Publicité en cours de chargement...
La cyber face au paradigme de la clôture de Chesterton
Dans son ouvrage le plus connu La Trame conjugale ; Analyse du couple par son linge, Jean-Claude Kaufmann – chercheur au CNRS, excusez du peu – analyse les habitudes d’une dizaine de familles interviewées « dans leur élément naturel » et rapporte des propos à la limite du croyable. Telles ces mères de famille qui lavent (en machine) les habits de tous séparément des chaussettes de leur mari au motif que ces dernières sont sales (authentique). Avec à chaque fois la même justification des intéressé(e)s : parce que tout le monde fait comme ça, parce que c’est comme cela qu’il faut faire. Elle illustre parfaitement ces mots de Max Weber selon lesquels la tradition serait « l’autorité de l’éternel hier ».
À l’opposé se trouve le paradigme de la clôture de Chesterton. G. K. Chesterton est un écrivain et journaliste anglais du premier tiers du xxe siècle, qui a, entre autres, énoncé ce principe intéressant : lorsque vous tombez sur un truc apparemment idiot, par exemple une clôture ou un portail isolé au beau milieu d’un champ, avant d’affirmer que le truc ne sert à rien et qu’il faut le supprimer, interrogez-vous sur les raisons pour lesquelles des gens, il y a longtemps ou pas, ont installé cette clôture à cet endroit. Dans la plupart des cas, il y a une bonne raison, une très bonne raison même, mais qui ne se voit pas au premier coup d’œil.
À lire aussi : Cyber : le paradigme de la falsification
Il en va ainsi du management en général, des SI en général et de la cyber en particulier : quand vous tombez sur un éléphant au milieu de la pièce, êtes-vous en face d’une panière à linge de Kaufmann ou d’une clôture de Chesterton ? Si, comme l’affirme Eliyahu Goldratt dans Le But, manager c’est trouver ce qui doit être changé et le changer, alors la théorie de la clôture de Chesterton nous incite plutôt à tourner sept fois l’idée sous notre crâne avant d’agir.
Récemment, je suis tombé sur un cas d’accès à un DPI par une structure externe qui n’avait pas de base légale et qu’il a donc fallu bloquer – je vous passe les détails, le sujet est particulièrement ardu. La réaction du professionnel de santé concerné a été de déclarer que la loi était stupide. Il n’est pas impossible que l’on se trouve dans le cas d’une panière à linge, il ne faut rien exclure effectivement. Mais le Code de la santé publique est le résultat d’une longue maturation, du travail de centaines de personnes et de débats qui ont duré des heures au carré en s’étalant sur des années. Alors à moins d’avoir l’outrecuidance de penser que l’on peut avoir seul raison devant tout ce beau monde, j’ai légèrement tendance à penser que l’on se trouve en face d’une clôture de Chesterton.
A contrario, je pourrais vous égrener sans fin des situations, à la fois techniques et organisationnelles, qui relèvent sans aucun doute du cas de la panière à linge. Techniques et organisationnelles, j’insiste, car – et sans en tirer de valeur statistique – pour ce qui me concerne, dès que le débat implique des textes juridiques ou des normes, j’observe que l’on est systématiquement dans le cas de la clôture, celle qui n’est justement pas là par hasard.
Le travail du RSSI et du DPO se voit plutôt complexifié par ces Charybde et ces Scylla qui jonchent leurs réunions et leurs prises de décision, mais cela reste une bonne approche et surtout une bonne façon de temporiser et d’expliquer à ses MOA.
De rien.
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...
Quelles démarches CNIL pour quelle modification du traitement de données de santé
24 juin 2024 - 13:20,
Tribune
- Alice Robert et Alexandre FieveeNul n’ignore que certains traitements de données de santé doivent faire l’objet, avant leur mise en œuvre, d’une formalité CNIL. Mais saviez-vous qu’une modification d’un traitement, ayant fait l’objet d’une telle formalité, peut justifier une nouvelle formalité ? C’est ce que vient de nous préciser...

La cybersécurité en établissement de santé : plan d’attaque contre les attaques
02 juil. 2024 - 11:29,
Actualité
- DSIH, Damien DuboisLe 19 juin, l’Agence nationale d’appui à la performance des établissements de santé et médico-sociaux a mis en ligne un plan d’attaque contre les cyberattaques qui détaille notamment les mesures d’hygiène informatique pour limiter les dommages.