Vous êtes dans : Accueil > Tribunes libres >

Comme un entomologiste

Cédric Cartau , MARDI 17 MAI 2022

Quand vous avez le blues, un coup de mou ou plus aucune foi en l’humanité, je vous conseille vivement de vous tourner vers ce monument de la culture occidentale : les épisodes de la série Scooby-Doo (que les vieux dans mon genre qui ont passé des heures devant Les Visiteurs du mercrediconnaissent sous son nom francisé « Scoubidou »). Je préviens tout de suite : on ne critique pas. Sa première apparition date de 1969 et la franchise est toujours active de nos jours. Le site Wikipédia lui consacre pas moins de 28 pages et comptabilise des dizaines d’épisodes, de films d’animation, de versions cinéma avec personnages humains ; la série est tellement célèbre que plusieurs acteurs américains de renom ont accepté de prêter leur voix aux personnages. Si ça, ce n’est pas une référence…

Quand on est gamin, on est fasciné par le script de chaque épisode, mais à la longue on trouve un intérêt ailleurs : c’est toujours la même chose, et c’est ce qui est drôle. Un épisode débute toujours dans un environnement glauque à souhait, genre un marais brumeux, un château hanté, une baraque isolée au milieu des bois, un village désaffecté – et bien entendu toujours la nuit. Il y a toujours des personnages (le majordome en général, ou un notaire) avec une tête d’outre-tombe. Au moment de commencer l’enquête, le petit groupe de personnages se sépare en deux : Daphné, Véra et Fred d’un côté, Sammy et Scoubidou de l’autre. Et c’est immanquablement Sammy et Scoubi qui tombent sur le monstre/fantôme/revenant avant de le ficeler comme un saucisson. Toujours les mêmes recettes, toujours réussies, et on se surprend à jouer les entomologistes, à observer à chaque fois la mise en place de toutes les pièces de l’histoire.

La fonction de RSSI est un peu comparable. Bon, ne soyons pas bégueules, pas mal de dossiers se passent bien, dans le sens où le RSSI peut jouer son rôle d’analyse et de conseil (conseils qui seront suivis ou pas, mais c’est un autre débat, le RSSI n’est de toute manière pas comptable des risques) et, globalement, de plus en plus de personnes jouent le jeu d’intégrer plus ou moins en amont la sécurité dans les projets. OK, on n’est pas à 100 %, mais on part de loin : que les anciens se souviennent de l’état des choses il y a dix ans à peine (on ne va donc parler que des trains qui arrivent en retard, et qui ne sont pas les plus nombreux, la précision s’impose).

Mais des dérapages se produisent parfois. Le cas typique, c’est le Shadow IT, qui a certes toujours existé, mais qui se heurte à deux ennuis assez récents somme toute : l’interopérabilité (il est de plus en plus rare qu’un SI externe fonctionne sans lien avec le SI interne) et les contraintes réglementaires (merci le RGPD). C’est au moment de retourner à l’étable que le contrevenant se rend compte des contraintes qu’à aucun moment il n’a évaluées. J’adore ceux qui déposent sur mon bureau une annexe RGPD, la plupart du temps écrite ou bâclée par le fournisseur lui-même : ben oui, je suis tellement balèze que je vais faire de la rétro-ingénierie fonctionnelle et tout comprendre sur un dossier (qui souvent dure depuis des mois, voire des années) rien qu’en lisant un papelard qui dans 80 % des cas ne définit même pas la finalité du traitement (authentique). Bien entendu, le contrevenant vous jure la main sur le cœur qu’il ne savait pas, que ce serait bien si on pouvait lui donner le GO, que promis juré craché la prochaine fois il fera appel aux DSI/DPO/CIA/NSA/FSB (et j’en passe) dès le début. Mais non, la prochaine fois, tout se passera exactement comme dans Scoubidou : le même environnement glauque, les mêmes méchants, Scoubidou qui court après le monstre et tout le toutim.

Il y a bien entendu pas mal de scenarii du même tonneau : les projets régionaux pour lesquels le donneur d’ordre estime qu’il a juste financé, l’établissement chargé de la mise en œuvre considère qu’il n’est pas responsable de traitement (ben oui, il n’a pas défini la finalité), le fournisseur qui fait un dev à façon (qui terminera dans 90 % des cas aux oubliettes, mais j’arrête de le dire) sans avoir intégré dans son code les basiques SSI/RGPD. Un vrai régal.

Avec le temps, j’ai arrêté de m’énerver (je n’ai plus peur devant Scoubidou) et je prends plutôt le parti de m’étonner devant des scenarii qui sont immanquablement les mêmes quels que soient les efforts d’explication, de sensibilisation, d’anticipation que la DSI et le RSSI peuvent mettre en œuvre (si la sensibilisation était efficace, depuis 20 ans que les paquets de clopes mentionnent « Fumer tue », plus personne n’en achèterait). M’étonner, voire observer, presque fasciné, les mêmes trames se répéter, les mêmes plantages ou semi-plantages survenir, les mêmes personnes regarder le bout de leurs chaussures comme Sammy devant un frigo vide quand elles se rendent compte de la bourde.

Avec le temps encore, peut-être qu’un jour j’arriverai à identifier des patterns, des schémas standards qui alertent sur une prochaine bourde en devenir. Un coup de fil d’un fournisseur se réclamant d’un projet dont la DSI n’a jamais entendu parler ? Un flux de prise de main à distance sur un PC utilisateur sans raison valable ? Une facture pour un hébergement chez OVH d’un truc inconnu ? Peut-être que le RSSI v3.0 est celui qui, comme les serpents sentent les personnes arriver par la vibration du sol, sentira les emmerdes arriver en avance de phase par l’analyse de signaux faibles.

Je sens que les 15 prochaines années vont être rock’n roll, j’en salive d’avance.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé. 

#rssi#RGPD#sécurité#dsi