Une récente conversation que j’ai eue, a porté sur les « solutions » de sécurité informatique. J’ai déjà dit par ailleurs (pour ceux qui ne l’auraient pas encore lu, vous pouvez vous en faire une idée ici ou là) que ce terme était un abus de langage. Amené à pousser la réflexion plus loin, voici quelques éléments que je vous livre.

 source.

Pour résumer mon constat de départ, beaucoup de SSII commercialisent ce qu’elles appellent des solutions de sécurité. Et cela, sans aucune vergogne, quand bien même il est prouvé que leurs solutions n’en sont pas, car malgré leur mise en place, des problèmes de sécurité continuent d’apparaître. Ce qui est quand même gênant…

Soit. Mais ceci constaté, que peut-on faire ?
En ce qui concerne la sécurité informatique, je n’en sais rien, car si j’avais la solution miracle, j’aurais moi-même monté ma SSII pour commercialiser (fort cher) ladite solution.

Il est cependant possible d’utiliser un vocabulaire plus proche de la réalité, ce qui présenterait l’avantage de ne pas donner l’impression qu’on essaye de blouser le gogo client.

L’Académie Française définit comme suit le terme solution : Dénouement d’une difficulté ; Réponse à un problème. Une situation inextricable, à laquelle on n’aperçoit pas de solution. Solution d’un problème. La solution est bonne, est mauvaise. Un problème sans solution.
En termes de Chimie, il désigne l’Action de dissoudre, de se dissoudre dans un liquide. Un sel en solution dans l’eau. Solution complète. Solution partielle. Il désigne aussi le Liquide qui résulte de cette action. Une solution d’alun.
SOLUTION signifie encore Division, séparation des parties, interruption, coupure. Il n’est guère usité que dans cette expression : Solution de continuité.
En termes de Jurisprudence, il signifie Libération, paiement final. Jusqu’à parfaite solution et paiement ou, absolument, Jusqu’à parfaite solution.
Nous nous rendons compte que ce que vendent (fort cher) les SSII ne correspond pas du tout à la réalité. A moins que l’informatique et la chimie s’embrassent, et que la solution de sécurité vous donne l’impression d’une dilution de votre problème dans un grand magma inextricable. Cette solution serait alors insaturée (une solution insaturée est une solution qui peut dissoudre plus de soluté, aux conditions du système) dans la mesure où votre système d’information (ou système informatique) peut encore accueillir d’autres solutions. Dans ce cas, nous sommes face à une solution infiniment insaturée.
Ce qui nous amène alors à estimer que le SI est le solvant, et le produit vendu le soluté, la solution étant alors le résultat de l’injection du soluté dans le solvant. De ce fait, les vendeurs de solutions seraient en fait des vendeurs de soluté…
A n’y rien comprendre ? Faites donc un tour par ici et vous verrez comme je suis clair !

Moins légèrement (ou plus sérieusement, c’est selon), nous pouvons estimer que ce que vendent les SSII ne sont pas des solutions mais des approximations de sécurité, dans la mesure où une approximation est une Estimation par à peu près, où l’on se contente d’approcher de la vérité sans s’attacher à une exactitude rigoureuse. Je ne vous demande qu’une approximation, une simple approximation. Voyez par approximation ce que cela peut coûter. Ce résultat n’est qu’une approximation. comme l’indique le même dictionnaire de l’Académie Française.
Reconnaissons que c’est nettement moins vendeur comme terme…
Ce serait néanmoins plus proche de la réalité, non ? Ainsi, π est approximativement égal à 3,14 et les produits achetés aux SSII permettent à l’entreprise de s’approcher de la sécurité.
Mais avouons également que cela obligerait les SSII à accomplir un travail auquel elles ne s’adonnent pas, qui est celui de l’estimation de l’approximation. En effet, un résultat scientifique est généralement donné avec un marge d’erreur (à ε près) la difficulté étant de préciser ce fameux ε.
Ce serait cependant un travail passionnant que de quantifier ce taux d’erreur. Et cela permettrait d’avoir une base permettant de comparer les différents produits. Mais comme ce ne serait pas rentable financièrement, les SSII vont continuer de vendre des solutions de sécurité qui ne répondront qu’approximativement aux besoins du client.