La cyber et le théorème du « Popopopopo »

L’affaire, relatée par le Midi libre[1] est un classique : dérangé par le « bip » incessant d’un équipement, un agent d’entretien d’un laboratoire de l’Institut polytechnique Rensselaer a éteint l’appareil (un congélateur). Conséquence : le contenu du congélateur est à mettre direct à la poubelle le lendemain matin. Sauf que ce contenu abritait 20 ans de recherches sur la photosynthèse, irrémédiablement perdues. L’agent en question se retrouve devant un juge, et son employeur (la société de nettoyage qui l’emploie et sous-traite l’entretien pour le compte du laboratoire à qui appartient le congélateur) se voit réclamer 1 million de dollars de dommages et intérêts. Bon, j’avais entendu la même histoire à propos d’un agent d’entretien qui avait débranché le respirateur d’un patient en réanimation pour brancher son aspirateur, mais ce doit être une légende urbaine. Précision utile : le congélateur en question présentait des dysfonctionnements depuis plusieurs jours et une intervention technique avait été programmée. Dans l’attente, un écriteau expliquant l’origine des bips avait été apposé sur la porte et indiquait qu’il ne fallait ni déplacer ni débrancher l’appareil.

En substance et si l’on s’arrête là, l’agent d’entretien est un gros vilain qu’il convient de pendre par les pieds et forcer à écouter l’intégrale des chansons à texte de Patrick Topaloff jusqu’à ce que mort s’ensuive.

À découvrir → En direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne

Popopopopo, mais pas du tout ! En l’absence d’instruction claire de son employeur (la société de nettoyage), je ne vois pas ce qui relèverait de la faute, certainement pas détachable de service et encore moins non détachable. Je fais mon auditeur de base : Je peux voir la procédure ? La formation de l’agent ? Le support de formation ? La fiche d’émargement ? Si un type est embauché pour passer le balai (avec le salaire qui va avec), on peut difficilement lui demander d’en faire plus. Quant à la simple idée que manipuler un disjoncteur ne relève pas de sa mission… Au fait, c’est quoi sa mission ? Rebelote sur la fiche de poste. Et pan dans les dents – de l’employeur.

Popopopopo, mais toujours pas du tout ! Je refais mon auditeur de base : Le contrat qui lie le laboratoire à la société de nettoyage faisait-il mention de zones particulières présentant des particularités devant être portées à la connaissance de ladite société qui les aurait communiquées à ses propres agents (voir le Popopopopo ci-dessus) ? Je gage que dans une centrale nucléaire on met les bonnes protections devant les portes, histoire d’éviter que la femme de ménage aille épousseter le machin en plutonium, non ? En substance, le patron de l’Institut polytechnique Rensselaer est le seul responsable. Et pan dans les dents de l’Institut.

Popopopopo, mais que nenni ! Certes, le boss en question est responsable (ce sont ses services qui ont dû passer le marché de nettoyage), mais on peut difficilement reprocher à un chef à plumes de ne pas connaître toutes les zones à risque, les subtilités de ses nombreux départements et laboratoires, etc. En revanche, le patron du laboratoire incriminé en a-t-il fait part à sa hiérarchie ? Je fais encore l’auditeur : Je peux voir la note de service, les rappels, les dispositions internes, la fiche de risques ? D’expérience, ce genre de truc a été au mieux évoqué entre deux couloirs, au pire n’est connu que des seuls agents du laboratoire eux-mêmes.

Mais bon, si vous n’êtes pas à 100 % convaincu par la démonstration, on peut regarder le sujet sous un autre angle. L’institut en question est une université financée par des bailleurs, publics ou privés, et quel que soit leur nombre, aucune importance. Devant ces bailleurs, qui est responsable ? Un agent d’entretien qu’ils ne connaissent pas ? Une société de nettoyage dont ils n’ont jamais entendu parler ? Ou plus simplement le crétin qui s’est imaginé que pour protéger 20 ans de recherche face à des dysfonctionnements répétés d’un congélateur il suffisait de coller un simple Post-it sur la porte de l’appareil ?

Popopopopo !

[1] https://www.midilibre.fr/2023/06/28/un-agent-dentretien-debranche-un-congelateur-de-laboratoire-et-detruit-20-ans-de-recherche-scientifique-revolutionnaire-11306850.php 

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.