Confinement semaine 1 : étrange encéphalogramme de la SSI

Côté DSI, les agents se démènent pour mettre à disposition les outils qui permettent aux opérationnels de fonctionner dans la situation quasi de guerre qui est la leur : outils métiers, outils de coordination régionaux ou nationaux, etc. Bien évidemment, on se doute bien que côté projet (Build) les DSI sont dans la plupart des cas à l’arrêt : ce n’est pas en ce moment que l’on va faire un changement majeur d’un Pacs, d’un SGL ou d’une gestion informatisée des blocs opératoires.

Sur le volet SSI, la situation est encore plus étrange. Si le Covid-19 était arrivé il y a 30 ans, si tant est qu’à l’époque le RSSI eût existé, ce dernier se tournerait les pouces. Sauf que des petits malins ont imaginé que pirater les organismes publics ou privés dans une telle situation de crise devait être une bonne idée. Par exemple, à l’heure où ces lignes sont écrites, plus de 5 000 noms de domaine comportant le nom Covid ont été déposés[1].On se demande bien à quoi ils vont servir, mais certainement pas à ne faire que de la sensibilisation au port du masque. Les RSSI sont donc dans le même état : l’urgence pour ce qui est de la sécurisation des accès distants et de la veille concernant les attaques de malwares en tout genre, et le point mort pour le Build – ce n’est certainement pas maintenant que l’on va mettre en production un système à double facteur pour les accès VPN des agents en télétravail.

À la fin de sa première allocution télévisée, le président de la République a eu une phrase sibylline du genre « après la crise, certaines choses seront revues ». On ne sait pas à quoi il pensait exactement, peut-être revoir la stratégie nationale qui consiste à externaliser à tout va en Chine. Stratégie menée depuis des décennies par tous ses prédécesseurs et qui conduit la cinquième puissance mondiale, au beau milieu de la deuxième crise sanitaire majeure depuis la grippe espagnole (240 000 morts en France[2]), à être en rupture de stock de gel hydroalcoolique et surtout de masques.

L’externalisation répond presque toujours à un choix financier : elle coûte moins cher, et il est difficile de résister à un tel argument. Sauf que le raisonnement est faux à la base ; le volet financier n’est qu’un des aspects de la question de l’externalisation, qui en comporte sept :

• les aspects stratégiques ;
• les ressources humaines ;
• le projet opérationnel ;
• les aspects financiers, généralement les seuls à être pris en compte dans nos organisations modernes ;
• les aspects juridiques et contractuels ;
• l’intégration générale au reste du SI.
• et surtout la sécurité.

La sécurité, dernier aspect, relève de l’analyse de risques, que l’on parle de SI, de couches-culottes ou de porte-avions. L’expérience montre qu’il est faux d’affirmer que l’externalisation réduit les risques : en fait, l’externalisation déplace la matrice de risques, dont certains disparaissent ou sont atténués, mais d’autres apparaissent ou augmentent. Par exemple, en externalisant comme des dingues la production de PC en Chine, les DSI européennes se trouvent presque toutes en rupture de stock (risque qui n’existe pas quand on fabrique soi-même). Par exemple, en externalisant la fonction de gestion des rendez-vous chez Médicolib, c’est super, on fait des économies et on gagne des clients. Oui, jusqu’au jour où le PDG de Médicolib viendra vous voir en vous disant : « Combien vous me donnez pour mettre en tête de liste vos vacations médicales plutôt que celles de l’établissement d’en face ? » (Si vous trouvez que le scénario est alambiqué, sachez juste que si un idiot dans mon genre a eu cette idée, c’est que des pourris l’auront eue avant moi.)

Il y aura un après-crise Covid. Il faudra alors poser des questions qui fâchent, en plus de celle concernant l’approvisionnement en médicaments, en gel hydroalcoolique ou autre. Du genre : la cinquième puissance mondiale doit-elle accepter d’informatiser ses hôpitaux avec des DPI non français ? Avec des PC tous fabriqués en Chine ? Avec des antivirus donc aucun n’est français ? Avec des pare-feu dont 90 % sont américains ? Avec des systèmes d’exploitation PC sur lesquels on n’a pas la main ? En mettant dans le Cloud (américain) soumis à des lois extraterritoriales (américaines) des données stratégiques ?

Il faudra bien un jour mettre sur la table les questions d’investissement, de souveraineté de production, que ce soit dans le domaine des SIH ou ailleurs. 

[1] La liste est consultable sur https://1984.sh/covid19-domains-feed.txt

[2] https://fr.wikipedia.org/wiki/Grippe_espagnole#Bilan_humain