Le triste état de la sûreté
Il y a presque cinq ans de cela, un billet de ce blog déplorait le triste état de l’IE. Que dire de celui de la sûreté, après les récentes affaires qui l’ont montrée en grande difficulté ? Il y eut récemment une fuite massive de données à l’ANTS qui a fait réagir le premier ministre, lequel déplore la réalisation d’un casse du siècle tous les 3 jours ! Dans le cas de l’ANTS, il faut donc se garder de l’extérieur. Mais à propos de casse du siècle, le Louvre qui avait déjà connu l’épisode doudou crosse bitume, voit maintenant le mauvais contrôle de sa billetterie faire l’objet d’une information judiciaire. Le préjudice serait d’une dizaine de millions d’euros et impliquerait 6 employés. S’il faut se garder de l’extérieur, il faut donc se garder également de l’intérieur. Lorsqu’on observe les opérations dans le détroit d’Ormuz, on constate que la technologie ne fait pas tout. Ce qui est rappelé par un récent article du Parisien illustrant qu’il faut se garder de déléguer les décisions à de la technique ou à l’IA. Enfin, la rave party qui a eu lieu sur un terrain militaire près de Bourges montre que l’État garde bien mal son patrimoine.
Une impréparation générale
Lorsqu’un incident de sécurité a lieu, il est d’usage de blâmer le citoyen qui n’a pas été assez sensibilisé, ne s’est pas assez préparé, etc. C’est le cas général des fuites de données à propos desquelles il est rabâché que chacun doit protéger ses données. Mais lorsque France Titres (ex ANTS dont l’URL est toujours ANTS, allez savoir…) perd les données des citoyens qui doivent les lui fournir, alors qu’elle est censée les protéger, que faire ? Et dire qu’il existe une autre agence d’État, l’ANSSI qui doit veiller, si sa dénomination est correcte, à la sécurité des systèmes d’information. Elle a œuvré, et visiblement très bien, pour réparer le piratage de TV5 Monde, alors comment se fait-il que l’ANTS n’ait pas (assez) fait appel à ses services de manière préventive ?
N’épiloguons pas sur l’impréparation du musée du Louvre, surpris par un casse déjà imaginé par Fantômette, un billet lui a été consacré (cf. supra), et les auditions parlementaires ont montré que, malgré l’habileté rhétorique de sa présidente, le musée le plus célèbre du monde n’avait pas anticipé grand chose. Pourtant, des films relatifs aux casses dans les musées sont légion. Faut-il manquer d’imagination et de culture à ce point pour diriger un tel musée ? Quant aux problèmes de billetterie, il est étonnant qu’une comparaison entre le nombre de billets vendus et le nombre de personnes franchissant les portiques d’entrée et de sortie n’ait pas été effectué plus tôt.
L’invasion du terrain militaire par des « fêtards » montre que la sûreté se nourrit du renseignement. Le négliger, c’est s’exposer, donc se fragiliser. Arguer du fait que l’État a beaucoup d’emprises et qu’il est difficile de les surveiller est un sophisme grossier. On ne protège bien que ce que l’on connait, et pour protéger son patrimoine, il faut s’en donner les moyens. On peut aussi espérer un miracle, mais sa réalisation n’est jamais certaine. Plutôt que de l’attendre, il est préférable de se fier à saint Matthieu qui écrivait déjà il y a environ 2000 ans : Comprenez-le bien : si le maître de maison avait su à quelle heure de la nuit le voleur viendrait, il aurait veillé et n’aurait pas laissé percer le mur de sa maison.
Quant à l’article du Parisien qui raconte la mésaventure d’une conductrice contrôlée positive à la cocaïne, aux amphétamines et aux opiacées (à 80 ans, quelle volonté !), il narre également le fait que la contre expertise était négative. Comment est-ce possible ? Au bout de plusieurs jours d’attente, le résultat tombe : négatif. Le premier test était donc bien erroné. À la gendarmerie, on lui explique simplement que « 10 % de ces tests peuvent être faux ». Que s’apelerio le faux positif et qui montre l’intérêt de s’intéresser aux valeurs de la matrice de confusion.
Ces exemples nous montrent que la sûreté n’est pas magique, n’est pas ésotérique, n’est pas dramatique, mais qu’elle est scientifique, pratique, politique, critique, philosophique, logique. Peut-être sera-t-elle un jour stratégique, mais pour cela il faudrait qu’elle surmonte le désintérêt général des dirigeants d’entreprise.
Qui procède d’un désintérêt général
Les commissions d’enquête parlementaire où les personnes entendues prêtent auparavant serment et disent forcément la vérité ont fait beaucoup jaser. Prêter serment n’est cependant pas exclusif des commissions parlementaires. C’est aussi le cas lors d’un procès, et lorsque le président de Lafarge déclare qu’il n’était pas au courant de ce que faisait sa filiale en Syrie, alors même que la guerre entre factions rivales s’y poursuivait, cela montre (puisqu’il est sous serment et dit la vérité), que le sujet ne l’intéresse pas. Ou qu’il n’était pas au courant qu’il avait une filiale dans un pays en pleine guerre. Ou peut-être les deux. Ce qui précise les fameux propos de G. Roux de Bézieux déjà cités dans deux précédents billets (vidéo ici, voir à 15’30 environ) : les patrons sont conscients de l’importance de la sûreté, mais cela coûte cher et cela ne rapporte pas. L’exemple de Lafarge montre que, si elle coûte cher avant, sa négligence coûte encore plus cher après : six ans de prison avec mandat de dépôt, une amende de 225 000 euros et une interdiction de diriger une entreprise pendant dix ans ont été requis à l’encontre de Bruno Lafont, ex-président de Lafarge. Ne pas définir de stratégie de sûreté, ça rapporte, mais pas ce qui était espéré.
Le désintérêt envers la sûreté conduit alors l’organisation (l’entreprise, l’État, etc.) à adopter une posture essentiellement réactive, ce qui revient à accepter de ne pas avoir l’initiative, et donc de se laisser dicter le tempo des affaires par ses agresseurs. Si la sûreté n’est pas stratégique, il est cependant étonnant que les chefs d’entreprises et chefs d’État soient suffisamment peu stratèges pour ne pas prendre en compte ce type de conséquence. Pourtant, déjà en 1959, le film Le Bossu expliquait que parfois, des événements non sollicités arrivent.
C’est, toutes proportions gardées, ce qui est arrivé à France Titres qui, si l’on en croit les sachants, a laissé une porte grande ouverte en espérant que personne ne la remarquerait. Alors, pour garder bonne figure, les Russes ont été accusés, mais la réalité montre que l’auteur, adolescent de 15 ans ne s’appellait ni Igor, ni Vladimir, ni même Sergeï. Accuser les Russes, c’est montrer qu’on ne comprend pas ce dont il s’agit et qu’on cherche un bouc émissaire commode et d’autant plus crédible qu’on ne cesse de dire qu’il serait responsable des malheurs du monde. De plus, dégainer des mesures immédiatement, c’est reconnaitre qu’on n’a pas voulu les prendre auparavant, qu’elles n’ont pas été étudiées sérieusement (notamment leur impact), et que, plus généralement, la sûreté n’est pas prise au sérieux.
Ce désintérêt général est prouvé par la pauvreté des réflexions menées sur la sûreté. Qui réfléchit, à part en cercle restreint, à ce qu’elle n’est pas, ce qu’elle apporte au business, etc., et en diffuse les résultats ? Le plus souvent, la sûreté parle de sûreté à la sûreté, se complaisant dans un agréable entre-soi alors que la forensique par exemple, n’a pas peur du débat et a su créer une communauté épistémique.
Alors que la souveraineté est un sujet d’actualité, peut-on rester souverain en négligeant sa sûreté ?
Remèdes
Que faire alors ? Des remèdes et recommandations ont déjà été proposés, mais la profession, par l’intermédiaire de ses associations professionnelles les plus renommées, n’en a cure, telle la personne ayant sauté du 50° étage de la tour Montparnasse déclarant en croisant le 40° : jusqu’ici, tout va bien. Les charmes de l’entre-soi sont bien plus agréables que l’acceptation de la contradiction, mais les délices de Capoue n’ont pas précédé une éclatante victoire d’Hannibal.
Il faut donc s’intéresser à la sûreté, l’apprendre et la pratiquer. Après tout, on ne devient pas bilingue sans s’intéresser à la langue en question, ni champion olympique du 100 mètres à la surprise générale. Une piste intéressante serait de l’intégrer dans le cursus honorum des dirigeants, mais nous sommes ici confrontés à un cercle vicieux : elle le sera lorsqu’elle sera prise au sérieux, mais tant qu’elle n’est pas prise au sérieux, elle ne figurera jamais dans le cursus honorum d’un grand patron. Peut-être faudrait-il prendre le mal à la racine et intégrer un enseignement de la sûreté dans le programme des écoles de commerce et d’ingénieurs. Encore faudrait-il pour cela la présenter de manière attractive, ce qui est hélas encore loin d’être le cas.
Le travail ne manque pas, mais peu nombreux sont ceux qui s’attèlent à la tâche.