La cyber face au paradigme de la clôture de Chesterton

Dans son ouvrage le plus connu La Trame conjugale ; Analyse du couple par son linge, Jean-Claude Kaufmann – chercheur au CNRS, excusez du peu – analyse les habitudes d’une dizaine de familles interviewées « dans leur élément naturel » et rapporte des propos à la limite du croyable. Telles ces mères de famille qui lavent (en machine) les habits de tous séparément des chaussettes de leur mari au motif que ces dernières sont sales (authentique). Avec à chaque fois la même justification des intéressé(e)s : parce que tout le monde fait comme ça, parce que c’est comme cela qu’il faut faire. Elle illustre parfaitement ces mots de Max Weber selon lesquels la tradition serait « l’autorité de l’éternel hier ».

À l’opposé se trouve le paradigme de la clôture de Chesterton. G. K. Chesterton est un écrivain et journaliste anglais du premier tiers du xx^e siècle, qui a, entre autres, énoncé ce principe intéressant : lorsque vous tombez sur un truc apparemment idiot, par exemple une clôture ou un portail isolé au beau milieu d’un champ, avant d’affirmer que le truc ne sert à rien et qu’il faut le supprimer, interrogez-vous sur les raisons pour lesquelles des gens, il y a longtemps ou pas, ont installé cette clôture à cet endroit. Dans la plupart des cas, il y a une bonne raison, une très bonne raison même, mais qui ne se voit pas au premier coup d’œil.

À lire aussi : Cyber : le paradigme de la falsification

Il en va ainsi du management en général, des SI en général et de la cyber en particulier : quand vous tombez sur un éléphant au milieu de la pièce, êtes-vous en face d’une panière à linge de Kaufmann ou d’une clôture de Chesterton ? Si, comme l’affirme Eliyahu Goldratt dans Le But, manager c’est trouver ce qui doit être changé et le changer, alors la théorie de la clôture de Chesterton nous incite plutôt à tourner sept fois l’idée sous notre crâne avant d’agir.

Récemment, je suis tombé sur un cas d’accès à un DPI par une structure externe qui n’avait pas de base légale et qu’il a donc fallu bloquer – je vous passe les détails, le sujet est particulièrement ardu. La réaction du professionnel de santé concerné a été de déclarer que la loi était stupide. Il n’est pas impossible que l’on se trouve dans le cas d’une panière à linge, il ne faut rien exclure effectivement. Mais le Code de la santé publique est le résultat d’une longue maturation, du travail de centaines de personnes et de débats qui ont duré des heures au carré en s’étalant sur des années. Alors à moins d’avoir l’outrecuidance de penser que l’on peut avoir seul raison devant tout ce beau monde, j’ai légèrement tendance à penser que l’on se trouve en face d’une clôture de Chesterton.

A contrario, je pourrais vous égrener sans fin des situations, à la fois techniques et organisationnelles, qui relèvent sans aucun doute du cas de la panière à linge. Techniques et organisationnelles, j’insiste, car – et sans en tirer de valeur statistique – pour ce qui me concerne, dès que le débat implique des textes juridiques ou des normes, j’observe que l’on est systématiquement dans le cas de la clôture, celle qui n’est justement pas là par hasard.

Le travail du RSSI et du DPO se voit plutôt complexifié par ces Charybde et ces Scylla qui jonchent leurs réunions et leurs prises de décision, mais cela reste une bonne approche et surtout une bonne façon de temporiser et d’expliquer à ses MOA.

De rien.

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.