La cyber et la théorie des trois enveloppes (1)
19 mars 2024 - 10:07,
Tribune
- Cédric CartauL’État français accuse une dette publique qui dépasse 3 000 milliards d’euros, certes. Mais en même temps un État n’est pas un pays, et l’encours des ménages français en produits de taux (livrets, comptes courants, assurances-vie en euros, etc.) dépasse ce même montant. Alors, qui doit de l’argent à qui ? À la fin du vaste ouvrage de David Graeber, cette question n’a toujours pas de réponse.
Le rapport avec la cyber ? Une bonne partie des problèmes rencontrés par les experts cyber est à mettre sur le compte de ce qu’il est convenu d’appeler la « dette technique ». Traduction en bon français : si nos SI sont aussi troués qu’un fromage, c’est à mettre sur le compte des OS pas à jour, qui sont dus aux middlewares pas à jour, aux applications pas à jour, etc. Dans cette vision, il s’agit d’une dette des MOA (ou des DG, ce qui revient au même) envers le SI dans le sens où ils ne payent pas ce qu’ils devraient en matière de coût de maintenance.
Pourquoi pas, mais les MOA passent leur temps à faire le grand écart entre les désidérata de leurs clients (dans le privé) ou donneurs d’ordres/financeurs (dans le public), qui exigent d’eux ce qu’ils n’ont pas les moyens de financer. Alors qui est redevable de cette dette, et à qui ? Et ces mêmes clients/donneurs d’ordres de se plaindre des tarifs/impôts/taxes trop élevés à leurs yeux qui justifieraient de la baisse desdits tarifs sans révision des services rendus. Alors, qui doit quoi à qui ?
Sans compter ces mêmes DSI qui se plaignent à longueur de temps de ne pas avoir les budgets pour les infras adéquates, mais accumulent en interne une autre forme de dette : des logiciels surdimensionnés que l’on n’a pas le temps d’exploiter à 100 %, alors que des logiciels concurrents plus simples et moins chers feraient dans pas mal de cas tout aussi bien l’affaire (je vous invite à regarder l’évolution récente de la politique tarifaire de VMware avant de venir me soutenir dans le blanc des yeux qu’il n’y a aucune alternative moins coûteuse). Et là, elle est due à qui cette forme de dette ? Et là, qui doit de l’argent à qui ?
En tout état de cause, ce que l’on retire des ouvrages de Graeber et de Ferguson, c’est que la dette est consubstantielle à l’humanité (elle existait avant la monnaie selon Graeber) et la mondialisation récente n’y a rien changé. Nous sommes tous pris dans un immense jeu de barbichette circulaire dont nous ne sortirons jamais – fustiger la dette des autres, c’est un peu se leurrer quant à la sienne. Aux chapitres III et IV du Tiers Livre de Rabelais, Panurge, à qui Pantagruel reproche d’avoir mangé son blé en herbe, se lance dans un éloge des dettes : « Devez toujours à quelqu’un. Par icelui sera continuellement Dieu prié vous donner bonne, longue, et heureuse vie ; craignant sa dette perdre, toujours bien de vous dira en toutes compagnies […]. »
Au moment de quitter le monde du travail, juste après le pot de départ, le discours lénifiant, les cadeaux convenus du genre de la Box pour un week-end Thalasso ou la canne à pêche avec moulinet dernier cri, nous devrions tous transférer notre dette à notre aimable successeur en lui donnant trois enveloppes. La première contiendra le discours qu’il prononcera à sa prise de poste, où il affirmera s’inscrire dans la continuité de son prédécesseur, et bla-bla-bla et bla-bla-bla. La deuxième contiendra le discours qu’il prononcera 18 mois plus tard, où il affirmera avoir hérité d’une situation désastreuse dans laquelle il a les mains totalement liées. La troisième ne contiendra qu’une seule phrase, un pense-bête : « Ne pas oublier de donner trois enveloppes à ton successeur. »
Vous m’en devez une.
(1) Crédits : merci PL.
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.