Après Rabelais, suivons les traces d'Einstein pour
"imager" ce que sera le propos de cet article... Car, même si vous
estimez, à tort ou à raison, ne pas être une lumière en physique, au moins n'en
ignorez vous certainement pas les concepts fondamentaux, que l'on peut
résumer par :
- rien n'est
absolu dans l'univers, ni
l'espace ni même le temps
- toute
chose interagit avec ce qui l'entoure, donc l'influence et est influencée en retour
La comparaison que je souhaite faire avec la Théorie de la Relativité s'arrêtera
à ces deux concepts généraux, point de physique ou de mathématiques ici
donc. Impossible également d'aborder tous les aspects d'un sujet aussi complexe
dans un blog, nécessairement synthétique, mais essayons de voir de quoi il retourne...
Je vais donc vous poser une seule question (je vous donnerai mon point de
vue par la suite, mais essayez auparavant d’y réfléchir avec votre propre perception) :
Qu’est-ce que la « vraie » Confiance
Numérique ?
Est-ce celle tant vantée par les fournisseurs de solutions et de services ?
Celle établie par une multitude de lois, décrets, normes, standards, bonnes
pratiques, etc. ? Ou encore celle acceptée par les autorités compétentes en cas
de litige ? A moins que ce ne soit, plus naïvement, … celle qui marche ? Mais comment en être certain ?
Pour donner un exemple, en France et
pour l’Archivage Électronique à Valeur Probatoire, si vous êtes passés
faire un tour du côté du salon Documation il y a quelques jours, vous en êtes
forcément ressortis convaincus : tout le
monde en fait, tout le monde est le meilleur, tout le monde veut votre bien.
Bon, soit ! On vous dira aussi qu'il y a des « labels »,
des agréments, des référentiels de
certification pour "tester" la véracité des dires des uns et des
autres. Bon, soit encore ! Mais, de l'autre côté du miroir, pouvons-nous avoir réellement confiance ? N’avons-nous
pas constaté encore tout récemment des rejets d’éléments a priori recevables d’un
point de vue juridique ?
Qui a tort, qui a raison finalement ?
Comment prétendre détenir LA vérité (à supposer qu’il
n’y en ait qu’une seule) ? Le pire que l’on puisse faire serait en tout
cas d’instaurer une confiance absolue
trompeuse qui n’engendrerait en définitive que défiance, au risque de voir
le bébé jeté avec l’eau du bain.
Revenons aux fondamentaux : qu’est-ce
que la Confiance Numérique ? Selon le Larousse, la confiance est « le sentiment de quelqu'un qui se fie entièrement à quelqu'un
d'autre, à quelque chose ». La Confiance Numérique serait ainsi le sentiment que nous pourrions, que nous
devrions éprouver envers cet univers mystérieux qui constitue de plus en plus
notre quotidien, envers les systèmes et les données qui y transitent, envers les hommes et les femmes qui se tiennent dans l'ombre pour les concevoir, les administrer, les surveiller.
Se demander pourquoi nous devrions avoir confiance induit la contrepartie
de la question, la plus importante en fait : pourquoi n’aurions-nous pas confiance ? Parce qu’il existe forcément des menaces, plus ou moins graves, spécifiques
ou non à l’aspect immatériel des choses mais rendues plus insidieuses, moins palpables dans les arcanes virtuelles.
Seules leurs conséquences se révèlent tristement réelles et douloureuses.
La Confiance Numérique est donc, grossièrement, un état de fait espéré, conséquence
souhaitée des arsenaux de mesures
défensives mises en œuvre pour se protéger contre ces menaces, pour les repousser ou tout au moins pour être capable de les identifier a
posteriori. On parlera souvent de défense
en profondeur. Il n’y a pas de
réponse unique à une menace donnée, c’est la superposition des moyens qui permet d’accroître le degré de protection... et ainsi le degré de confiance.
« Menaces », « arsenaux »,
« défense en profondeur », si vous avez le sentiment que nous sommes en guerre… et bien oui,
vous avez tout saisi !
Dans le domaine de la Valeur Probatoire, pouvoir détecter les altérations est un mécanisme fondamental (cela
permet en corollaire de prouver qu’il
n’y en a pas eu, donc que le système est demeuré nominal). Les menaces sont ici principalement les antonymes
des concepts bien connus que sont l’authenticité, l’intégrité, la traçabilité, etc.
Pour revenir à la théorie de la Relativité, il faut garder à l’esprit que rien ne saurait être absolu, rien ne
saurait être parfait. Ni le Crime ni la Justice. Qu’un criminel ne soit pas
« bon », sorte de Pied Nickelé,
prête certainement à sourire ; mais que la Justice puisse être prise en
défaut, que ce soit dans la manière d’empêcher qu’un Crime ne soit commis ou
dans l’acceptation des Preuves que nous lui fournissons pour réaliser son
travail, voilà qui est inacceptable pour les Citoyens que nous sommes ! Inacceptable, en apparence cependant,
puisque tout est relatif !
J’aime à dire que tout ce qui a été
construit sera détruit, tout ce qui a été fait sera refait, tout ce qui a été
masqué sera démasqué. Et tout ce qui
tient du rêve (ou du cauchemar, malheureusement) deviendra réalité. Question
de temps, de volonté, de moyens… et d’utilité : un rideau défensif pourra
toujours être contourné, une preuve invalidée, un édifice savamment bâti annihilé.
Pire encore, selon le principe d’interaction,
en dressant cette multitude de barrières pour nous prémunir contre une menace,
réelle ou avérée, nous induisons nécessairement des moyens, des processus, des
« secrets », etc., bref une
complexification certaine du système que nous voulons protéger, et, par
voie de conséquence, des coûts non
négligeables, ainsi que de nouvelles
failles potentielles, qu’il faudra à leur tour prendre en
considération !
Mais que risquions-nous réellement
? Et, finalement, les mesures mises en
place en valaient-elles la peine ? La question se pose bel et bien,
d’autant que nous ne pouvons avoir aucune
certitude absolue à l’avance quant à leur efficacité… L’ANSSI (Agence
Nationale pour la Sécurité des Systèmes d’Information) met ainsi clairement en
garde : « En matière de
sécurité, dans le domaine des systèmes d’information comme ailleurs, le plus dangereux est bien souvent de se
reposer, consciemment ou non, sur une fausse assurance. Une démarche saine
serait de gérer l’incertitude, de
maintenir une inquiétude raisonnée
et d’entretenir une véritable vigilance ».
Apprendre à évaluer les menaces, leurs probabilités d'apparition, leurs conséquences, la
fiabilité des rideaux défensifs possibles, les coûts, etc. afin de bâtir un compromis viable, pérenne, en fonction des moyens, des besoins et des
objectifs, voilà à mes yeux l’une des clés d'une Confiance Numérique sereine.
S’appuyer sur des systèmes, des
sociétés et des experts reconnus,
utiliser des principes éprouvés, prendre le temps de faire son choix tout en sachant se décider malgré tout, en sont d’autres
trop souvent négligées.
Ne pas vouloir tout faire, ni ne rien faire, mais
faire simple et juste.
Ne pas croire en la perfection, ni en la totale
imperfection, mais au pragmatisme et à la raison.
Finalement, la « vraie » Confiance
Numérique, n’est-ce pas tout simplement
d’avoir conscience de la relativité de celle-ci ?