Vous êtes dans : Accueil > Tribunes libres >

Covid-19 et biais cognitif, quelles leçons pour la sécurité des SI ?

Cédric Cartau, MARDI 07 AVRIL 2020

Je laisserai à d’autres la question de savoir quelles sont les responsabilités politiques dans la crise actuelle du Covid-19 – et surtout de quelle mandature –, intéressons-nous plutôt aux dysfonctionnements qui ont mené à une telle situation, afin d’en comprendre certains mécanismes qui sont totalement reproductibles dans le domaine des SIH. Analyse de la situation selon le prisme des biais cognitifs.

Le premier biais est celui que les Anglo-Saxons nomment « here and now », autrement dit le biais de localisation : on ne perçoit que ce qui est proche, que ce soit dans le temps ou dans l’espace. Ce qui frappe lorsque l’on parcourt les pages de Culturama[1] (ouvrage qui procède par analyse de la fréquence d’apparition des mots dans la presse mondiale[2]), c’est la rapidité avec laquelle certains personnages autrefois célébrissimes tombent dans l’oubli. Si tout le monde sait qui était Darwin, combien se souviennent de Wallace, considéré pourtant à l’époque comme le codécouvreur de la théorie de l’évolution ?

Les Occidentaux ont perdu leur capacité à lutter contre les épidémies car la toute dernière (la grippe asiatique, qui fit 30 000 morts en France) date de 1969, soit une génération. Notre capacité à maintenir un dispositif efficace contre les incendies date du Moyen Âge, mais faute de combat notre vigilance s’émousse : il suffit d’écouter l’excellent podcastSuperfaildédié à l’incendie de Notre-Dame pour se rendre compte qu’une routine dangereuse peut s’installer extrêmement vite. Il aura fallu attendre les inondations meurtrières de la tempête Xynthia (février 2010) pour que toutes les communes du littoral se dotent d’un PPRL[3] (alors que La Faute-sur-Mer, la commune la plus sinistrée, a connu au moins trois épisodes équivalents au cours du xx^e siècle[4]). Actuellement, la situation des hôpitaux en termes de niveau de protection face aux cryptolockers est mauvaise. À l’exception notable du CHU de Rouen, aucun sinistre majeur n’a été à déplorer, de nature à conduire à un plan étatique comme cela a pu être le cas pour le plan Vigipirate. Un événement récent ou régulier participe au maintien d’un dispositif : après le Covid, il est à parier que les stocks stratégiques de masques seront reconstitués – alors que les stocks stratégiques de carburant (environ trois mois de fonctionnement) n’ont jamais été démantelés (malgré deux crises pétrolières et plusieurs grèves avec blocage de raffineries).

Le second biais est celui qui a été mis en évidence par la célèbre expérience de Asch[5], qui consiste à démontrer le pouvoir du conformisme. Dans l’expérience, on demande à un groupe si deux lignes projetées à l’écran sont de même longueur (et elles ne le sont visiblement pas) : la quasi-totalité des « sujets » (qui sont complices de l’expérience) répondent que oui, et le dernier participant (qui est le seul véritablement testé, mais qui ne le sait pas) suit l’avis de la majorité dans plus de 37 % des cas. Il est très difficile d’être la seule voix dissonante d’un groupe sans courir le risque d’exclusion, ce qui dans certains milieux signifie la mort sociale – et je renvoie à la pyramide de Maslow, dont le troisième niveau correspond au besoin d’appartenance. La décision de confinement a été prise le 16 mars 2020, alors que l’OMS alertait sur le risque de pandémie mondiale dès la mi-janvier : posons-nous la question de savoir si une personne aurait pu soumettre l’idée du confinement début février (soit un mois et demi plus tôt) et comment la société l’aurait pris ? Ceux des DSI qui ont mis en place des restrictions d’accès à des outils informatiques en mode Cloud, pourtant très pratiques à l’usage mais dangereux en termes de conformité, savent de quoi je parle : il n’est jamais bon de jouer les Cassandre, et le conformisme plombe nos organisations modernes.

La question est donc : comment identifier tous les risques, comment maintenir en fonctionnement les dispositifs et les contre-mesures (y compris pour des risques sans aucune occurrence depuis des décennies) et comment remonter ces risques (et lesquels ?) à une direction générale ?

Qu’il s’agisse du Covid, de Xynthia ou des risques SSI, maintenir la « mémoire de l’organisation » pour lutter contre le biais de localisation décrit ci-dessus nécessite une personne (ou une équipe dédiée quand il s’agit d’une grosse structure tel un État), qui doit tenir à jour, capitaliser et surtout revoir périodiquement la matrice des risques. Le laisser-aller (ou l’entropie) arrive particulièrement vite et devient particulièrement pernicieux, surtout quand le risque ne concerne pas le cœur de métier de l’organisation mais une de ses fonctions périphériques (souvent la logistique). Dans un gros hôpital qui possède ses propres cuisines, certains équipements (par exemple la mise des plateaux sous conditionnement étanche, opération indispensable avant la livraison sur site) n’existent qu’en un seul exemplaire : qui a évalué le risque de panne et les contre-mesures le cas échéant ? Nous faisons tous des exercices d’évacuation incendie, mais qui recourt à des exercices d’arrêt de tout ou partie du SI ?

Les hôpitaux sont plutôt bien préparés au risque d’attentat parce qu’il y a eu le Bataclan en 2015 et ceux qui se trouvent dans des zones inondables ont dû réfléchir à un plan de secours. Dans ces deux cas, on a tenté de mesurer l’efficacité du dispositif par des exercices ou des simulations, ce qui est absolument indispensable. Dans le domaine du SI, la mesure est quelquefois simple (arrêter tout ou partie d’un SI pour exercice), quelquefois compliqué (évaluer l’impact sur le fonctionnement des applications métiers dans le cas de la perte des serveurs de fichiers suite à un cryptolocker), mais ne pas mesurer, c’est être aveugle, et le pire risque n’est pas celui que l’on court, mais celui sur lequel nous n’avons aucune information, en particulier sur son impact.

Faut-il exiger d’un dirigeant d’avoir suivi une formation qualité/risques ? Si l’idée vous paraît saugrenue, sachez que si l’on avait annoncé à Louis XIV que la France serait dirigée un jour par un avocat ou un banquier, il vous aurait pris pour un illuminé. Pour contourner les freins du conformisme, faut-il exiger de restaurer la fonction de bouffon au plus haut niveau de l’État (je rappelle que les bouffons avaient justement le droit de dire ce que les autres membres de la cour ne pouvaient même pas suggérer) ? Ou faut-il tout simplement dédier une fonction à l’identification des risques transversaux ? Pour l’affaire du Mediator ou celle des prothèses PIP, il y a eu à chaque fois des lanceurs d’alerte, mais le processus de remontée a été défaillant : nous disposions des données, mais personne n’a pris la peine de remonter les informations dans les strates supérieures, ou alors ces strates ont été sourdes. Identifier et remonter les risques SI est une vraie question, et en particulier ce que je nomme les risques de type « Armageddon » (que Taleb qualifie de « cygnes noirs[6] », à savoir probabilité infime mais impact infini). Dans le domaine des SI, une bonne partie des risques ne nécessite pas d’être remontée au board, à la différence de certains (ceux dont l’importance est telle que l’existence même de la structure serait en danger). La vraie question de l’articulation entre une direction générale et les spécialistes des risques – tout métier confondu – tourne autour de l’identification et de la remontée des cygnes noirs.

Le mode de gouvernance occidental est essentiellement axé sur l’élément financier, mais faire des économies sur le nombre de places dans les canots de sauvetage du Titanic a conduit à 1 500 morts. Plus il y a de technologies, plus il y a de risques (et plus en apparaissent de nouveaux), et plus les impacts sont importants. Cette crise doit donner l’opportunité de revoir ce mode global de fonctionnement, ce qui me semble être une problématique de société absolument majeure.

[1] Culturama, Erez Aiden et Jean-Baptiste Michel, Robert Laffont, 2015.

[2] Voir l’outil ici : https://books.google.com/ngrams

[3] PPRL : Plan de prévention des risques littoraux.

[4] https://fr.wikipedia.org/wiki/La_Faute-sur-Mer

[5] https://fr.wikipedia.org/wiki/Expérience_de_Asch

[6] https://fr.wikipedia.org/wiki/Théorie_du_cygne_noir

#sécurité#sih