Sécurité des SI : le syndrome Gorbatchev

Les historiens débattront encore pendant des siècles pour analyser l’enchaînement des causes – l’Histoire est en bonne partie la façon dont on raconte l’histoire –, mais une des causes dans la balance est à rechercher dans le programme de Guerre des Étoiles, lancé des années plus tôt par Ronald Reagan. On est au sortir des pires années de la guerre froide (même si on ne le sait pas encore), et la rivalité Est-Ouest a surtout consisté à accumuler des têtes nucléaires des deux côtés. Avec le lancement du coûteux programme militaire spatial, Reagan ne se limite pas à déplacer le terrain de jeu en orbite : il met la barre très haut sur le plan financier. Et l’URSS ne peut plus suivre, elle qui consacre quasiment les mêmes budgets (en valeur absolue) à son secteur militaire : avec un PIB deux fois moindre, la facture est trop salée. On perd une guerre conventionnelle souvent par manque de belligérants, on perd une guerre froide parce que le chéquier est vide.

À découvrir → NVIDIA et les scénarios de l’Apocalypse IT

Côté SSI et par analogie, nous sommes juste avant la chute du Mur. On ne va pas épiloguer sur les budgets, ils sont ce qu’ils sont, la plupart du temps faméliques, mais, après tout, on vit de la sorte depuis des lustres sans grand monde pour s’en émouvoir. Comme d’habitude dans ce genre de circonstances, la situation tient tant bien que mal jusqu’à l’arrivée d’éléments exogènes. Et là, on n’a que l’embarras du choix.

Tout d’abord, le ticket d’entrée des SI est en constante augmentation. Ce seul point nécessiterait un article ou une série d’articles, mais en résumé tant que l’on informatise le triptyque administratif classique (factu/paye/recettes), on informatise un CHU avec moins de 1,5 % de son budget consacré au SI. Dès que l’on attaque le niveau 2 de l’échelle Himss (qui en compte 7), on passe au-dessus de 2 %. Au niveau 6 de l’échelle on flirte avec les 4 %, et au niveau 7 on est encore plus haut. Sans compter l’arrivée de la génétique (qui coûte une blinde), de l’IA (dont les projets poussent comme des champignons, avec des budgets aussi épais qu’un sandwich de la SNCF dans les années 1970), des projets de coopération (les GHT, cela vous parle ?), et j’en passe. Les budgets SI n’ont suivi nulle part (ou alors y a des DSI très heureux, très riches et très bien cachés). Dans ces conditions, la variable d’ajustement est, toujours toujours toujours, la qualité, donc la sécurité.

Sauf que… Sauf qu’entre-temps sont arrivés le télétravail (contraintes cyber plus plus plus, et on ne fera jamais machine arrière, même à l’hôpital), l’explosion des salaires dans la Tek en général et la cyber en particulier, la pénurie de main-d’œuvre (cela fait juste 15 ans que tous les experts alertent les pouvoirs publics sur le manque de formation de haut niveau), la menace cyber et la flambée du prix des solutions matérielles et logicielles (eh oui ! le privé, lui, paye, et se paye). De mémoire de RSSI, on n’avait pas connu une telle situation dans l’IT depuis belle lurette.

Nous sommes donc dans la même situation que l’URSS : bientôt on ne pourra plus suivre. Juste pour rire deux minutes, en 1980, Moscou a organisé les Jeux olympiques, qui ont siphonné pas moins du quart du PIB national juste pour une compétition sportive d’apparat qui aura duré 15 jours.

Très sincèrement, j’aimerais juste une seule fois dans mon existence qu’une personne bien intentionnée vienne m’expliquer la logique du raisonnement qui consiste à faire passer le superflu devant l’essentiel. Dans une scène terrible de Vipère au poing d’Hervé Bazin, Folcoche (la mère) saigne à blanc les finances de la famille déjà en grande difficulté pécuniaire juste pour donner une réception apte à lui permettre de « tenir son rang » dans la bonne société (et l’auteur de préciser que les restrictions qui suivirent furent terribles et durèrent des semaines). Aucune espèce animale connue ne fait passer le niveau 4 de la pyramide de Maslow (estime et reconnaissance) devant les niveaux 1 (besoins physiologiques) et 2 (sécurité). Nous, si. Et cela se termine rarement bien.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.