Publicité en cours de chargement...

Publicité en cours de chargement...

Cyber : les effets pervers de la fuite en avant perpétuelle

28 fév. 2023 - 09:25,
Tribune - Cédric Cartau
Une des qualités premières pour prétendre à une carrière de RSSI, c’est de garder ses yeux d’enfant. C’est ce que l’on se disait récemment, mes 52 printemps et moi-même. Illustration.

Récemment, je suis tombé sur un logiciel de classe « bombe à retardement » niveau 3 : un machin écrit à façon (développement spécifique), par un fournisseur qui n’existe plus (bonjour la reprise du code), dans un langage de dev tellement antédiluvien que même Toutankhamon n’était pas né quand le truc est sorti, le tout sur un serveur en Windows 2000 (si si, vous avez bien lu), le machin étant le logiciel principal d’un service (administratif, rassurez-vous). Bref, la verrue, le caillou dans la chaussure. Y a une légère urgence à changer le bouzin, ce qui va prendre entre 12 et 18 mois (en étant optimiste) et, bien entendu, pas l’ombre d’un radis pour ce faire : les quelques sous qu’on va dégotter sur le sujet seront de toute manière insuffisants, et si j’étais le boss du service, je m’inquiéterais un tantinet.

Le boss en question est convié à une réunion pour évoquer le sujet, mais pendant ladite réunion il évoque un autre besoin d’informatisation (un autre logiciel, pour faire un truc en plus qu’il ne faisait pas avant, une nouvelle activité qui n’est pas son cœur de métier, là n’est pas la question). Il lui est précisé, avec des mots clairs, que le logiciel qui sous-tend son cœur de métier est en train de se casser la figure, et qu’il serait vraiment hasardeux d’aller courir un second lièvre, qu’on est dans une situation critique, qu’on est déjà ric-rac côté thune et bonshommes pour mener le projet. Le boss en question acquiesce, comprend, est d’accord avec cette analyse, et l’on croit que le débat est clos. Mais non : le boss relance sur son second besoin avec des arguments fonctionnels (ce serait important que, nous devons développer cette nouvelle activité et tutti quanti), alors que même si son premier logiciel n’était pas en train de mourir, il n’y aurait même pas la thune pour le second.

À ce stade, les bras nous en tombent. Le boss est-il un crétin des alpages ? A-t-il fumé du tabac qui fait rire avant la réunion ? Perdu un pari du genre « Pas cap de » ou « Action ou Vérité » ? On est dans la même veine que le type qui rentre le soir du travail et annonce à sa moitié qu’il vient de se faire lourder de sa boîte sans un kopeck, la moitié en question embrayant tout de go sur les prochaines vacances aux Maldives et l’inscription du rejeton à un club de piano hyper hype et hyper cher. Soit la moitié est idiote comme un balai Bissell, soit il y a autre chose.

Le boss n’est absolument pas un crétin, pas plus que la moitié ci-dessus. C’est juste qu’on est dans la fuite en avant permanente. Des dizaines de sociologues ont étudié cette question, à savoir que la nature même de l’espèce humaine est de vouloir toujours plus, toujours plus de trucs, de gadgets, de flouze, de machins à montrer à ses potes, d’objets, de voitures, de cafetières connectées, de montres dernier cri, etc. Les organisations n’échappent pas à la règle : la seule idée que l’on puisse demander à toute une entreprise de poser les crayons deux minutes pour stabiliser son SI est une ineptie au regard de la nature de l’humanité. Personne ne le fait, ne l’a jamais fait et ne le fera jamais, pas plus le boss que le boss du boss ni même au-dessus. Nous sommes dans la fuite en avant perpétuelle, condamnés tous autant que nous sommes, tous à notre niveau hiérarchique, à serrer les fesses pour que le virus, le malware, la faille dans le système touche le type d’à côté et pas nous – une forme de sélection naturelle par l’absurde en somme.

À découvrirLa morale et la cyber

Si cela se trouve, les dinosaures ne se sont pas éteints par la faute d’une météorite : si cela se trouve, ils avaient des entreprises, des supérettes ouvertes le dimanche matin, une administration, des tiers provisionnels et des débats sur l’allongement de la durée de cotisation, des observatoires astronomiques qui leur avaient signalé que la météorite arrivait… mais impossible de poser les crayons, de monter un dispositif de protection/éloignement. Trop de projets, les derniers fichiers à sortir en urgence pour les CAC, une plateforme de dossier médical partagé demandé par la Dino-RS, des indicateurs à remonter au Dino-Ministère. Pas le temps, pas prioritaire, mais non, ça va nous frôler, pas de problème, mais si, Dino-Fenêtre95 fonctionne très bien même si pas patché, et puis on va passer à Dino-365. Au milieu de tout ce micmac, sûr que le Dino-boss-boss-boss a demandé à ses équipes de travailler à passer tout le SI dans le Cloud alors que la météorite leur fonçait droit dans la tronche.

Si tout le système est agencé de cette façon, si tout et tout le monde tendent au « toujours plus, toujours pour hier, toujours avec moins », je vous laisse vous faire votre avis sur la question de savoir s’il s’agit d’une déresponsabilisation générale, en tout cas je ne vois pas ce qu’un acteur isolé peut faire pour changer le grand machin, à part vous débiter un « Je vous l’avais dit »… en vous demandant surtout de bien garder copie du mail.

Je ne sais pas qui le premier a inventé l’expression « danser sur le bord du volcan », mais c’est exactement cela.


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.