Management cyber : le Check comme élément de différenciation

A priori, peu d’éléments communs existent entre ces trois domaines : l’affaire Orpea, qui a fait suite à la publication de l’ouvrage Les Fossoyeurs, désigne des soupçons de maltraitance dans le secteur des Éhpad, les fraudes fiscales ou sociales font l’actualité à chaque fois qu’un gouvernement doit racler les fonds de tiroir, quant à l’Éducation nationale, pourquoi avant 2012 ?

La réponse est : l’absence de Check, ou de contrôle dans la terminologie Deming qui mentionne quatre axes, les fameux Plan/Do/Check/Act. Pour ce qui concerne l’affaire Orpea, au centre de la polémique se trouvent les dysfonctionnements potentiels des organismes de contrôle qui auraient pu/dû dépister les anomalies (l’affaire est en instruction, il n’est pas du ressort du présent article de porter un jugement sur le fond). Pour la fraude fiscale et sociale, il s’agit d’une absence de culture du contrôle pointée par certains observateurs ou acteurs, tel ce magistrat (Charles Prat) qui faisait récemment référence à ces milliers de « faux centenaires » ou à ces couples qui ont déclaré plus de 1 000 naissances (authentique). Enfin, pour ce qui est de l’Éducation Nationale, le discours officiel a longtemps fait valoir que nous disposions d’un système d’excellence, jusqu’au jour où la France s’est confrontée au test Pisa qui l’a classée au fin fond de la hiérarchie de l’OCDE.

Il est facile de se croire bon, de se prétendre bon, ou tout simplement d’affirmer avoir fait le job quand on n’est évalué par rien ni personne. Les démarches Qualité dans les établissements de santé au tout début des années 2000, quoi que l’on en dise, auront eu le mérite de pointer du doigt des dysfonctionnements qui, sans relever de la malveillance (c’est rarement le cas) n’intéressaient clairement pas grand monde, jusqu’au jour où un organisme externe venait vous taper sur l’épaule pour que vous stoppiez les mauvaises pratiques. Idem pour la certification des comptes.

À lire aussi : En direct de l’APSSIS – Sécurité informatique : le nombre d’attaques en baisse depuis le début de l’année

Récemment, je suis tombé sur un cas tout ce qu’il y a de plus courant : un fournisseur, en l’occurrence un fabricant de Firewall (par politesse je tairai son nom). Imaginez la scène : on vous présente le dernier produit qui dit papa-maman et clignote comme un arbre de Noël, avec des modules en veux-tu en voilà, qui pour filtrer la couche 7 du modèle OSI, qui pour des systèmes de détection « basés sur du machine learning et des algorithmes IA heuristiques de niveau 3 à base de tenseurs et de courbes elliptiques » (ce qui ne veut rien dire, j’invente en même temps que j’écris, mais ça jette grave quand même), qui pour des fonctions IDS, etc. Et là, à un moment donné, Kévin l’avant-vente (donc le type supposé connaître le produit et les attentes des clients) vous explique que le machin fait de la conformité (on verra plus tard si tu sais ce que cela veut dire mon petit Kévin) et que les filtres URL bloquent les connexions vers les serveurs C2 (les serveurs de relais de commande des réseaux d’attaque DDoS pour les intimes).

Sauf que tout de go on lui demande si le FW peut produire des états ou statistiques permettant justement de vérifier le blocage des C2. Et là, Kévin vous regarde avec des yeux ronds : « Ben, y a les filtres qui bloquent, ça sert à quoi de vérifier, le machin dispose de la fonction, hein ? » Bon alors là, mon petit Kévin, on part de loin. On va reprendre à la base parce que manifestement, Conformité, t’as pas encore pigé. J’imagine la tête du commissaire aux comptes à qui on répondrait : « Ben quoi, on vérifie les comptes, ils sont bons, pas besoin de revérifier derrière ! » J’imagine les inspecteurs HAS à qui on répondrait : « Ben non, y a pas de blème, la fiche de bloc est toujours remplie, comme les indicateurs Ipaqss-bidule, on vérifie, pas besoin de contrôler à nouveau, hein ? »

Il n’y a pas de délégation sans contrôle, il n’y a pas de fonction technique sans contrôle, de processus sans contrôle. C’est cela la conformité mon petit Kévin. Si le machin LE fait, alors ce « LE » peut être contrôlé, parce que la nature est ainsi faite que le machin est forcément imparfait, sujet à bug, à erreur d’implémentation, de paramétrage, et j’en passe. Dans mon exemple ci-dessus, le petit Kévin en est resté au temps de l’informatique à papa, où la débauche de technologie suffisait à vendre le bazar. Chez ses concurrents, il y a des brochettes de petits Kévin qui passent leur temps à dire que leurs concurrents sont des brêles et qu’ils ont EUX le produit miracle – travers couramment rencontré chez les fournisseurs de solutions antimalwares du reste, qui ont la fâcheuse tendance à comparer la version Full toutes options de leur produit avec celle en mode Freeware avec trois mois d’essai de leurs compétiteurs, c’en est risible.

Le contrôle, ou Check, ce n’est pas une fonction mais un processus, et il faut l’outiller. Le plus beau FW du monde sans fonctions de contrôle embarquées ne vaut pas tripette car je suis obligé de lui vouer une confiance aveugle – et je suis justement payé pour l’inverse. À titre personnel, je préfère largement la version de base, mais qui me permet de mettre en place des audits automatisés, des rapports multiparamètres, pour implémenter les fonctions de contrôle. Il va falloir expliquer à tous les Kévin que le centre de gravité est en train de se déplacer : ce n’est plus « le module de stats/contrôle est en option », mais « le module de stats/contrôle est de base, tout le reste gravite autour ».

La prochaine fois que vous avez en face de vous un vendeur de quincaillerie améliorée, posez-lui juste la question de l’existence d’une fonction de contrôle. Et voyez si son niveau de réponse consiste à plus de quincaillerie ou s’il a compris le concept de conformité, de contrôle et de processus. Une bonne façon de « darwiniser » les relations d’avant-vente, je trouve.