La cyber face au défi des modèles mentaux

Le concept de modèle mental (MM) est consubstantiel à l’Humanité et surtout à sa survie : quand nos ancêtres apercevaient au loin une fourrure avec des tâches sous un buisson, ils ne prenaient pas la peine de remplir un formulaire A-38 en 3 exemplaires pour confirmer l’identité de l’animal : ils se carapataient à toute vitesse. Le MM « fourrure à tâches = léopard » a dû en sauver plus d’un. Donc, les MM ne sont pas arrivés là par l’opération du Saint-Esprit, mais par une nécessité darwinienne.

Les MM existent aussi bien au niveau individuel qu’au niveau des organisations, et il n’est pas besoin de chercher bien loin : la plupart du temps les slogans de marques célèbres sont un bon point d’entrée à leurs MM internes. Et c’est là que cela commence à se gâter : une organisation construite sur un panel de MM (et qui a réussi) a tendance à en oublier l’existence même (les lunettes filtrantes de tout à l’heure, on oublie qu’on les porte) et c’est quand la réalité change au point que les anciens MM deviennent inadaptés que la fin est proche. Kodak se voyait comme un fabricant de pellicule, et avec l’arrivée du numérique a tenté une diversification dans les imprimantes photo, restant toujours plombée par l’idée qu’une photo cela s’imprime. Fuji (pourtant issu du même secteur et confronté au même défi du numérique) au contraire a modifié son MM pour le faire passer de « on fabrique des pellicules photo » à « on est des chimistes ».

En résumé, les MM sont indispensables à tout fonctionnement d’une organisation complexe, ont rapidement tendance à se faire oublier (au point que plus personne ne les remet en cause pensant qu’ils sont l’équivalent de lois de la Physique), deviennent le point dur en cas de changement de paradigme externe et sont extrêmement difficiles à changer justement du fait que plus personne n’a conscience de leur existence.

En IT et cyber, quels sont nos modèles mentaux ? Si vous pensez que vous (vous, moi, nous) n’en avez pas, vous vous fourrez l’antivirus dans l’œil jusqu’au BIOS. Pendant des années, le maître-mot dans les SIH c’était « l’hôpital ouvert sur la ville », dit autrement son SI accessible aux quatre vents. Zorro (et les malwares) sont passés par là, et la cyber a développé ses propres MM : il faut sécuriser les postes de travail, tenir à jour les OS, mettre en place une DMZ, etc. Autrement dit, le MM consistait à penser que la solution relevait du techno-solutionisme (vision de barbus des années 70 qui se fracasse régulièrement sur les réalités de terrain, mais bon faut bien que les gamins s’amusent un peu).

D’autres MM ont fait leur apparition : les experts cyber ont constaté qu’il devenait impossible d’avoir des OS à jour, des middleware à jour sur tout le parc (parc qui commence à intégrer massivement des IoT et des systèmes SCADA impossibles à sécuriser, d’où l’irruption des concepts de sanctuaire). Fondamentalement, le sanctuaire est une rupture de MM, qui consiste à privilégier un sous-LAN totalement sécurisé, et tant pis pour la « plèbe des autres IP sur le LAN ». Et il y a eu le volet organisationnel de la cyber (ISO 27001 et consorts) qui a fait sortir ce domaine du pur MM technophile.

Évidemment quand on en est rendu là, on ne peut s’empêcher de se poser la question suivante : et quel est le MM, tellement diffus qu’on en a oublié l’existence, qui régit notre vision systémique de la cyber ? Cette question nécessiterait un vrai débat et je ne prétends absolument pas avoir la réponse ultime et unique, mais je tombe récemment sur des publications affolées sur les performances des dernières versions de l’IA Claude, qui serait en mesure de trouver des CVE en des temps de l’ordre de la milliseconde sur des systèmes pourtant réputés ultra-robustes, tels que des Unix en béton.

Si un gugusse à capuche est capable de déglinguer votre DMZ à distance en trois prompts malgré une débauche de moyens techniques et humains pour sécuriser cette zone, même le concept de « sanctuaire » ne va pas survivre longtemps. Et si vous pensez que la solution face à des IA bodybuildées est de coller d’autres IA bodybuildées, vous faites partie des descendants des barbus techno-solutionistes susnommés : cela ne fonctionne pas à terme.

Va-t-on devoir prudemment refermer tout ce qui a été ouvert depuis des décennies au motif que même le zero trust ne fonctionne pas (plus) ? Les approches organisationnelles de la cyber (type 27001) ne servent qu’à rationaliser le fonctionnement et la prise de décision, mais aucune organisation certifiée jusqu’à la racine des cheveux ne peut faire face à un Armageddon cyber dopé à l’IA.

Je vous invite à traquer les MM cachés au sein de vos organisations, car la prochaine vague de catastrophes cyber trouvera là son origine.