lundi 25 mars 2013

Théorie de la relativité appliquée


Après Rabelais, suivons les traces d'Einstein pour "imager" ce que sera le propos de cet article... Car, même si vous estimez, à tort ou à raison, ne pas être une lumière en physique, au moins n'en ignorez vous certainement pas les concepts fondamentaux, que l'on peut résumer par :
  • rien n'est absolu dans l'univers, ni l'espace ni même le temps
  • toute chose interagit avec ce qui l'entoure, donc l'influence et est influencée en retour
La comparaison que je souhaite faire avec la Théorie de la Relativité s'arrêtera à ces deux concepts généraux, point de physique ou de mathématiques ici donc. Impossible également d'aborder tous les aspects d'un sujet aussi complexe dans un blog, nécessairement synthétique, mais essayons de voir de quoi il retourne...

Je vais donc vous poser une seule question (je vous donnerai mon point de vue par la suite, mais essayez auparavant d’y réfléchir avec votre propre perception) :

Qu’est-ce que la « vraie » Confiance Numérique ?

Est-ce celle tant vantée par les fournisseurs de solutions et de services ? Celle établie par une multitude de lois, décrets, normes, standards, bonnes pratiques, etc. ? Ou encore celle acceptée par les autorités compétentes en cas de litige ? A moins que ce ne soit, plus naïvement, … celle qui marche ? Mais comment en être certain ?

Pour donner un exemple, en France et pour l’Archivage Électronique à Valeur Probatoire, si vous êtes passés faire un tour du côté du salon Documation il y a quelques jours, vous en êtes forcément ressortis convaincus : tout le monde en fait, tout le monde est le meilleur, tout le monde veut votre bien. Bon, soit ! On vous dira aussi qu'il y a des « labels », des agréments, des référentiels de certification pour "tester" la véracité des dires des uns et des autres. Bon, soit encore ! Mais, de l'autre côté du miroir, pouvons-nous avoir réellement confiance ? N’avons-nous pas constaté encore tout récemment des rejets d’éléments a priori recevables d’un point de vue juridique ?

Qui a tort, qui a raison finalement

Comment prétendre détenir LA vérité (à supposer qu’il n’y en ait qu’une seule) ? Le pire que l’on puisse faire serait en tout cas d’instaurer une confiance absolue trompeuse qui n’engendrerait en définitive que défiance, au risque de voir le bébé jeté avec l’eau du bain.

Revenons aux fondamentaux : qu’est-ce que la Confiance Numérique ? Selon le Larousse, la confiance est « le sentiment de quelqu'un qui se fie entièrement à quelqu'un d'autre, à quelque chose ». La Confiance Numérique serait ainsi le sentiment que nous pourrions, que nous devrions éprouver envers cet univers mystérieux qui constitue de plus en plus notre quotidien, envers les systèmes et les données qui y transitent, envers les hommes et les femmes qui se tiennent dans l'ombre pour les concevoir, les administrer, les surveiller.

Se demander pourquoi nous devrions avoir confiance induit la contrepartie de la question, la plus importante en fait : pourquoi n’aurions-nous pas confiance ? Parce qu’il existe forcément des menaces, plus ou moins graves, spécifiques ou non à l’aspect immatériel des choses mais rendues plus insidieuses, moins palpables dans les arcanes virtuelles. Seules leurs conséquences se révèlent tristement réelles et douloureuses.

La Confiance Numérique est donc, grossièrement, un état de fait espéré, conséquence souhaitée des arsenaux de mesures défensives mises en œuvre pour se protéger contre ces menaces, pour les repousser ou tout au moins pour être capable de les identifier a posteriori. On parlera souvent de défense en profondeur. Il n’y a pas de réponse unique à une menace donnée, c’est la superposition des moyens qui permet d’accroître le degré de protection... et ainsi le degré de confiance.

« Menaces », « arsenaux », « défense en profondeur », si vous avez le sentiment que nous sommes en guerre… et bien oui, vous avez tout saisi !

Dans le domaine de la Valeur Probatoire, pouvoir détecter les altérations est un mécanisme fondamental (cela permet en corollaire de prouver qu’il n’y en a pas eu, donc que le système est demeuré nominal). Les menaces sont ici principalement les antonymes des concepts bien connus que sont l’authenticité, l’intégrité, la traçabilité, etc.

Pour revenir à la théorie de la Relativité, il faut garder à l’esprit que rien ne saurait être absolu, rien ne saurait être parfait. Ni le Crime ni la Justice. Qu’un criminel ne soit pas « bon », sorte de Pied Nickelé, prête certainement à sourire ; mais que la Justice puisse être prise en défaut, que ce soit dans la manière d’empêcher qu’un Crime ne soit commis ou dans l’acceptation des Preuves que nous lui fournissons pour réaliser son travail, voilà qui est inacceptable pour les Citoyens que nous sommes ! Inacceptable, en apparence cependant, puisque tout est relatif !

J’aime à dire que tout ce qui a été construit sera détruit, tout ce qui a été fait sera refait, tout ce qui a été masqué sera démasqué. Et tout ce qui tient du rêve (ou du cauchemar, malheureusement) deviendra réalité. Question de temps, de volonté, de moyens… et d’utilité : un rideau défensif pourra toujours être contourné, une preuve invalidée, un édifice savamment bâti annihilé.

Pire encore, selon le principe d’interaction, en dressant cette multitude de barrières pour nous prémunir contre une menace, réelle ou avérée, nous induisons nécessairement des moyens, des processus, des « secrets », etc., bref une complexification certaine du système que nous voulons protéger, et, par voie de conséquence, des coûts non négligeables, ainsi que de nouvelles failles potentielles, qu’il faudra à leur tour prendre en considération !

Mais que risquions-nous réellement ? Et, finalement, les mesures mises en place en valaient-elles la peine ? La question se pose bel et bien, d’autant que nous ne pouvons avoir aucune certitude absolue à l’avance quant à leur efficacité… L’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information) met ainsi clairement en garde : « En matière de sécurité, dans le domaine des systèmes d’information comme ailleurs, le plus dangereux est bien souvent de se reposer, consciemment ou non, sur une fausse assurance. Une démarche saine serait de gérer l’incertitude, de maintenir une inquiétude raisonnée et d’entretenir une véritable vigilance ».

Apprendre à évaluer les menaces, leurs probabilités d'apparition, leurs conséquences, la fiabilité des rideaux défensifs possibles, les coûts, etc. afin de bâtir un compromis viable, pérenne, en fonction des moyens, des besoins et des objectifs, voilà à mes yeux l’une des clés d'une Confiance Numérique sereine. 

S’appuyer sur des systèmes, des sociétés et des experts reconnus, utiliser des principes éprouvés, prendre le temps de faire son choix tout en sachant se décider malgré tout, en sont d’autres trop souvent négligées.

Ne pas vouloir tout faire, ni ne rien faire, mais faire simple et juste.

Ne pas croire en la perfection, ni en la totale imperfection, mais au pragmatisme et à la raison.

Finalement, la « vraie » Confiance Numérique, n’est-ce pas tout simplement d’avoir conscience de  la relativité de celle-ci ?

Aucun commentaire:

Enregistrer un commentaire