J’étais récemment invité à dîner chez des amis, et incidemment, la conversation s’est orientée vers la sécurité des systèmes informatiques dans les grandes entreprises et les administrations. Alors que je pointais du doigt une certaine faiblesse de ces systèmes dans ce domaine, je me suis vu rétorquer de manière assez péremptoire que « chez nous, à l’époque, la sécurité était parfaitement garantie, d’ailleurs on faisait régulièrement des audits par MachinTruc ce qui nous garantissait une sécurité totale ». J’ai évité de rebondir sur cette énormité pour ne pas entraîner la conversation dans un domaine ennuyeux à souhait; mais la thématique n’en est pas moins très intéressante dans les travers qu’elle met en évidence chez nos administrations et dans nos grandes multinationales en matière de gestion de l’information et des outils associés.
Il est évident que la gestion de la sécurité d’un système informatique n’est pas chose aisée; mais doit être garantie de la meilleure manière possible. Cela devrait être tout particulièrement le cas pour une administration censée protéger les intérêts de toute une communauté; or, que constate-t-on? La grande majorité de ces administrations utilise des sociétés d’audit souvent prestigieuses (MachinTruc en l’occurrence) pour faire valider la politique de sécurité informatique. Si MachinTruc dit que le système fonctionne, alors l’administration en question peut se réfugier derrière ce blanc-seing pour protester de son excellente qualité. Les politiciens, les chefs de service et les responsables de services informatiques se voient ainsi couverts en cas de problèmes, puisque MachinTruc a dit que c’était conforme. Bon, MachinTruc coûte cher, voire très cher, mais la qualité et la sécurité n’ont pas de prix, n’est-ce-pas ? Et puis après tout, c’est le contribuable ou le client qui paie.
Dans le même ordre d’idées, je connais l’exemple d’un hôpital qui a adopté pour son dossier patients informatisé un logiciel limite obsolète alors qu’il disposait d’offres largement plus modernes; mais le système vieillot était proposé par une entreprise ayant pignon sur rue dans le domaine de l’informatique médicale, alors que les solutions plus avant-gardistes provenaient de structures moins confirmées… Le bilan actuel dans ce cas particulier est que le système choisi a été abandonné par son concepteur, qui en a revendu les droits à la société CERNER (Missouri, USA), un concurrent qui dispose par ailleurs d’un système similaire. Comme par hasard, le produit acquis par l’hôpital en question ne figure plus dans les produits vantés par le site web de l’entreprise… Le nom d’une entreprise n’est pas forcément synonyme de qualité ou de pérennité, apparemment; et telle administration qui s’abrite derrière MachinTruc ferait aussi bien d’auditer MachinTruc afin de garantir aux contribuables le bon usage des deniers publics…
D’ailleurs, pour la qualité de MachinTruc, laissez-moi vous raconter une petite anecdote datant il est vrai de quelques années (5, au jugé). Je discutais d’un projet avec le responsable de service d’une administration cantonale, quand ce dernier me demande de l’excuser brièvement, car il doit accueillir le « chef informaticien, un gars de haut niveau, hyper-compétent, envoyé par MachinTruc, et qui va mettre en place un audit de la sécurité informatique chez nous ». MachinTruc, justement ! Bon, j’attends un petit moment, histoire que mon interlocuteur accueille la vedette et l’aiguille vers les gens du service informatique, et voilà que revient la personne accompagnée d’un nouveau visiteur :la vedette en question. « J’ai appris que M. Bidule a été votre étudiant par le passé, et il tenait à vous saluer ». Effectivement, je me souviens de Bidule. Il avait mis cinq ans pour obtenir son titre de bachelor (il faut trois ans à un étudiant « normal »), et n’avait obtenu le titre que parce que le professeur responsable l’avait assez vu. Le professeur responsable, ce n’était pas moi, car je lui avais mis une note assez médiocre au seul cours où j’avais eu le privilège de l’accueillir. Mais bon, la surprise passée et les salutations (cordiales, bien sûr) effectuées, je lui pose deux ou trois questions polies sur son boulot.Il me sert quelques phrases passe-partout, dont le seul résultat est de me convaincre qu’il n’a pas beaucoup progressé techniquement. Mais en revanche, il fait beaucoup de sport, du ski en particulier, ce qui nous permet de converser de manière sympathique le temps d’un café offert par notre hôte. Bon skieur, sûrement; jeune gars sympa, sans doute; informaticien expert, j’émets des réserves…
Attention, je n’émets pas de critiques particulières à l’égard de MachinTruc ou d’autres sociétés comparables. Ce sont des entreprises privées qui doivent faire un bénéfice de la manière la plus honnête possible; que ce soit aux frais du contribuable ou d’une clientèle peu avertie ne les concerne pas. J’ai plus de doutes vis-à-vis de ces chefs de service d’administrations, ces politiciens et autres responsables d’infrastructures publiques qui couvrent leur incompétence derrière des audits ou des produits coûteux et de qualité parfois douteuse. Commander un audit, pourquoi pas; encore faut-il disposer de responsables à même de déterminer ce qui doit être audité, et par qui. Un ministre de la cybersécurité qui n’a jamais touché d’ordinateur, cela n’existe sûrement pas chez nous, n’est-ce pas ?
Les entreprises qui effectuent des audits font payer très cher les services qu’elles proposent et les certificats qu’elles produisent. Elles remplissent des masses de conditions fixées par des normes ISO, DIN ou autres; leur crédibilité est entièrement fondée sur des montagnes de papier. Est-ce suffisant pour les agréer comme autorité de compétence supérieure ?