Cyber : les effets pervers de la fuite en avant perpétuelle

Récemment, je suis tombé sur un logiciel de classe « bombe à retardement » niveau 3 : un machin écrit à façon (développement spécifique), par un fournisseur qui n’existe plus (bonjour la reprise du code), dans un langage de dev tellement antédiluvien que même Toutankhamon n’était pas né quand le truc est sorti, le tout sur un serveur en Windows 2000 (si si, vous avez bien lu), le machin étant le logiciel principal d’un service (administratif, rassurez-vous). Bref, la verrue, le caillou dans la chaussure. Y a une légère urgence à changer le bouzin, ce qui va prendre entre 12 et 18 mois (en étant optimiste) et, bien entendu, pas l’ombre d’un radis pour ce faire : les quelques sous qu’on va dégotter sur le sujet seront de toute manière insuffisants, et si j’étais le boss du service, je m’inquiéterais un tantinet.

Le boss en question est convié à une réunion pour évoquer le sujet, mais pendant ladite réunion il évoque un autre besoin d’informatisation (un autre logiciel, pour faire un truc en plus qu’il ne faisait pas avant, une nouvelle activité qui n’est pas son cœur de métier, là n’est pas la question). Il lui est précisé, avec des mots clairs, que le logiciel qui sous-tend son cœur de métier est en train de se casser la figure, et qu’il serait vraiment hasardeux d’aller courir un second lièvre, qu’on est dans une situation critique, qu’on est déjà ric-rac côté thune et bonshommes pour mener le projet. Le boss en question acquiesce, comprend, est d’accord avec cette analyse, et l’on croit que le débat est clos. Mais non : le boss relance sur son second besoin avec des arguments fonctionnels (ce serait important que, nous devons développer cette nouvelle activité et tutti quanti), alors que même si son premier logiciel n’était pas en train de mourir, il n’y aurait même pas la thune pour le second.

À ce stade, les bras nous en tombent. Le boss est-il un crétin des alpages ? A-t-il fumé du tabac qui fait rire avant la réunion ? Perdu un pari du genre « Pas cap de » ou « Action ou Vérité » ? On est dans la même veine que le type qui rentre le soir du travail et annonce à sa moitié qu’il vient de se faire lourder de sa boîte sans un kopeck, la moitié en question embrayant tout de go sur les prochaines vacances aux Maldives et l’inscription du rejeton à un club de piano hyper hype et hyper cher. Soit la moitié est idiote comme un balai Bissell, soit il y a autre chose.

Le boss n’est absolument pas un crétin, pas plus que la moitié ci-dessus. C’est juste qu’on est dans la fuite en avant permanente. Des dizaines de sociologues ont étudié cette question, à savoir que la nature même de l’espèce humaine est de vouloir toujours plus, toujours plus de trucs, de gadgets, de flouze, de machins à montrer à ses potes, d’objets, de voitures, de cafetières connectées, de montres dernier cri, etc. Les organisations n’échappent pas à la règle : la seule idée que l’on puisse demander à toute une entreprise de poser les crayons deux minutes pour stabiliser son SI est une ineptie au regard de la nature de l’humanité. Personne ne le fait, ne l’a jamais fait et ne le fera jamais, pas plus le boss que le boss du boss ni même au-dessus. Nous sommes dans la fuite en avant perpétuelle, condamnés tous autant que nous sommes, tous à notre niveau hiérarchique, à serrer les fesses pour que le virus, le malware, la faille dans le système touche le type d’à côté et pas nous – une forme de sélection naturelle par l’absurde en somme.

À découvrir → La morale et la cyber

Si cela se trouve, les dinosaures ne se sont pas éteints par la faute d’une météorite : si cela se trouve, ils avaient des entreprises, des supérettes ouvertes le dimanche matin, une administration, des tiers provisionnels et des débats sur l’allongement de la durée de cotisation, des observatoires astronomiques qui leur avaient signalé que la météorite arrivait… mais impossible de poser les crayons, de monter un dispositif de protection/éloignement. Trop de projets, les derniers fichiers à sortir en urgence pour les CAC, une plateforme de dossier médical partagé demandé par la Dino-RS, des indicateurs à remonter au Dino-Ministère. Pas le temps, pas prioritaire, mais non, ça va nous frôler, pas de problème, mais si, Dino-Fenêtre95 fonctionne très bien même si pas patché, et puis on va passer à Dino-365. Au milieu de tout ce micmac, sûr que le Dino-boss-boss-boss a demandé à ses équipes de travailler à passer tout le SI dans le Cloud alors que la météorite leur fonçait droit dans la tronche.

Si tout le système est agencé de cette façon, si tout et tout le monde tendent au « toujours plus, toujours pour hier, toujours avec moins », je vous laisse vous faire votre avis sur la question de savoir s’il s’agit d’une déresponsabilisation générale, en tout cas je ne vois pas ce qu’un acteur isolé peut faire pour changer le grand machin, à part vous débiter un « Je vous l’avais dit »… en vous demandant surtout de bien garder copie du mail.

Je ne sais pas qui le premier a inventé l’expression « danser sur le bord du volcan », mais c’est exactement cela.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.