Bien que n’ayant pas encore achevé la rédaction de ma thèse (mais cela approche, heureusement !) l’actualité me pousse à rédiger un billet tant qu’il en est temps : espérons que le corona ne s’appesantira pas, et que la vie reprendra son cours paisible.
Ayant été frappé par les similarités entre le monde réel et le monde cyber à l’occasion de cette épidémie, je vous propose d’en faire un petit tour, non exhaustif.
Inattribution
Le principe d’inattribution est classique dans le cyber espace. Ce que l’on croyait limité à un monde virtuel est en fait tout autant observable dans le monde réel : la recherche du patient zéro est compliquée, et nul doute que le pangolin fait un coupable bien commode, avec son air mignon tout plein et son incapacité à nier les faits. Si l’attribution peut parfois relever de la science-fiction, on constate que la détermination de l’origine de l’épidémie fait, pour les Chinois, l’objet d’un processus tout autant politique que pour les cyberattaques. Après le pangolin fautif, viennent les USA.
Coût
Autre parallèle, le coût. Investir dans la cybersécurité coûte cher, on n’est pas sûr que cela servira, et c’est pareil pour la santé. L’hôpital coûte cher. C’est un peu comme l’assurance, et c’est quand on en a besoin qu’on pleure sur sa radinerie (ou son inconscience) passée. Mais il est vrai qu’il y a mieux à faire que d’acheter du matériel, de payer du personnel, et de réfléchir à une doctrine d’emploi en cas de problème. Que de soucis ! Inutiles ? Pas sûr.
L’humain
Il est au cœur des soucis, aussi bien pour le cyber que pour le corona. Pour ce dernier, le président l’a d’ailleurs dit dans son discours ( l’urgence est de protéger nos compatriotes les plus vulnérables). Et c’est vrai, il n’y a qu’à lire les journaux, tous se désolent du coût humain potentiel de l’épidémie et font passer au second plan les conséquences économiques et financières. Ou pas. Mais l’humain prime, rassurons-nous !
Étonnamment, tant dans le cyber que dans le monde réel, on ne se souvient de la personne et de sa responsabilité que lorsque tout va mal. Ainsi, une cyberattaque, c’est de la faute de l’utilisateur qui n’a pas pris les précautions suffisantes. S’il y a un problème entre le clavier et l’écran, c’est l’utilisateur, jamais le développeur. De même pour le corona, s’il se développe, c’est que les citoyens ne respectent pas les consignes. Qu’importe qu’au début on ait dit que ce n’était qu’une gripounette qui n’effrayait que les mauviettes. Et qu’importe que malgré l’interdiction des rassemblements de plus de 100 personnes, les supporters du PSG se soient massés au pied du Parc. Reconnaissons que la PP a été efficace, aucun supporter en jaune du Borussia Dortmund n’a participé à un rassemblement, sûrement une question de couleur 😉
La communication
Avec le corona, comme avec une cyber attaque, la communication est décalée, voire catastrophique. On minimise d’abord (l’effet Tchernobyl), puis on moralise en culpabilisant l’utilisateur qui n’a pas été assez attentif pendant les séances de sensibilisation parce qu’on ne sait pas quoi faire, et une fois la crise passée on oublie et on repart dans des « années folles », tout heureux d’avoir personnellement échappé à la catastrophe.
On appelle aussi à l’union sacrée pour combattre la menace qu’en tant que chef on aurait dû anticiper (mais on ne peut tout faire en même temps, non ?) et, paradoxalement, on demande de faire confiance. Mais peut-on faire confiance à des personnes qui ne nous font, en temps ordinaire, pas confiance ? Ah, et on ne tire pas de leçons des voisins, car s’ils étaient moins stupides, ils ne seraient pas là où ils en sont.
La complexité du réseau
Lors d’un colloque il y a peu, alors qu’un orateur expliquait que les systèmes numériques étaient de plus en plus complexes, mais que leur complexité demeurait admissible, je l’interpellai en lui demandant si nous n’atteindrions pas un jour un niveau de complexité tel que plus personne n’y comprendrait rien. Que nenni fut sa réponse, la complexité reste maîtrisable grâce à nos cerveaux de pointe. Et voilà qu’un pangolin tout mignon met le doigt sur la faiblesse de la complexité ! Que le réseau des approvisionnements est menacé, idem pour l’économie et la finance mondiales tellement imbriquées que leur compréhension peut donner le vertige… Et qu’en plus, des cyberattaques viennent ajouter de la complexité à la complexité.
Le management
Dernier point, le management. Pourquoi en parler en dernier ? Parce que c’est l’apothéose !
Des dirigeants qui n’y connaissent rien se souviennent subitement qu’il existe des scientifiques ou spécialistes qui savent de quoi ils parlent. Chargés de remédier urgemment à la situation qui a dérapé, ils peuvent être accusés d’incompétence s’ils n’y arrivent pas. Mais que ne se sont-ils auparavant adjoint des scientifiques comme conseillers plutôt que de s’extasier devant BHL et consorts ? Subitement, on se souvient que le numérique existe et que c’est une bonne solution pour la continuité de l’activité. Mais pour que cette solution fonctionne, encore faut-il l’avoir préparée quelque peu. Prêcher le télé-travail n’est concrètement possible que s’il existe des liens de bonne qualité, du matériel pour le faire, des logiciels adaptés et des procédures claires pour limiter les incidents de sécurité. Manager avec le numérique ne s’improvise pas, car le numérique c’est pas magique (tiens, ça ressemble aux antibiotiques c’est pas automatique). Il faut d’abord informatiser l’organisation, puis la numériser. Mais ça prend du temps.
Et peut-on accorder sa confiance à des dirigeants qui ne respectent pas les consignes qu’ils donnent alors que tout le monde doit les appliquer strictement dans le cadre de l’union sacrée ? Peut-on leur faire confiance quand ils ne font appliquer les lois iu consignes que lorsque cela les arrange ?
Ce qui est vraisemblablement le plus rageant c’est que, quoi qu’ils en disent, les dirigeants n’apprennent pas de leurs erreurs. Car ils ne les reconnaissent pas. On va nous dire qu’il y aura un avant covid et un après covid. Pas de panique, il y a déjà eu un avant et un après Stuxnet, Petya, notPetya, TV5 monde, etc. Donc rien ne changera. Dans le monde réel, il y a déjà eu H1N1, et nous sommes tout autant désemparés. Les appels à l’union sacrée et la confiance n’y font pas grand chose lorsque la confiance s’est (pour le moins) distendue.
Conclusion
Il semble que, même pour la remédiation, cyber et réel soient encore liés. Car dans les cas d’infection informatique, il est recommandé de confiner les lieux, s’isoler du réseau et avoir une communication transparente pour que les mêmes causes ne produisent pas les mêmes effets. Et il semble que Taïwan s’en sorte pas mal en ayant aussi appliqué ces consignes…
]]>