurs retiennent les MTP au détriment des MC, c’est parce qu’eux-mêmes sont soumis à des injonctions/réglementations qui les y poussent. Rappelons que la loi de santé de 2016 vise à favoriser en tout premier lieu les filières médicales, et pas le regroupement des DRH : qui ira reprocher à une direction générale de favoriser le DPI commun, quitte à placer la fusion des annuaires RH (qui permettrait de retenir la MC) au début du planning ? Il va bien falloir faire avec, et de toute manière force est de constater qu’il en va ainsi depuis au moins la bataille d’Azincourt et que la France est toujours là.

La dernière fois que j’ai causé de ce problème autour d’une tasse de café avec un ingénieur d’une DSI hospitalière, je n’ai pas manqué de lui faire remarquer qu’il était bien ingrat. Oui enfin quoi, le foutoir qu’on l’oblige à mettre dans les SI en 2022, c’est lui qui devra le nettoyer en 2026 ou 2027, tout comme il nettoie aujourd’hui celui qu’il a mis il y a quatre ou cinq ans à cause d’une autre MTP retenue au détriment d’une autre MC. Dit autrement, le foutoir, ce sont eux qui le vivent et c’est lui qui en vit : il passe son temps à générer le boulot dont il devra s’occuper dans cinq ans et, sauf à avoir Diogène pour modèle, qui va s’en plaindre ?

Comme depuis l’aube de l’humanité, nous passons tous notre temps à utiliser des MTP imposées par nos clients, et à imposer nous-mêmes nos MTP à nos fournisseurs ; il doit bien y avoir un gugusse dans la chaîne globale qui n’est même pas conscient d’être la MTP du voisin. Je ne sais pas de qui il s’agit, mais une chose est sûre : ce n’est pas mon jardinier, lui qui me fit un grand sourire quand il comprit que j’avais compris que le bordel que je lui avais moi-même demandé d’organiser (une haie qui allait devenir foisonnante), c’était aussi lui qui allait l’entretenir et m’envoyer les factures.