Pendant sept ans, à l’Inserm, ma responsabilité fut de veiller à la sécurité des systèmes d’information ; depuis le mois d’avril elle est de mettre en ordre de marche le système d’information de l’Université Paris-Dauphine. J’aimerais tirer ici quelques leçons de la comparaison entre les deux positions.
La fonction de responsable de la sécurité des systèmes d’information ne saurait être réduite à du « flicage », comme me l’a dit aimablement une amie : veiller à la protection des composantes numériques du patrimoine scientifique et de la propriété intellectuelle d’un institut de recherche, se préoccuper des moyens techniques de cette protection, contre la malveillance ou le détournement mais aussi contre les dommages accidentels, s’efforcer de convaincre chercheurs, informaticiens et responsables de s’en préoccuper eux aussi un tant soit peu, ne sont pas forcément des activités complètement vaines.
De même, la responsabilité du système d’information d’une université peut être assurée d’une façon qui ne soit pas pur parasitisme bureaucratique, comme on pourrait être tenté de le penser : élaborer des systèmes pas trop malcommodes pour que les étudiants puissent facilement s’inscrire, payer leurs droits, choisir leurs groupes de TD, puis communiquer avec leurs enseignants et leurs condisciples, consulter leurs emplois du temps, accéder à des supports de cours numériques de toutes sortes, à leurs notes d’examen (sans toutefois pouvoir les modifier à leur gré)... pour tout cela le système d’information peut faciliter la vie. Et ce n’est pas si facile à faire, comme pourraient le croire ceux qui n’ont jamais essayé, surtout quand le code des marché publics et l’administration ministérielle rajoutent deux couches de complexité.
Le contraste le plus frappant lors de mon changement d’emploi fut dans les relations de travail avec les collègues. Pour un responsable de la sécurité des systèmes d’information, ce qui est pénible, c’est que la demande spontanée de sécurité, à l’Inserm ou ailleurs, est à peu près nulle, voire négative. Le responsable de la sécurité des systèmes d’information n’apporte rien de positif, de tangible, seulement la diminution hypothétique de menaces et de risques perçus comme très improbables. Il ne distribue ni matériels ni aménités, il est cantonné dans un rôle de conseil et de préconisation sans pouvoir réel, il est facile de l’ignorer. Le responsable de la sécurité des systèmes d’information doit sans cesse demander des rendez-vous et envoyer des courriers électroniques à des gens qui n’ont envie ni de le recevoir ni de le lire et qui ne décrochent pas leur téléphone, il élabore des règles techniques qui sont contournées sans scrupule ni remords par ceux qui n’hésiteront pas à lui tomber sur le dos si un incident de sécurité vient à perturber leur travail. C’est le côté un peu usant de ce métier, c’est aussi pourquoi il ne serait pas bon de le confier à des ingénieurs trop jeunes, qui risqueraient d’en tirer de l’amertume.
Pour être juste, la fonction de responsable de la sécurité des systèmes d’information a aussi des côtés agréables : pendant ces sept ans j’ai été amené à me replonger dans des problèmes techniques que j’avais délaissés depuis longtemps. J’ai fréquenté une communauté scientifique et technique jeune, bouillonnante, innovante. J’ai appris beaucoup de choses et connu des gens intéressants. Le précédent Directeur général de l’Inserm, Christian Bréchot, a été pour moi un interlocuteur attentif et concerné, ce qui m’a ouvert des horizons intéressants.
Le directeur du système d’information est dans une position plus gratifiante que le responsable de la sécurité des systèmes d’information : il a un budget, du personnel, le pouvoir d’apporter, ou pas, des changements souhaités. Même si on ne l’apprécie pas, il est déconseillé de se le mettre à dos, et la plupart de mes interlocuteurs m’ouvrent volontiers leur porte. L’inconvénient, ici, serait plutôt dans l’excès de la demande, ou dans son caractère déraisonnable : on raconte en style cursif de quoi l’on a envie, et quelques jours après ce serait réalisé. La tâche réelle, rendre accessibles de manière cohérente les données de l’université, est ambitieuse et demande de l’abnégation, il est rare que mes interlocuteurs soient disposés à en prendre conscience, chacun préfère essayer de faire aménager son petit domaine fonctionnel plutôt que de contribuer au plan de l’édifice collectif.
Sur un plan plus personnel, ce qui m’étonne, c’est la rapidité avec laquelle j’ai réorienté mes préoccupations, je mesure tous les jours combien je change de personnalité, en me désinvestissant de mon personnage RSSI pour devenir DSI.