Saturday, March 19, 2016

L’incompréhension sociale de ceux qui nous protègent

Lors d’un exposé récent de sujets liés à la cybersécurité, à côté de moi, un représentant du ministère de l’intérieur inquiétait la salle par une succession de scénarios catastrophe que les « smart cities », les villes « intelligentes » parce que fourmillant de petits systèmes interconnectés un peu partout, du feu rouge jusqu’aux lampadaires, nous feront subir très bientôt. Et surtout, ce faisant, notre inquiet de parler de « risques », de villes, de téléphones, voire de lampadaires donc, mais jamais de citoyens.

Ainsi, il s’inquiétait, à juste titre soit dit, des possibilités de piratage des transformateurs électriques depuis un simple téléphone, constatant l’incapacité des méthodes d’analyse classiques à aborder la complexité des systèmes futurs où les équipements foisonnent, en échappant à un contrôle unique.

A aucun moment dans son analyse ne lui est-il venu à l’idée que les « risques » de (perte de) sécurité qu’il entrevoit ne sont pas des risques, mais des éventualités. Pour qu’il y ait risque, il faut qu’il y ait appréciation de l’importance de la conséquence de l’événement redouté, s’il se produit. Or cette appréciation ne peut se faire qu’à l’aune de ce que chacun considère comme important pour soi, et de plus en rapport avec l’opportunité, c’est-à-dire ce qu’on peut espérer gagner à prendre le risque.

Il me semble extrêmement significatif de l’éducation, de l’état d’esprit de tant de fonctionnaires et même consultants privés que de ne pas même pouvoir imaginer, voire réaliser, que l’appréciation d’un risque dans le domaine social ne peut pas être dissociée de l’individu concerné par ce risque.

Bien sûr, il devrait s’apercevoir en premier lieu que les analyses techniques vont pouvoir détecter et souvent résoudre des failles techniques, dites « vulnérabilités », par lesquelles les pirates pourraient s’infiltrer. Ces failles permettent, les unes après les autres, de toucher le système cible, sensible et de le pirater. Mais ce piratage n’est pas un risque en soi, seule sa conséquence sur les citoyens constitue un risque, risque dont la nature plus ou moins grave, gênante ou pénalisante varie selon chacun.

Le risque de systèmes complexes comme les « smart cities » ou autres systèmes plongés dans la réalité sociale n’est pas monolithique. Sa nature est celle de l’organisation décisionnelle dans ces systèmes, c’est-à-dire une organisation au niveau de l’individu. Une fois qu’on a compris cela, on comprends pourquoi ce technicien échoue dans son analyse et s’inquiète sans véritable raison.

Ce qui est grave pour notre société, c’est que comme tant d’autres, il soit incapable de s’en rendre compte par lui-même. Et que ces esprits ineptes prennent des décisions qui nous concernent tous.

No comments: