Lors d’un exposé récent de sujets liés à la cybersécurité, à
côté de moi, un représentant du ministère de l’intérieur inquiétait la salle par
une succession de scénarios catastrophe que les « smart cities », les villes « intelligentes » parce
que fourmillant de petits systèmes interconnectés un peu partout, du feu rouge
jusqu’aux lampadaires, nous feront subir très bientôt. Et surtout, ce faisant,
notre inquiet de parler de « risques », de villes, de téléphones, voire
de lampadaires donc, mais jamais de citoyens.
Ainsi, il s’inquiétait, à juste titre soit dit, des
possibilités de piratage des transformateurs électriques depuis un simple
téléphone, constatant l’incapacité des méthodes d’analyse classiques à aborder
la complexité des systèmes futurs où les équipements foisonnent, en échappant à
un contrôle unique.
A aucun moment dans son analyse ne lui est-il venu à l’idée
que les « risques » de (perte de) sécurité qu’il entrevoit ne sont
pas des risques, mais des éventualités. Pour qu’il y ait risque, il faut qu’il
y ait appréciation de l’importance de la conséquence de l’événement redouté, s’il
se produit. Or cette appréciation ne peut se faire qu’à l’aune de ce que chacun
considère comme important pour soi, et de plus en rapport avec l’opportunité, c’est-à-dire
ce qu’on peut espérer gagner à prendre le risque.
Il me semble extrêmement significatif de l’éducation, de l’état
d’esprit de tant de fonctionnaires et même consultants privés que de ne pas
même pouvoir imaginer, voire réaliser, que l’appréciation d’un risque dans le
domaine social ne peut pas être dissociée de l’individu concerné par ce risque.
Bien sûr, il devrait s’apercevoir en premier lieu que les
analyses techniques vont pouvoir détecter et souvent résoudre des failles
techniques, dites « vulnérabilités », par lesquelles les pirates
pourraient s’infiltrer. Ces failles permettent, les unes après les autres, de
toucher le système cible, sensible et de le pirater. Mais ce piratage n’est pas
un risque en soi, seule sa conséquence sur les citoyens constitue un risque,
risque dont la nature plus ou moins grave, gênante ou pénalisante varie selon
chacun.
Le risque de systèmes complexes comme les « smart cities » ou autres systèmes
plongés dans la réalité sociale n’est pas monolithique. Sa nature est celle de
l’organisation décisionnelle dans ces systèmes, c’est-à-dire une organisation
au niveau de l’individu. Une fois qu’on a compris cela, on comprends pourquoi
ce technicien échoue dans son analyse et s’inquiète sans véritable raison.
Ce qui est grave pour notre société, c’est que comme tant d’autres,
il soit incapable de s’en rendre compte par lui-même. Et que ces esprits ineptes
prennent des décisions qui nous concernent tous.
No comments:
Post a Comment