Il est politiquement incorrect de dire qu’en matière de cybersécurité, l’argent ne fait pas tout. Mais c’est pourtant le cas

Aborder un domaine, quel qu’il soit, sous le strict angle financier induit ce qu’Olivier Sibony, consultant, auteur et enseignant spécialisé dans la prise de décision stratégique, appelle un biais de raisonnement (stricto sensu il existe des tas de biais de raisonnement différents selon le cas d’usage, mais ce point demanderait un article à part entière, voire plusieurs). Ce biais est un raisonnement inversé qui consiste à penser que le problème est réglé une fois que l’on a posé un tas de billets (plus ou moins hauts) sur la table.

Rien n’est moins vrai : ci-après les travers les plus courants d’une approche « comptable » de la SSI, mais qui vaut aussi pour pas mal de biais différents (juridico-centré, politico-centré, etc.). Le lecteur trouvera, ci-dessous, un certain nombre de travers identifiés, expériences de terrain, qui tendent à démontrer que voir la cybersécurité par le seul prisme du carnet de chèque est au mieux inefficace, au pire idiot.

Absence de priorisation

Disposer d’un gros budget incite à la dépenser à tout prix dans les derniers gadgets au marketing bien léché. Cela clignote de partout mais souvent cela vous dit ce que vous savez déjà (voire cela vous raconte des trucs que vous ne savez même pas interpréter). Et je ne parle même pas de la charge de remédiation des trous de sécurité que le bazar va vous sortir du chapeau.

Dérive technologique

En corollaire du point précédent, les experts sont tentés d’acheter des logiciels ou matériels toujours plus complexes, alimentant une forme de course à la technologie dont l’efficacité est non démontrée à ce jour : le Titanic était à la pointe de son époque.

Problème de maturité organisationnelle

Un enfant marche à peu près entre 12 et 18 mois : ce n’est pas en lui promettant des bonbons à la guimauve qu’il ira plus vite. La maturité organisationnelle fait pour beaucoup dans la SSI, et elle ne se décrète pas avec un carnet de chèque : il y a des passages obligés.

Légèreté dans la définition des besoins, tendance maximaliste

Si l’argent n’est plus le critère limitant, on assiste à ce que les DSI déplore de leurs MOA, à savoir des besoins non définis et/ou une inflation dans l’expression des besoins qui conduit à des tours de Babel technologiques impossibles à déployer ou à gérer. C’est fou ce que même le Code des Marchés Publics n’évite pas comme dépenses inconsidérées.

Absence d’évaluation des produits, confiance aveugle

Corollaire du point précédent. Ils ne manquent pas les éditeurs qui vous promettent le dernier bidule qui va régler tous vos soucis. Il y a 5 ans c’était le M to M, maintenant ce sont des produits à base d’IA. Ben voyons ! On pourrait évacuer ce souci en respectant les phases de prototypage/maquettage, mais vous comprenez il faut vite mandater sinon les sousous sont perdus.

Authentique

Limite du paradigme du mois-homme. Dans son ouvrage célèbre des années 1970, « Le Mythe du mois-homme », Fred Brooks, feu ingénieur en logiciel, utilise l’image suivante, très parlante : il faut 9 mois à une femme pour faire un enfant, 9 femmes n’arriveront jamais à faire un enfant en 1 mois. L’adjonction inconsidérée de moyens (ici, financiers) n’améliore linéairement ni l’efficacité des organisations ni le temps de résolution d’un problème technique.

Absence d’évaluation des coûts directs ou indirects

Grand classique de la mauvaise gestion, on vient d’acheter le dernier gadget en version 3.0… Mais l’infrastructure n’est pas au bon niveau d’OS, le réseau pas dimensionné, de sorte que le truc reste dans un carton.

Absence d’évaluation des coûts humains de fonctionnement

Autre grand classique de la mauvaise gestion : pour faire fonctionner le bazar il faut des compétences, des bras et de la redondance de personnels que l’on n’a pas. Il ne viendrait à personne l’idée de construire un trimaran high tech pour le prochain Vendée Globe et de n’avoir aucun skipper formé sous la main : dans l’IT on fait cela tous les jours – acheter des machins très compliqués sans penser aux aspects humains, formation, etc.

Absence d’évaluation de l’impact sur les budgets d’exploitation

A force d’empiler des machins qui coûtent des sous (voire, pire, que l’on vous a donnés), le budget d’exploitation de cette ligne finit par exploser. Rien de pire d’ailleurs que les machins prétendument gratuits.

Biais de conformité ou expérience de Asch

Tout le monde se plaignant constamment du manque de sous, le premier qui minaude devant un tas de billets passe pour un crétin auprès de la communauté. Lire à ce sujet l’expérience de Asch.

Absence de recherche de solutions gratuites

Inutile de s’étendre, dans beaucoup de cas des solutions gratuites, mais limitées, permettent de régler parfois 80 % du besoin, dans la cybersécurité en tout cas. Je ne sais pas pourquoi, tout le monde trouve cela moins sexy dès que cela ne coûte rien.

Absence de schéma directeur

Quelle vision, a minima moyen terme, du schéma directeur SSI ? Par quoi commence-t-on ? Disposer d’une manne inattendue conduit à se comporter comme un épagneul à qui on lance 5 balles à la fois.

Anomalie d’inversion moyens / besoins

Ce biais est certainement le plus pernicieux. Si vous acceptez, mettons 100 000 euros, pour « sécuriser votre SI » sans autre précision sur l’expression de besoins, vous entérinez de facto que 100 000 euros suffisent pour réduire entièrement le risque. « Ah mais non » me direz-vous, jamais cela n’a été dit. Mais votre financeur, lui, le voit comme cela et au prochain gros incident SSI, vous en serez réduit à justifier pourquoi, avec autant de subsides, vous n’avez pas été capables d’éviter le sinistre.

Dans tous les manuels de gestion de projets, depuis les pyramides jusqu’à la Navette spatiale, il est précisé que d’abord on définit le besoin, ensuite seulement on chiffre les moyens. Procéder en sens inverse (obtenir des moyens et ensuite y faire rentre au chausse-pied les besoins) est un piège très subtil. Si vous ne savez pas qui sera le dindon de la farce, un indice : vous le voyez tous les matins dans la glace de la salle de bain.

Dans une vidéo très intéressante du Washington Post, on voit la progression des coûts des systèmes de santé des principaux pays occidentaux, ainsi que l’évolution de l’espérance de vie. Selon ce critère, le système le plus cher (américain) est aussi le pire. Preuve de l’absence totale de corrélation entre l’argent que l’on met sur la table et le service rendu.

Et vous savez ce qui est le pire ? C’est que la plupart du temps, mes interlocuteurs sont en phase avec tout ce que je viens de dire… Et accourent ventre à terre comme De Funès dans « La Folie des grandeurs » quand il entend le tintement des pièces de monnaies dans un saladier en argent.

Cédric Cartau est RSSI/DPO du CHU de Nantes et vice-président de l’APSSIS

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.