Convaincre sans contraindre : mission impossible ?

*Ce texte m'a été inspiré à la lecture de l'appel à communication des GS Days.*

Dans la plupart des structures professionnelles, dont le cœur de métier est l’informatique, que ce soit de près ou de loin, il est assez simple d’imposer des règles et des bonnes pratiques de sécurité informatique. La moitié du travail d’évangélisation et d’éducation est déjà fait : les gens sont convaincus qu’il faut avoir de bonnes pratiques. Mais cela ne veut pas pour autant dire qu’ils vont s’y conformer ni qu’ils n’en aient envie.

Ces entreprises, quand elles ont les moyens, embauchent une personne qui va être entièrement dédiée à la sécurité, qui va édicter les règles et faire la pluie et le beau temps en la matière. A charge pour cette personne d’être suffisamment patiente, pédagogue et surtout rigoureuse pour se tenir au courant des dernières actualités.

Mais toutes les entreprises et structures professionnelles n’ont pas l’informatique pour cœur de métier et la sécurité est une notion qui leur passe au-dessus du crâne dans 95% des cas. C’est pour cela qu’elles externalisent au maximum les prestations relevant de près ou de loin avec cette matière : pour ne pas avoir à s’en occuper. Après tout, ce n’est pas leur job. Mais à partir du moment où l’on se sert de l’informatique pour exercer son métier – quel qu’il soit – on doit se discipliner. C’est là que ça devient compliqué.

J’ai tendance à reprendre à mon compte le leitmotiv d’un ami « un bon webmaster est un dictateur » c’est-à-dire, quelqu’un qui impose. En ce sens, je ne fais pas appel aux facultés de raisonnement de la personne en face de moi, je fais appel aux facultés émotionnelles, à savoir, la peur. Mais serait-il possible d’obtenir le même résultat par la conviction ?

La conviction est la certitude. Le verbe convaincre se définit comme le fait d’amener quelqu’un par raisonnement ou par preuve à reconnaître la vérité, l’exactitude d’un fait ou une nécessité. Au lieu de l’obliger, j’amène la personne en face de moi à accepter une vérité, par un raisonnement scientifique. Mais la frontière avec la contrainte est relativement tenue. La contrainte se définit comme la pression morale ou psychologique d’une personne sur une autre dans le but de lui faire dire ou faire faire quelque chose. Le résultat est le même : on cherche à ce que la personne fasse quelque chose. La méthode diffère : dans le premier cas, on va suggérer, argumenter, expliquer ; dans le second, on impose sans laisser la place à la discussion.

De mon expérience dans les entreprises dont l’informatique n’est pas le cœur de métier, cette prouesse est impossible. Vous pourrez arriver avec toutes les informations nécessaires : études de cas, statistiques et même démonstrations. La seule chose qui fonctionne réellement est la peur. Sauf qu’en faisant appel à la peur, on ne cherche pas à convaincre son interlocuteur, on le contraint. Le discours des entreprises vendant des solutions de sécurité est malheureusement obligatoirement basé sur la peur. Si on caricature, on peut dire que cela revient à « achetez notre solution sinon il vous arrivera des choses ! ». Un peu comme le brigand qui vous menace avec une arme et « la bourse ou la vie ». C’est exactement la même chose : donnez le contenu de votre bourse pour rester (professionnellement) en vie.

Bien sûr, cette peur est plus ou moins argumentée : utilise des statistiques, des études de cas, on fait des démonstrations, on explique, on prend du temps, on fait des articles plus ou moins vulgarisés, des dessins, des vidéos mais au final, on utilise toujours le même sentiment : la peur que l’on renforce parfois avec un autre sentiment plus pervers : l’angoisse. A la différence de la peur, l’angoisse est un sentiment diffus, avec un phénomène de longue traîne, résiduel, alors que la peur est instantanée.

D’où la question : est-il possible de parler de sécurité informatique sans insuffler un sentiment de peur et/ou d’angoisse ? Je ne le pense pas. Nous ne sommes pas des êtres purement rationnels, nous avons besoin de ressentis. S’il n’était pas nécessaire de recourir à la peur pour « convaincre » du bien-fondé de quelque chose, nous n’aurions pas besoin de police, ni de justice. Ne parle-t-on pas de « peur du gendarme » ? Ne dit-on pas aux enfants « si tu ne fais pas ce que je te demande, il se passera ça » ? Nous n’essayons pas de convaincre, nous essayons de contraindre.

Notre société toute entière est basée sur la contrainte, pourquoi le monde de la sécurité informatique serait-il différent ? Vous en doutez ? Alors un exemple.

Il m’arrive de faire des petits sites éphémères, qui ont pour vocation d’être disponible sur une plage de temps très limitée, dans un but précis. Essayant d’être respectueuse de la législation en vigueur, je fais systématiquement les démarches nécessaires auprès de la CNIL, provoquant ainsi des haussements de sourcils et des regards très interrogateurs.

Il me faut donc expliquer pourquoi je fais des déclarations CNIL et malheureusement, l’argument du « c’est la loi » ne suffit jamais. Je dois alors sortir les jurisprudences, les condamnations, les conséquences juridiques, économiques, financières et médiatiques d’une absence de déclaration CNIL. Lorsque je déclare un fichier à la CNIL, je passe plus de temps à convaincre mon interlocuteur du pourquoi je le fais qu’à effectivement déclarer mon fichier. Intellectuellement, mon interlocuteur est convaincu de ma démarche mais il l’analyse comme une perte de temps, là où je vois surtout une anticipation des emmerdes éventuelles.     

Parfois, on aura beau faire tout ce qu’il est humainement possible pour convaincre rationnellement l’autre voire même essayer de la contraindre en lui faisant peur, rien n’y fera, les mauvaises habitudes persisteront jusqu’à ce qu’arrive LA claque.

La claque, c’est cet élément déclencheur qui fout la trouille et qui se matérialise par quelque chose très concret : des pertes financières, des poursuites judiciaires, des informations compromises voire l’activité même de l’entreprise menacée.

Convaincre sans contraindre n’est possible que si toutes les personnes sont pourvues de cette capacité d’anticipation des emmerdes éventuelles mais la plupart des personnes n’anticipent pas les emmerdes car cela remet en cause leurs connaissances. L’anticipation prend forme dans un postulat basique : accepter qu’on ne sait pas tout, qu’on ne peut pas tout prévoir, qu’on ne peut pas tout contrôler. Un mot pour cela : l’humilité. Cela sous-entend aussi travailler chaque jour, se mettre intellectuellement en danger au quotidien, sortir constamment de sa zone de confort.

C’est aussi ce qui fait la différence entre les bons et les mauvais. Les mauvais ne joueront que sur la peur et l’angoisse, ne feront appel qu’aux instincts les plus primaires de l’interlocuteur qu’ils ont face d’eux. Les bons s’appuieront sur la capacité d’anticipation et donc d’humilité.

Convaincre sans contraindre ne sera possible que lorsque les personnes ayant des responsabilités seront capables de se dire qu’elles ne peuvent pas tout maîtriser ni tout connaître.