{"id":5453,"date":"2018-11-18T10:26:58","date_gmt":"2018-11-18T09:26:58","guid":{"rendered":"http:\/\/www.lesmonts.ch\/wp_fr\/?p=5453"},"modified":"2018-11-18T10:32:58","modified_gmt":"2018-11-18T09:32:58","slug":"audit","status":"publish","type":"post","link":"https:\/\/www.lesmonts.ch\/wp_fr\/audit\/","title":{"rendered":"Audit"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">J&rsquo;\u00e9tais r\u00e9cemment invit\u00e9 \u00e0 d\u00eener chez des amis, et incidemment, la conversation s&rsquo;est orient\u00e9e vers la s\u00e9curit\u00e9 des syst\u00e8mes informatiques dans les grandes entreprises et les administrations. Alors que je pointais du doigt une certaine faiblesse de ces syst\u00e8mes dans ce domaine, je me suis vu r\u00e9torquer de mani\u00e8re assez p\u00e9remptoire que \u00ab\u00a0chez nous, \u00e0 l&rsquo;\u00e9poque, la s\u00e9curit\u00e9 \u00e9tait parfaitement garantie, d&rsquo;ailleurs on faisait r\u00e9guli\u00e8rement des <strong>audits <\/strong>par MachinTruc ce qui nous garantissait une s\u00e9curit\u00e9 totale\u00a0\u00bb. J&rsquo;ai \u00e9vit\u00e9 de rebondir sur cette \u00e9normit\u00e9 pour ne pas entra\u00eener la conversation dans un domaine ennuyeux \u00e0 souhait; mais la th\u00e9matique n&rsquo;en est pas moins tr\u00e8s int\u00e9ressante dans les travers qu&rsquo;elle met en \u00e9vidence chez nos administrations et dans nos grandes multinationales en mati\u00e8re de gestion de l&rsquo;information et des outils associ\u00e9s.&nbsp;&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Il est \u00e9vident que la gestion de la s\u00e9curit\u00e9 d&rsquo;un syst\u00e8me informatique n&rsquo;est pas chose ais\u00e9e; mais doit \u00eatre garantie de la meilleure mani\u00e8re possible. Cela devrait \u00eatre tout particuli\u00e8rement le cas pour une administration cens\u00e9e prot\u00e9ger les int\u00e9r\u00eats de toute une communaut\u00e9; or, que constate-t-on? La grande majorit\u00e9 de ces administrations utilise des soci\u00e9t\u00e9s d&rsquo;audit souvent prestigieuses (MachinTruc en l&rsquo;occurrence) pour faire valider la politique de s\u00e9curit\u00e9 informatique. Si MachinTruc dit que le syst\u00e8me fonctionne, alors l&rsquo;administration en question peut se r\u00e9fugier derri\u00e8re ce blanc-seing pour protester de son excellente qualit\u00e9. Les politiciens, les chefs de service et les responsables de services informatiques se voient ainsi couverts en cas de probl\u00e8mes, puisque MachinTruc a dit que c&rsquo;\u00e9tait conforme. Bon, MachinTruc co\u00fbte cher, voire tr\u00e8s cher, mais la qualit\u00e9 et la s\u00e9curit\u00e9 n&rsquo;ont pas de prix, n&rsquo;est-ce-pas ? Et puis apr\u00e8s tout, c&rsquo;est le contribuable ou le client qui paie.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dans le m\u00eame ordre d&rsquo;id\u00e9es, je connais l&rsquo;exemple d&rsquo;un h\u00f4pital qui a adopt\u00e9 pour son dossier patients informatis\u00e9 un logiciel limite obsol\u00e8te alors qu&rsquo;il disposait d&rsquo;offres largement plus modernes; mais le syst\u00e8me vieillot \u00e9tait propos\u00e9 par une entreprise ayant pignon sur rue dans le domaine de l&rsquo;informatique m\u00e9dicale, alors que les solutions plus avant-gardistes provenaient de structures moins confirm\u00e9es&#8230; Le bilan actuel dans ce cas particulier est que le syst\u00e8me choisi a \u00e9t\u00e9 abandonn\u00e9 par son concepteur, qui en a revendu les droits \u00e0 la soci\u00e9t\u00e9 <a href=\"https:\/\/www.cerner.com\/\">CERNER <\/a>(Missouri, USA), un concurrent qui dispose par ailleurs d&rsquo;un syst\u00e8me similaire. Comme par hasard, le produit acquis par l&rsquo;h\u00f4pital en question ne figure plus dans les produits vant\u00e9s par le site web de l&rsquo;entreprise&#8230; Le nom d&rsquo;une entreprise n&rsquo;est pas forc\u00e9ment synonyme de qualit\u00e9 ou de p\u00e9rennit\u00e9, apparemment; et telle administration qui s&rsquo;abrite derri\u00e8re MachinTruc ferait aussi bien d&rsquo;auditer MachinTruc afin de garantir aux contribuables le bon usage des deniers publics&#8230;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">D&rsquo;ailleurs, pour la qualit\u00e9 de MachinTruc, laissez-moi vous raconter une petite anecdote datant il est vrai de quelques ann\u00e9es (5, au jug\u00e9). Je discutais d&rsquo;un projet avec le responsable de service d&rsquo;une administration cantonale, quand ce dernier me demande de l&rsquo;excuser bri\u00e8vement, car il doit accueillir le \u00ab\u00a0chef informaticien, un gars de haut niveau, hyper-comp\u00e9tent, envoy\u00e9 par MachinTruc, et qui va mettre en place un audit de la s\u00e9curit\u00e9 informatique chez nous\u00a0\u00bb. MachinTruc, justement ! Bon, j&rsquo;attends un petit moment, histoire que mon interlocuteur accueille la vedette et l&rsquo;aiguille vers les gens du service informatique, et voil\u00e0 que revient la personne accompagn\u00e9e d&rsquo;un nouveau visiteur :la vedette en question. \u00ab\u00a0J&rsquo;ai appris que M. Bidule a \u00e9t\u00e9 votre \u00e9tudiant par le pass\u00e9, et il tenait \u00e0 vous saluer\u00a0\u00bb. Effectivement, je me souviens de Bidule. Il avait mis cinq ans pour obtenir son titre de bachelor (il faut trois ans \u00e0 un \u00e9tudiant \u00ab\u00a0normal\u00a0\u00bb), et n&rsquo;avait obtenu le titre que parce que le professeur responsable l&rsquo;avait assez vu. Le professeur responsable, ce n&rsquo;\u00e9tait pas moi, car je lui avais mis une note assez m\u00e9diocre au seul cours o\u00f9 j&rsquo;avais eu le privil\u00e8ge de l&rsquo;accueillir. Mais bon, la surprise pass\u00e9e et les salutations (cordiales, bien s\u00fbr) effectu\u00e9es, je lui pose deux ou trois questions polies sur son boulot.Il me sert quelques phrases passe-partout, dont le seul r\u00e9sultat est de me convaincre qu&rsquo;il n&rsquo;a pas beaucoup progress\u00e9 techniquement. Mais en revanche, il fait beaucoup de sport, du ski en particulier, ce qui nous permet de converser de mani\u00e8re sympathique le temps d&rsquo;un caf\u00e9 offert par notre h\u00f4te. Bon skieur, s\u00fbrement; jeune gars sympa, sans doute; informaticien expert, j&rsquo;\u00e9mets des r\u00e9serves&#8230;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Attention, je n&rsquo;\u00e9mets pas de critiques particuli\u00e8res \u00e0 l&rsquo;\u00e9gard de MachinTruc ou d&rsquo;autres soci\u00e9t\u00e9s comparables. Ce sont des entreprises priv\u00e9es qui doivent faire un b\u00e9n\u00e9fice de la mani\u00e8re la plus honn\u00eate possible; que ce soit aux frais du contribuable ou d&rsquo;une client\u00e8le peu avertie ne les concerne pas. J&rsquo;ai plus de doutes vis-\u00e0-vis de ces chefs de service d&rsquo;administrations, ces politiciens et autres responsables d&rsquo;infrastructures publiques qui couvrent leur incomp\u00e9tence derri\u00e8re des audits ou des produits co\u00fbteux et de qualit\u00e9 parfois douteuse. Commander un audit, pourquoi pas; encore faut-il disposer de responsables \u00e0 m\u00eame de d\u00e9terminer ce qui doit \u00eatre audit\u00e9, et par qui. Un <a href=\"https:\/\/www.lemonde.fr\/big-browser\/article\/2018\/11\/15\/le-ministre-de-la-cybersecurite-japonais-avoue-n-avoir-jamais-touche-un-ordinateur_5384027_4832693.html\">ministre de la cybers\u00e9curit\u00e9<\/a> qui n&rsquo;a jamais touch\u00e9 d&rsquo;ordinateur, cela n&rsquo;existe s\u00fbrement pas chez nous, n&rsquo;est-ce pas ?&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Les entreprises qui effectuent des audits font payer tr\u00e8s cher les services qu&rsquo;elles proposent et les certificats qu&rsquo;elles produisent. Elles remplissent des masses de conditions fix\u00e9es par des normes ISO, DIN ou autres; leur cr\u00e9dibilit\u00e9 est enti\u00e8rement fond\u00e9e sur des montagnes de papier. Est-ce suffisant pour les agr\u00e9er comme autorit\u00e9 de comp\u00e9tence sup\u00e9rieure ?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>J&rsquo;\u00e9tais r\u00e9cemment invit\u00e9 \u00e0 d\u00eener chez des amis, et incidemment, la conversation s&rsquo;est orient\u00e9e vers la s\u00e9curit\u00e9 des syst\u00e8mes informatiques dans les grandes entreprises et les administrations. Alors que je pointais du doigt une certaine faiblesse de ces syst\u00e8mes dans ce domaine, je me suis vu r\u00e9torquer de mani\u00e8re assez p\u00e9remptoire que \u00ab\u00a0chez nous, \u00e0 &hellip; <a href=\"https:\/\/www.lesmonts.ch\/wp_fr\/audit\/\" class=\"more-link\">Continuer la lecture de <span class=\"screen-reader-text\">Audit<\/span>  <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-5453","post","type-post","status-publish","format-standard","hentry","category-non-classe"],"_links":{"self":[{"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/posts\/5453","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/comments?post=5453"}],"version-history":[{"count":3,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/posts\/5453\/revisions"}],"predecessor-version":[{"id":5459,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/posts\/5453\/revisions\/5459"}],"wp:attachment":[{"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/media?parent=5453"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/categories?post=5453"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/tags?post=5453"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}