|
Monsieur le Président-directeur général,
Vous m'avez dit que l'affaire de la Société
Générale vous tracassait. Elle a révélé la fragilité d'une entreprise des plus
solides et vous vous demandez si votre propre entreprise ne serait pas fragile,
elle aussi.
Vous avez raison, je vais vous dire
pourquoi. Mais notons d'abord que l'insécurité est aujourd'hui présente jusque
dans les endroits où l'on s'attendrait le moins à la rencontrer : dans la
gestion de l'arsenal nucléaire américain, par exemple. Depuis la fin de la
guerre froide il a perdu de son utilité stratégique et une négligence périlleuse
s'est installée.
Des équipements électroniques pour les têtes
de missiles balistiques ont ainsi été envoyés à Taïwan au lieu de batteries pour
hélicoptères, un bombardier B-52 a survolé les Etats-Unis en portant six
missiles de croisière nucléaires armés. Pour rappeler les responsables à
l'ordre Robert Gates, secrétaire américain à la défense, a viré le
secrétaire chargé de l’armée de l’air et le chef d’état-major de cette arme
(Thom Shanker, « 2 Leaders Ousted From Air Force in Atomic Errors », The New
York Times, 6 juin 2008).
J’ai pensé à vous en lisant cet article car
vous avez vous aussi entre vos mains un arsenal nucléaire que vous gérez avec
une négligence coupable. Cet arsenal, c’est votre système d’information : il
peut faire exploser votre entreprise à tout moment.
Certes, vous n’ignorez pas son importance.
Chaque fois que vous me faites l’honneur de me convier à discuter vous me dites
qu’il est stratégique. Mais vous ne suivez pas les choses
d’assez près.
* *
Votre SI, en effet, ressemble à un système
d’information comme le nœud de vache ressemble à un nœud plat : l’apparence est
la même mais seul le second est efficace.
 
Nœud
de vache
Nœud plat
(NB : pour les lecteurs qui utilisent
Internet Explorer l'ordre des deux images est inversé ; ceux qui utilisent
Mozilla Firefox les voient dans le bon ordre. Ce sont les mystères de
l'informatique).
Vous pensez que j'exagère ? Je parle parfois avec des personnes
de votre entreprise et ce qu’elles disent fait se dresser les cheveux sur ma
tête. Sans doute ne rencontrez-vous jamais ces personnes-là, ou bien elles
n’osent pas vous dire ce qui se passe : au PDG, on ne parle pas de questions
techniques. Hélas, ici la technique est nucléaire…
Personne, m’a-t-on dit ainsi, ne sait chez
vous maîtriser les automates qui assurent à toute vitesse le back-office
de votre salle de marché ou qui assistent vos traders : l’empilage des
outils informatiques est devenu très compliqué et votre entreprise n’a pas mis
en place la supervision qui permettrait de le contrôler. Il est ainsi possible,
si une bogue suscite une avalanche d’ordres malencontreux, que votre entreprise
se trouve ruinée en l’intervalle de cinq minutes. Un Jérôme Kerviel n’est rien
comparé à un automate en folie !
Mais peut-être douterez vous de ce que je
dis puisque je n’ai pas eu l’occasion d’examiner de près cet empilage
informatique. Alors je vais vous dire une chose encore pire : dans votre
entreprise, on ne sait pas gérer les habilitations des utilisateurs du
SI, ces droits d’écriture, lecture et traitement dans les bases de données et
applications qui sont accordés à chacun.
Lorsqu’une personne nouvelle arrive –
salarié, stagiaire, consultant – on lui attribue les droits nécessaires pour
qu’elle commence à travailler. Dans le cours de son travail, et en tant que de
besoin, on lui en donnera d’autres. Mais ces droits-là ne sont enregistrés nulle
part. Quand cette personne change de poste ou quitte l’entreprise on devrait
supprimer tous ses droits mais, comme on n’en connaît pas la liste, on lui en
laissera en fait beaucoup.
Ainsi le salarié qui a changé de poste
conservera certains des droits liés à son ancienne fonction. Il en sera de même
du stagiaire, du consultant, qui ont quitté votre entreprise et qui pourront,
utilisant les accès à distance qu'elle autorise, entrer dans son SI pour y faire
ce qui leur chante.
Vous ne me croyez pas ? Attendez, ce n’est
pas fini. Un de mes étudiants a été stagiaire chez vous. Il venait au bureau
avec son ordinateur portable, et pouvait y copier à loisir vos bases de données.
Vous avez de la chance : ce garçon est honnête comme 90 % des gens. Mais s’il
était malhonnête il pourrait vous jouer de bien sales tours.
* *
Votre entreprise a la réputation d’être
high tech, comme on dit, et en outre elle commercialise un service de
sécurité qu’elle offre à d’autres entreprises. Quand on sait où en est sa propre
sécurité, cela donne envie de rire !
50 % des délits informatiques sont commis
par des personnes de l’entreprise qui trouvent, dans le SI, de quoi s’enrichir
ou satisfaire un désir de nuire (voir Enjeux de
la sécurité du SI). Mais celui qui s’amuse à démolir une base de données
pourra, selon ce qu’il détruit, éventuellement tuer votre entreprise.
Voilà à quoi vous vous exposez en laissant
ouverte la porte de votre SI. Ne vous cachez pas derrière le DSI ni le DG : si
votre entreprise crève, Monsieur le Président-directeur général, vous serez jugé
responsable. Regardez ce qui est arrivé à Daniel Bouton, qui pourtant n’est pas
un incapable.
* *
Je vais, pour enfoncer un peu plus votre nez
dans votre… soupe, décrire une autre source d'incidents. Votre entreprise héberge une armée
de consultants. Elle a géré les ressources humaines de la DSI de telle sorte que
presque tous vos informaticiens sont devenus de purs gestionnaires de contrats :
tous les développements, toute la maintenance, sont faits par des SSII.
Ce sont donc des consultants qui réalisent
les nouveaux produits, produisent la documentation, écrivent le code, le
testent, l’installent etc. On leur donne bien sûr des droits de lecture,
écriture, traitement, ce qui implique qu’ils aient aussi le droit d’effacer ce
qui doit l’être. Ce dernier droit, sachez-le, ils s’en servent pour effacer la
documentation en fin de contrat : une fois qu'ils sont partis, votre entreprise
n’a plus aucun document sur leur produit ! S’il lui faut modifier un
paramétrage, elle devra de nouveau faire appel aux consultants puisqu’ils sont
les seuls qui sachent comment faire…
* *
Que dois-je faire, me direz-vous ? Eh bien
il faudrait que vous vous intéressiez de plus près à votre SI. Vous dites que
vous n’y connaissez pas grand-chose, que ce n’est pas votre métier d’origine ?
Je vous entends soupirer :
Ces choses-là sont rudes.
Il faut pour les comprendre avoir fait ses études
.
C’est en partie vrai mais en partie
seulement. Vous pourriez comprendre beaucoup de choses à condition d’utiliser
votre bon sens et d’exiger que l’on réponde à vos questions sans se cacher
derrière le jargon professionnel. Vous pouvez – cela ne vous ferait pas de mal –
lire quelques bons livres, je peux vous en indiquer une liste sélective et
suffisante. Je peux aussi vous indiquer de bons experts avec qui vous pourriez
utilement vous entretenir.
Ils vous diront que la gestion des
habilitations équivaut, pour un SI, aux fondations d’un immeuble. Ils diront
qu’il faut attribuer les droits automatiquement en fonction du « profil » qui
décrit les responsabilités de l’utilisateur, et gérer ces profils dans
l’annuaire électronique (voir Le SI de la gestion des
ressources humaines). C’est la solution conforme à l’état de l’art, elle est
parfaitement praticable. Il est effarant que votre entreprise ne la mette pas en
œuvre.
Ils vous indiqueront aussi les questions
qu’il convient de poser à votre DSI pour vérifier la solidité de votre SI :
outre la gestion des habilitations dont nous venons de parler, demandez-lui
donc :
- comment est géré le référentiel de l’entreprise (cela s’appelle
« administration des données »),
- comment sont identifiés les clients,
- comment sont assurées la cohérence de la relation multicanal avec les clients
et partenaires, l’interopérabilité avec les systèmes d’information de ces
derniers,
- où en sont l’urbanisation du SI, la modélisation des processus,
- s’il existe une enquête périodique de satisfaction auprès des utilisateurs du
SI,
- s’il existe des cas où les agents opérationnels doivent faire des doubles
saisies
.
Pointez les réponses, puis faites vérifier
les faits par un auditeur. S’il s’avère que le DSI n’était pas au courant de
certains d’entre eux, informez-le, demandez lui de monter les projets qui
consolideront votre SI, exigez qu'il vous fasse des comptes rendus…
* *
A quoi sert de tenir sur l’informatique tant
de discours savants, de se rengorger en invoquant la stratégie, si l’on ne se
soucie pas de ses fondations ?
Je suppose que si vous faisiez construire
une maison vous seriez attentif à la qualité de l’architecture. Vous n’aimeriez
pas, par exemple, que faute d’escalier il faille pour accéder aux étages
utiliser une échelle et passer par la fenêtre ; ni que certaines pièces soient
exposées à la pluie et au vent ; ni encore que des visiteurs indiscrets puissent
pénétrer dans la maison pour fouiller partout. Eh bien votre SI est doté, lui
aussi, d’une architecture ; il possède l’équivalent des fondations et de la
toiture, des portes et des serrures, des escaliers et des couloirs, des réseaux
d’eau et d’électricité – et tout cela est mal fichu.
Vous vous souciez de votre image devant le
conseil d’administration et l’assemblée générale. Il est bien dommage qu’il ne
se trouve, parmi ceux qui vous évaluent, personne qui sache ce que je viens de
dire et en mesure la portée. Car alors ils feraient comme Robert Gates : ils vous
vireraient, Monsieur le Président-directeur général, pour que cela serve d’exemple
à vos collègues dont la plupart, nous le savons bien, sont aussi coupables que
vous et parfois plus encore.
Je vous prie d’agréer, Monsieur le
Président-directeur général, l'expression de ma parfaite considération.
PS : j'ai publié cette lettre sur
www.volle.com. Je vous signale les
témoignages qu'elle a suscités (Témoignage d'un
informaticien, Témoignage d'une informaticienne
et Témoignage d'un expert).
|
